首页 > 新闻动态> 等级保护:理解、实施与测评全解析
等级保护:理解、实施与测评全解析
2023-04-28

1、什么是等级保护?

等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护;对信息系统中使用的信息安全产品实行按等级管理;对信息系统中发生的信息安全事件分等级响应、处置。 等级保护是国家信息安全保障的基本制度、基本策略、基本方法。 等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。


2、什么是等级保护2.0?

等级保护2.0是指按照新的等级保护标准规范开展工作的统称,是我国网络安全领域的基本国策、基本制度。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。


3、“等保”与“关保”有什么区别?

等级保护是针对整个信息系统而言,将其分为不同的等级并采取不同的安全措施,而关键信息基础设施保护是针对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的关键信息基础设施进行保护,确保其正常运行和信息安全。等级保护是基本国策、基本制度,而关键信息基础设施保护是具体的安全措施。


4、什么是等级保护测评?

等级保护测评是指依据国家信息安全等级保护制度规定,由第三方测评机构按照有关管理规范和技术标准,对非涉及国家秘密的信息系统进行安全等级保护状况测试评估的活动。等级保护测评主要包括安全控制测评和系统整体测评两个方面的内容,其中安全控制测评是信息系统整体安全测评的基础。


5、等级保护是否是强制性的,可以不做吗?

《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护是保障我国网络安全的基本动作。目前,各单位需要按照所在行业及保护对象的重要程度,依据《网络安全法》及相关部门的要求,以“同步规划、同步建设、同步使用”的原则,开展等级保护工作。


6、做等级保护要多少钱?

开展等级保护工作主要包含:规划费用、建设或整改费用、运维费用、测评费用等,等级保护的费用因地区、系统的复杂性和保护等级的不同而有所不同。

为了避免出现过度保护或疏于防范的情况,以及减少资源浪费等问题,建议咨询专业的等级保护服务机构,并制定科学合理的方案。


7、等级保护测评一般多长时间能测完?

等级保护测评的时间取决于信息系统的规模、复杂性和测评方的人力和设备等因素,一般需要1-3个月不等的时间。对于小规模的信息系统,测评周期可能只需要2-3周;而对于大规模、复杂的信息系统,测评周期可能需要1-2个月。此外,等级保护测评的时间还受到地区、行业等因素的影响,不同地区、不同行业的等级保护测评时间可能存在差异。


8、等级保护测评多久做一次?

根据《信息安全等级保护管理办法》公通字200743号十四条要求,三级信息系统应当每年开展一次测评;二级信息系统,建议每两年开展一次测评;部分行业标准要求,如电力行业明确要求二级系统两年做一次测评。


9、是否系统定级越低越好?

等级保护并不是定级越低越好,而是根据实际业务系统情况来确定。等级保护的目的是保障信息安全,确保信息系统的等级保护状况符合国家信息安全等级保护制度的要求,防止在信息系统建设和运行过程中发生安全事件,保障信息安全。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。


10、定级备案了是否就被监管了?

没有定级备案并不代表不会被监管。通过自评估达到二级及以上的保护对象,应尽快组织专家开展定级评审工作,并到属地网安进行备案。备案后,监管部门会及时发布针对性的安全预警,并根据情况实地指导网络安全工作,这有利于网络运营者提升网络安全风险的应对能力,保障单位的声誉,减少经济损失。


11、等级保护工作就是做个测评吗?

等级保护是一个综合的安全管理体系,包括定级、备案、测评、建设整改、监督审查等多个环节。等级保护工作的目的是保障信息安全,通过评估保护对象的安全等级,采取相应的安全措施,达到防范安全事件的目的。


12、等保测评后还要花很多费用做整改吗?

不一定。等保测评后整改还需花多少费用取决于具体情况,如系统的规模、复杂性、安全防护措施的状况以及网络运营者对测评分数的期望值等。如果网络运营者能够在整改中采取有效的安全措施,整改费用就可以控制在一个合理的范围内。总的来说,等级保护测评只是一个评估过程,整改费用不一定需要很多钱,具体费用需要根据实际情况来确定。


13、等保测评可以包过吗?

等级保护采用备案与测评机制,而非认证机制,因此不存在“包过”的说法。盲目采用服务商提供的包过产品与服务套餐往往不是最高性价比的方案。网络运营者应结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等级保护建设工作。


14、做了等级测评之后,是否会给发合格证书?

测评后没有合格证书。等级保护采用备案与测评机制,而非认证机制。在属地网安备案后,可以获得《信息系统安全等级保护备案证明》。测评工作完成后,将收到具有法律效力的“测评报告”(至少加盖测评机构公章和测评专用章)。


15、如何快速理解等保测评结果?

等保测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。

测评结果


16、多长时间能拿到备案证明?

全国各省网警管理有所差异,一般提交备案流程后,如资料完备,顺利通过审核后15个工作日即可拿到备案证明。具体时间可能因地区和流程而有所不同,建议您向当地网警咨询更准确的信息。


17、不同公司的业务系统整合后是否可以算一个系统?

不同公司作为两个独立承担法律责任的主体单位,必须明确唯一的备案主体,不能算一个系统。同一公司的业务系统,同公司的业务系统整合后是否可以算一个系统,还需要考虑具体的情况,比如业务系统的入口、后台、业务关联性,是否符合 GB/T2 1720-2020 信息系统安全等级保护定级指南 要求。


18、如何选择等级保护备案所在地?

根据《信息安全等级保护管理办法》的规定,等级保护的主体单位是信息系统的运营、使用单位。备案主体一般可以理解为,当出现网络安全事件时,第一责任单位是谁,谁就是备案主体。需要注意的是,不要让承建单位或运维单位成为备案主体的错误方式。大部分情况下,在单位所在地属地(县级及以上)网安进行定级备案。如果运维所在地和注册地不一致,一般以运维所在地备案。当然,也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。


19、怎么确定业务系统属于等保几级?

根据《信息安全等级保护管理办法》的规定,可以参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。

等保定级


20、哪些企业和单位应该开展等保工作?

等级保护是一项重要的信息安全工作,其目的是保障信息和资产的安全和保密。根据《信息安全等级保护管理办法》,哪些企业和单位应该开展等级保护工作取决于其信息系统的重要程度、安全风险以及所在地区的要求。

主要需开展等级保护工作的单位和企业:

1.涉及国家安全、社会秩序、公共利益等重要信息的单位和企业,如政府机关、金融机构、电信运营商、能源企业等。

2.安全风险较高的单位和企业,如大型企业、互联网企业等。

3.处于战略要地、在行业中具有重要影响力的单位和企业,如医院、高校等。

4.需要保障信息安全的关键信息基础设施运营者,如电力、石油、电信等企业。

5.其他有必要开展等级保护工作的单位和企业。


————————————————————————————  安证集团概述  ————————————————————————————

深圳市安证企业合规管理(集团)有限公司(以下简称“安证合规集团”)是“科技+法律”一体化网络安全合规解决方案提供商,业务范围涵盖网络安全服务、证据服务以及数据治理三大领域,具有丰富的IT合规咨询与评估、网络安全、证据服务、IT审计、安全培训以及法律服务等全方位合规服务经验,是集标准制定、前瞻性技术研究、合规管理平台研发及方案实现于一体的国内优选的IT合规服务企业。

多年来,安证合规集团始终坚持“责任、创新、进取”的企业精神,累计服务了政府、企事业单位、电信运营商、金融机构、大型民企等4000余家客户。积极参与社会公共安全公益服务,自主研发的多个平台分别入选国家工信部、广东省工信厅助力社会发展专项名录。多次参与国家重大活动网络安保工作,主要包括建党100周年网络安保活动、十八大、十九大、二十大、博鳌论坛、香港回归20周年庆/25周年庆、广交会以及部省市三级护网行动等重大活动,并获得相关部门的高度好评。其中,护网工作荣获“公安部护网优秀攻击团队”、“公安部网络安全管理优秀团队”的荣誉称号。