中关村可信计算产业联盟订阅号

 

敬请关注

等保2.0 企业关注的问题汇总

首页    业界新闻    等保2.0 企业关注的问题汇总
 

 

腾讯安全 中关村可信计算产业联盟  

 

网络安全等级保护2.0国家标准(等保2.0)自去年12月1日正式实施以来,很多企业都在努力准备过保工作,伴随着国内疫情防控取得积极成效,各行各业逐渐开始复工复产,等保合规也重新提上重要日程。
    为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保合规建设,梳理了常见的等级保护问题,以供参考。

 

Q1:什么是等级保护?

答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

Q2:什么是等级保护2.0?

答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。

Q3:“等保”与“分保”有什么区别?

答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。

监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。

适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。

等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。

Q4:“等保”与“关保”有什么区别?

答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。目前《信息安全技术 关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。

Q5:什么是等级保护测评?

答:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。

Q6:等级保护是否是强制性的,可以不做吗?

答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必需按网络安全法开展等级保护工作。

Q7:是否系统定级越低越好?

答:不是。可根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。

Q8:定级备案了是否就被监管了?

答:没有定级备案并不代表不需被监管,应尽快履行网络运营者的安全责任进行备案。定级备案后监管部门会在重要时候开展安全检查或发布一些针对性的安全预警,有利于网络运营者开展网络安全工作降低风险。

Q9:等级保护工作就是做个测评吗?

答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。
Q10:如何快速理解等保2.0测评结果?
答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。
Q11:如何确定业务系统属于等保几级?
答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。
当确定系统级别后,可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。

Q12:业务系统在云上,安全是云平台负责的吧?

答:根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。

Q13:等级保护有哪些规范标准?

答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:
  • GB/T 31167-2014 信息安全技术 云计算服务安全指南
  • GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
  • GB/T 36326-2018 信息技术 云计算云服务运营通用要求
  • GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
  • GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
  • GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
  • GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
  • GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南
  • GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
  • GM/T 0054-2018 信息系统密码应用基本要求
  • GB/T 35273-2020 信息安全技术 个人信息安全规范

Q14:等级保护步骤或流程是什么样的?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。

Q15:有哪些情况系统定级无需专家评审?

答:信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需在进行等级专家评审。
主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。

Q16:业务系统在内/专网,还需要做等保吗?

答:需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。

Q17:等级保护测评结论不符合是不是等级保护工作就白做了?

答:不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。

Q18:拿什么证明开展过等级保护工作?

答:备案证明或测评报告,即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。

Q19:系统在云上,还要做等保吗?

答:要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。
Q20:业务在云上,到哪里进行定级备案?
答:可在业务系统运维团队或其公司主体经营注册地向公安网警进行备案,与业务系统在云上的资源物理节点的地点无关。

 

 

(文章来:腾讯安全)

 

 

 
 
 

已留言

 

已回复

 
确定删除留言吗?
 

 

2020年6月18日 10:00
浏览量:0
收藏