Q1.什麽是等級保護？

答(dá)：等級保護是指對國(guó)家重要信息、法人和其他(tā)組織及公(gōng)民(mín)的專有(yǒu)信息以及公(gōng)開信息和存儲、傳輸、處理(lǐ)這些信息的信息系統分(fēn)等級實行安(ān)全保護，對信息系統中(zhōng)使用(yòng)的信息安(ān)全産(chǎn)品實行按等級管理(lǐ)，對信息系統中(zhōng)發生的信息安(ān)全事件分(fēn)等級響應、處置。

Q2. 什麽是等級保護2.0？

答(dá)：“等級保護2.0”或“等保2.0”是一個約定俗成的說法，指按新(xīn)的等級保護标準規範開展工(gōng)作(zuò)的統稱。通常認為(wèi)是《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》頒布實行後提出，以2019年12月1日，網絡安(ān)全等級保護基本要求、測評要求和設計技(jì )術要求更新(xīn)發布新(xīn)版本為(wèi)象征性标志(zhì)。

Q3. “等保”與“分(fēn)保”有(yǒu)什麽區(qū)别？

答(dá)：指等級保護與分(fēn)級保護，主要不同在監管部門、适用(yòng)對象、分(fēn)類等級等方面。

監管部門不一樣，等級保護由公(gōng)安(ān)部門監管，分(fēn)級保護由國(guó)家保密局監管。

适用(yòng)對象不一樣，等級保護适用(yòng)非涉密系統，分(fēn)級保護适用(yòng)于涉及國(guó)家密秘系統。

等級分(fēn)類不同，等級保護分(fēn)5個級别：一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護)；分(fēn)級保護分(fēn)3個級别：秘密級、機密級、絕密級。

Q4.等保”與“關保”有(yǒu)什麽區(qū)别？

答(dá)：指等級保護與關鍵信息基礎設施保護，“關保”是在網絡安(ān)全等級保護制度的基礎上，實行重點保護。《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》第三章第二節規定了關鍵信息基礎設施的運行安(ān)全，包括關鍵信息基礎設施的範圍、保護的主要内容等。目前《信息安(ān)全技(jì )術關鍵信息基礎設施網絡安(ān)全保護基本要求》正在報批中(zhōng)，相關試點工(gōng)作(zuò)已啓動。

Q5.什麽是等級保護測評？

答(dá)：指測評機構依據國(guó)家信息安(ān)全等級保護制度規定，按照有(yǒu)關管理(lǐ)規範和技(jì )術标準，對非涉及國(guó)家秘密網絡安(ān)全等級保護狀況進行檢測評估的活動。

Q6.等級保護是否是強制性的,可(kě)以不做嗎？

答(dá)：《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》第二十一條規定網絡運營者應當按照網絡安(ān)全等級保護制度的要求，履行相關的安(ān)全保護義務(wù)。同時第七十六條定義了網絡運營者是指網絡的所有(yǒu)者、管理(lǐ)者和網絡服務(wù)提供者。

等級保護相關标準雖然為(wèi)非強制性的推薦标準，但網絡（個人與家庭網絡除外）運營者必須按網絡安(ān)全法開展等級保護工(gōng)作(zuò)。

Q7.做等級保護要多(duō)少錢？

答(dá)：開展等級保護工(gōng)作(zuò)會包含：針對業務(wù)系統開展測評的費用(yòng)，以及按等級保護要求開發、購(gòu)買或部署安(ān)全防護産(chǎn)品成本，開展安(ān)全日常運維等人力成本。總體(tǐ)投入的費用(yòng)與網絡運營者對等級保護測評結果分(fēn)數的預期，以及業務(wù)系統安(ān)全防護能(néng)力建設與整改的情況而定，相應的費用(yòng)投入會差距很(hěn)大。為(wèi)避免盲目投入這個誤區(qū)，建議咨詢專業安(ān)全服務(wù)咨詢機構制訂性價比的解決方案來滿足合規要求又(yòu)達到業務(wù)系統安(ān)全保障要求。

Q8.等級保護測評一般多(duō)長(cháng)時間能(néng)測完？

答(dá)：一個二級或三級的系統整體(tǐ)持續周期1-2個月。現場測評周期一般1周左右，具(jù)體(tǐ)時間還要根據信息系統數量及信息系統的規模，以及測評方與被測評方的配合情況等有(yǒu)所增減。小(xiǎo)規模安(ān)全整改（管理(lǐ)制度、策略配置技(jì )術整改）2-3周，出具(jù)報告時間1周。

Q9.等級保護測評多(duō)久做一次？

答(dá)：《信息安(ān)全等級保護管理(lǐ)辦(bàn)法》公(gōng)通字[2007]43号中(zhōng)，關于系統測評時間有(yǒu)明确規定，二級信息系統未明确測評時間，三級信息系統明确規定每年測評一次，四級信息系統每半年測評一次，第五級信息系統應當依據特殊安(ān)全需求進行自查。

Q10.是否系統定級越低越好？

答(dá)：不是。可(kě)根據實際業務(wù)系統的情況參照定級标準進行定級，采用(yòng)“定級過低不允許、定級過高不可(kě)取”的原則。當出現網絡安(ān)全事件進行追責的時候，如因系統定級過低，需承擔系統定級不合理(lǐ)、安(ān)全責任沒有(yǒu)履行到位的風險。

Q11.定級備案了是否就被監管了？

答(dá)：沒有(yǒu)定級備案并不代表不需被監管，應盡快履行網絡運營者的安(ān)全責任進行備案。定級備案後監管部門會在重要時候開展安(ān)全檢查或發布一些針對性的安(ān)全預警，有(yǒu)利于網絡運營者開展網絡安(ān)全工(gōng)作(zuò)降低風險。

Q12.等級保護工(gōng)作(zuò)就是做個測評嗎？

答(dá)：等級保護工(gōng)作(zuò)包括定級、備案、測評、建設整改、監督審查，測評隻是其中(zhōng)一項。測評不是等保工(gōng)作(zuò)的結束，重要的是通過測評查漏補缺，不斷改進提升安(ān)全防護能(néng)力，降低安(ān)全風險。

Q13.等級保護測評做一次要多(duō)少錢？

答(dá)：等級保護工(gōng)作(zuò)屬于屬地化管理(lǐ)，測評收費非全國(guó)統一價，測評費用(yòng)每個省都有(yǒu)一個參考報價标準。因業務(wù)系統規模大小(xiǎo)及是否涉及擴展功能(néng)測試不同總體(tǐ)測評費用(yòng)也有(yǒu)所差異。

如某省的參考報價為(wèi)：二級系統測評費5萬，三級系統測評費9萬。

Q14.等保測評後就要花(huā)很(hěn)多(duō)錢做整改嗎？

答(dá)：不一定。

整改工(gōng)作(zuò)可(kě)根據網絡運營者對測評結果分(fēn)數的期望和現有(yǒu)安(ān)全防護措施的實際效果是否能(néng)保障業務(wù)抵抗風險的需求按需開展。整改内容也有(yǒu)很(hěn)多(duō)不同方向，除安(ān)全設備或服務(wù)外，安(ān)全管理(lǐ)制度、安(ān)全策略調整的整改成本并不高，同樣也能(néng)快速提升安(ān)全保障能(néng)力。

Q15.過等保要花(huā)多(duō)少錢？能(néng)包過嗎？

答(dá)：等級保護采用(yòng)備案與測評機制而非認證機制，不存在包過的說法，盲目采納服務(wù)商(shāng)包過的産(chǎn)品與服務(wù)套餐往往不是**性價比的方案。網絡運營者可(kě)結合自身實際安(ān)全需求與等保測評預期得分(fēn)，咨詢專業的第三方安(ān)全咨詢服務(wù)機構來開展等建設工(gōng)作(zuò)與測評機構的選擇。

Q16.做了等級測評之後，是否發合格證書？

答(dá)：測評後無合格證書。等級保護采用(yòng)備案與測評機制而非認證機制，公(gōng)安(ān)機關隻對信息系統的備案情況進行審核，對符合等級保護要求的，頒發信息系統安(ān)全等級保護備案證明，發現不符合有(yǒu)關标準的，通知備案單位予以糾正，發現定級不準的，通知備案單位重新(xīn)審核确定。

Q17.如何快速理(lǐ)解等保2.0測評結果？

答(dá)：等級保護2.0測評結果包括得分(fēn)與結論評價；得分(fēn)為(wèi)百分(fēn)制，及格線(xiàn)為(wèi)70分(fēn)；結論評價分(fēn)為(wèi)優、良、中(zhōng)、差四個等級。得分(fēn)90分(fēn)（含）以上為(wèi)優，80分(fēn)（含）以上為(wèi)良，70分(fēn)（含）以上為(wèi)中(zhōng)，70分(fēn)以下為(wèi)差。

Q18.多(duō)長(cháng)時間能(néng)拿(ná)到備案證明？

答(dá)：全國(guó)各省網警管理(lǐ)有(yǒu)所差異，一般提交備案流程後，如資料完備（三級系統要求含測評報告），順利通過審核後15個工(gōng)作(zuò)日即可(kě)拿(ná)到備案證明。

Q19：如何确定業務(wù)系統屬于等保幾級？

答(dá)：可(kě)參照等級保護定級指南，從業務(wù)系統安(ān)全和系統服務(wù)安(ān)全兩個方面評價當業務(wù)系統被破壞時對客體(tǐ)的影響程度，取兩個方面較高的等級。

當确定系統級别後，可(kě)開展專家評審對系統定級合理(lǐ)性進行審核。如有(yǒu)行業主管部門制訂的定級依據，可(kě)直接參照采納行業定級标準定級。

Q20：業務(wù)系統在雲上，安(ān)全是雲平台負責的吧？

答(dá)：根據《信息安(ān)全技(jì )術 網絡安(ān)全等級保護基本要求》（GB/T 22239-2019）附錄D，雲服務(wù)商(shāng)根據提供的IaaS、PaaS、SaaS模式承擔不同的平台安(ān)全責任。業務(wù)系統上雲後，雲租戶與雲平台服務(wù)商(shāng)之間應遵循責任分(fēn)擔矩陣共同承擔相應的安(ān)全責任。

Q21：等級保護有(yǒu)哪些規範标準？

答(dá)：等級保護涉及面廣，相關的安(ān)全标準、規範、指南還有(yǒu)很(hěn)多(duō)正在編制或修訂中(zhōng)。常用(yòng)的規範标準包括但不限于如下幾個：

·       GB/T 31167-2014 信息安(ān)全技(jì )術 雲計算服務(wù)安(ān)全指南

·       GB/T 31168-2014 信息安(ān)全技(jì )術 雲計算服務(wù)安(ān)全能(néng)力要求

·       GB/T 36326-2018 信息技(jì )術 雲計算雲服務(wù)運營通用(yòng)要求

·       GB/T 25058-2010 信息安(ān)全技(jì )術 信息系統安(ān)全等級保護實施指南

·       GB/T 25070-2019信息安(ān)全技(jì )術 網絡安(ān)全等級保護安(ān)全設計技(jì )術要求

·       GB/T 28448-2019信息安(ān)全技(jì )術 網絡安(ān)全等級保護測評要求

·       GB/T 22239-2019 信息安(ān)全技(jì )術 網絡安(ān)全等級保護基本要求

·       GB/T 22240-2008信息安(ān)全技(jì )術 信息系統安(ān)全等級保護定級指南

·       GB/T 36958-2018 信息安(ān)全技(jì )術 網絡安(ān)全等級保護安(ān)全管理(lǐ)中(zhōng)心技(jì )術要求

·       GM/T 0054-2018 信息系統密碼應用(yòng)基本要求

·       GB/T 35273-2020 信息安(ān)全技(jì )術 個人信息安(ān)全規範

Q22：等級保護步驟或流程是什麽樣的？

答(dá)：根據信息系統等級保護相關标準，等級保護工(gōng)作(zuò)總共分(fēn)五個階段，分(fēn)别為(wèi)：信息系統定級、是信息系統備案、是系統安(ān)全建設、是信息系統開始等級測評、主管單位定期開展監督檢查。

Q23：有(yǒu)哪些情況系統定級無需專家評審？

答(dá)：信息系統運營使用(yòng)單位有(yǒu)上級主管部門，且對信息系統的安(ān)全保護等級有(yǒu)定級指導意見或審核批準的，可(kě)無需在進行等級專家評審。主管部門一般指行業的上級主管部門或監管部門。如果是跨地域聯網運營使用(yòng)的信息系統，則必須由上級主管部門審批，确保同類系統或分(fēn)支系統在各地域分(fēn)别定級的一緻性。

Q24：業務(wù)系統在内/專網，還需要做等保嗎？

答(dá)：需要。内網與專網的非涉密系統都屬于等級保護範疇，雖然内/專網相對于互聯網，業務(wù)系統的用(yòng)戶比較明确或可(kě)控，但内網不代表安(ān)全。

Q25：等級保護測評結論不符合是不是等級保護工(gōng)作(zuò)就白做了？

答(dá)：不是。等級保護測評結論不符合表示目前該信息系統存在高危風險或整體(tǐ)安(ān)全性較差，不符合等保的相應标準要求。但是這并不代表等級保護工(gōng)作(zuò)白做了，即使你拿(ná)着不符合的測評報告，主管單位也是承認你們單位今年的等級保護工(gōng)作(zuò)已經開展過了，隻是目前的問題較多(duō)，沒達到相應的标準。

Q26：拿(ná)什麽證明開展過等級保護工(gōng)作(zuò)？

答(dá)：備案證明或測評報告，即加蓋測評機構公(gōng)章或測評專用(yòng)章的測評報告以及有(yǒu)主管部門公(gōng)章的系統備案證明或系統定級備案資料。

Q27：系統在雲上，還要做等保嗎？

答(dá)：要做。業務(wù)上雲有(yǒu)多(duō)種情況，如在公(gōng)有(yǒu)雲、私有(yǒu)雲、專有(yǒu)雲等不同屬性的雲上，并采用(yòng)IaaS、PaaS、SaaS、IDC托管等不同服務(wù)，雖然安(ān)全責任邊界發生了變化，但網絡運營者的安(ān)全責任不會轉移。根據“誰運營誰負責、誰使用(yòng)誰負責、誰主管誰負責”的原則，應承擔網絡安(ān)全責任進行等級保護工(gōng)作(zuò)。

Q28：業務(wù)在雲上，到哪裏進行定級備案？

答(dá)：可(kě)在業務(wù)系統運維團隊或其公(gōng)司主體(tǐ)經營注冊地向公(gōng)安(ān)網警進行備案，與業務(wù)系統在雲上的資源物(wù)理(lǐ)節點的地點無關。