進入等級保護2.0時代,根據信息技術發展應用和網絡安全態勢,不斷豐富了制度內涵、拓展保護範圍、完善監管措施,逐步健全網絡安全等級保護制度政策、標準和支撐體系。密碼作爲保障網絡和信息安全的核心技術和基礎支撐,關係到國家安全、國計民生和社會公共利益。隨着互聯網的進一步發展,商密技術應用的普及,加強相關安全標準認真體系的建設和管理是重中之重。這其中就涉及到等保測評、密碼測評、關基保護、密碼技術標準、定級備案等有關政策條例的問題,還有等保與密碼、測評和密評之間的關係,如何進行各項測評,找哪些機構,執行後果等各類相關問題,接下來我們就用3個篇幅,集合48個問題,一次系統解決大家可能最關心的點,準備好小板凳了嗎?重點都給你劃分好咯!
(中)
11.等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規定網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。等級保護工作是保障我國網絡安全的基本動作,目前各單位需按照所在行業及保護對象重要程度,依據網絡安全法及相關部門要求,按照“同步規劃、同步建設、同步使用”的原則,開展等級保護工作。
12.做等級保護要多少錢?
答:開展等級保護工作主要包含:規劃費用、建設或整改費用、運維費用、測評費用等,具體費用因各單位現狀、保護對象承載業務功能、重要程度、所在地區等差異較大。爲避免過度保護或疏於防範的情況,減少資源浪費等,建議聘請或諮詢專業的等級保護服務機構,制定科學合理的方案。
13.等級保護測評一般多長時間能測完?
答:一個二級或三級的系統整體持續週期1-2個月。現場測評週期一般1周左右,具體時間還要根據信息系統數量及信息系統的規模,以及測評方與被測評方的配合情況等有所增減。小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1-2周。目前各地根據各自省份或城市的情況,還存在單獨規定測評實施週期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
14.等級保護測評多久做一次?
答:根據《信息安全等級保護管理辦法》公通字200743號十四條:第三級以上網絡的運營者應當每年開展一次網絡安全等級測評。二級信息系統建議每兩年開展一次測評,部分行業是明確要求每兩年開展一次測評。
15.是否系統定級越低越好?
答:不是。應根據實際業務系統的情況參照定級標準進行定級,採用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統定級過低,需承擔系統定級不合理、安全責任沒有履行到位的風險。
16.定級備案了是否就被監管了?
答:沒有定級備案並不代表不會被監管。通過自評估達到二級及以上的保護對象,均應儘快組織專家開展定級評審工作,併到屬地網安進行備案。定級備案後監管部門會及時發佈針對性的安全預警,並根據情況實地指導網絡安全工作,有利於網絡運營者提升網絡安全風險的應對能力,保障單位的聲譽,減少經濟損失。
17.等級保護工作就是做個測評嗎?
答:等級保護工作包括定級、備案、測評、建設整改、監督審查,測評只是其中一項。測評不是等保工作的結束,重要的是通過測評查漏補缺,不斷改進提升安全防護能力,降低安全風險。
18.等級保護測評做一次要多少錢?
答:等級保護工作屬於屬地化管理,測評收費非全國統一價,測評費用每個省都有一個參考報價標準。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
19.等保測評後就要花很多錢做整改嗎?
答:不一定。整改工作可根據網絡運營者對測評結果分數的期望和現有安全防護措施的實際效果是否能保障業務抵抗風險的需求按需開展。整改內容也有很多不同方向,除安全設備或服務外,安全管理制度、安全策略調整的整改成本並不高,同樣也能快速提升安全保障能力。
20.過等保要花多少錢?能包過嗎?
答:等級保護採用備案與測評機制而非認證機制,不存在包過的說法,盲目採納服務商包過的產品與服務套餐往往不是最高性價比的方案。網絡運營者可結合自身實際安全需求與等保測評預期得分,諮詢專業的第三方安全諮詢服務機構來開展等建設工作。
21.做了等級測評之後,是否會給發合格證書?
答:測評後無合格證書。等級保護採用備案與測評機制而非認證機制,在屬地網安備案後可獲得《信息系統安全等級保護備案證明》,測評工作完成後會收到具有法律效率的“測評報告(至少要加蓋測評機構公章和測評專用章)”。
22.如何快速理解等保2.0測評結果?
答:等級保護2.0測評結果包括得分與結論評價;得分爲百分制,及格線爲70分;結論評價分爲優、良、中、差四個等級。
23.多長時間能拿到備案證明?
答:全國各省網警管理有所差異,一般提交備案流程後,如資料完備,順利通過審覈後15個工作日即可拿到備案證明。
24.不同公司的業務系統整合後是否可以算一個系統?
答:不同公司作爲兩個獨立承擔法律的主體單位,必須明確唯一的備案主體,不能算一個系統。同一單位的業務系統,如確實經過改造,入口、後臺、業務關聯性、重要程度等符合《GB/T 22240-2020 信息系統安全 網絡安全等級保護定級指南》要求可以算作一個系統。
25.如何判定屬於移動安全擴展要求?
答:當業務系統要滿足具有專用APP、通過特定網絡連接、具備專用移動終端時參照移動互聯擴展要求。
26.如何選擇等級保護備案所在地?
答:《信息安全等級保護管理辦法》規定,等級保護的主體單位爲信息系統的運營、使用單位。備案主體一般可以理解爲,出現網絡安全事件後,第一責任單位是誰,誰就是備案主體。要注意讓承建單位或運維單位成爲備案主體的錯誤方式。大部分情況下,在單位所在地屬地(縣級及以上)網安進行定級備案。如運維所在地和註冊地不一致,一般以運維所在地備案。當然也有一些特殊行業的要求,比如一些涉及到金融安全的行業,比如互聯網金融系統、支付系統需要屬地化管理,這些系統需要在註冊地辦理定級備案手續,以滿足本地的監管要求。
27.如何選擇測評機構開展測評?
答:選擇有測評資質的測評公司,優先考慮本地測評公司。可參照中國網絡安全等級保護網(http://djbh.net)的《全國網絡安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,同時關注該網站公佈的國家網絡安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。