信息安全等级保护2.0测评认证企业要关注的核心问题
来源:本站
作者:中联信科
日期:2021-11-29 17:01:30
浏览:
762
网络安全等级保护2.0国家标准(简称等保2.0)自2019年12月1日正式实施以来,很多企业都在准备过等保工作,伴随着国内疫情防控取得积极成效,各行各业逐渐开始复工复产,等保合规也重新提上重要日程。
为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保合规建设,中联安全专家服务团队梳理了等级保护常见的若干核心问题,以供参考。同时也欢迎大家互动咨询,我们将为客户提供一站式、全流程的等保合规安全服务。
N1:什么是等级保护?
答:网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对定级对象安全等级状况开展等级测评。
N2:什么是等级保护2.0?
答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
N3:哪些行业需要进行等级保护测评?
答:政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等
金融行业:金融监管机构、各大银行、证券、保险公司等
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等
能源行业:电力公司、石油公司、烟草公司
企业单位:大中型企业、央企、上市公司等
其它有信息系统定级需求的行业与单位。
N4:等级保护测评机构实际操作中怎么定级?二级和三级有什么区别?
答:第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一半适用于地市级以上国家机关、企事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。
在实际操作中,可参考备案单位自主定级分类指南。
N5:“等保”和“分保”有什么不同?
答:指等级保护与分级保护,主要不同在监管部门、适用对象及等级分类等方面。
监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。
适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家秘密系统。
等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
N6:“等保”和“关保”有什么区别?
答:是指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。
目前《信息安全技术 关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。
N7:什么是信息系统安全等级保护测评?
答:信息系统安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全防护能力进行科学公正的综合评判过程。
N8:等级保护是否是强制性的,可以不做吗?
答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
等级保护相关标准虽为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必需按网络安全法开展相关等级保护工作。
N9:网站不做等保,出了问题将承担什么责任?
答:①、网络运营者不履行《中华人民共和国网络安全法》【第二十一条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
②、 关键信息基础设施的运营者不履行《中华人民共和国网络安全法》【第三十四条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
N10:做等级保护需要多少钱?
答:开展等级保护工作包含:针对业务系统开展测评的费用,以及按等级保护评定等级要求开发、购买或部署安全防护产品的成本,安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期,以及业务系统安全防护能力建设和整改的情况而定,于此对应的费用投入会差距很大。为避免进入盲目投入这个误区,建议咨询专业安全服务机构制订最具性价比的解决方案来满足合规要求又能达到业务系统安全保障要求。
N11:等级保护测评一般多长时间能完成?
答:一个等级保护二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1-2周。
N12:信息系统安全等级保护测评多久做一次?
答:根据《网络安全等级保护条例》(征求意见稿)第二十三条规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年或一年开展一次测评。
N13:是否系统定级越低越好?
答:不是。根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。
N14:定级备案了是否就被监管了?
答:没有定级备案并不代表不需被监管,应尽快履行网络运营者的安全责任进行备案。定级备案后监管部门会在重要时候开展安全检查或发布一些针对性的安全预警,有利于网络运营者开展网络安全工作降低风险。
N15:等级保护工作就是做个测评吗?
答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。
N16:等级保护测评做一次要多少钱?
答:等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。
例如某省的参考报价为:二级系统测评费4万,三级系统测评费15万。
N17:等保测评后就要花很多钱去做整改吗?
答:不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向,除安全产品或服务外,其他如安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。
N18:过等保要花多少钱?有包过的吗?
答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等保建设的工作和测评机构的选择。
N19:如何快速理解等保2.0测评结果?
答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。
综合得分
风险级别
结论评价
【90,100】
无风险或存在低危风险
优
【80,100】
存在中危风险
良
【80,90】
存在底危风险
良
【70,80】
无高危风险
中
【0,70】
无高危风险
差
【0,100】
有高危风险
差
N20:多长时间能拿到备案证明?
答:全国各省网警管理有所差异,一般提交备案流程后,如资料完备(三级系统要求含测评报告),顺利通过审核后10个工作日即可拿到备案证明。
N21:不同公司的业务系统整合后是否可以算一个系统?
答:如果两个业务系统整合后功能高度融合,后台统一,可以认为是一个系统,只是业务功能增加,按业务系统的变更申请复测即可。
N22:如何判定属于移动安全扩展要求?
答:当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。
N23:等级保护步骤或流程是什么样的?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、信息系统备案、系统安全整改建设、信息安全系统等级测评、主管单位定期开展监督检查。
N24:有哪些情况系统定级无需专家评审?
答:信息安全系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需在进行等级专家评审。主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息安全系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
N25:业务系统在内/专网,还需要做等保吗?
答:需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。
N26:等级保护测评结论不符合是不是等级保护工作就白做了?
答:不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
N27:拿什么证明开展过等级保护工作?
答:备案证明或测评报告,即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。
N28:系统在云上,还要做等保吗?
答:要做。业务系统上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。
N29:如何选择等级保护备案所在地?
答:建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警(公共信息网络安全监察局)备案并找本地测评机构测评。或可选择IT运维团队所在地进行备案与测评。
N30:如何选择测评机构开展测评?
答:选择有测评资质的测评公司,优先考虑本地测评公司。可参照中国网络安全等级保护网(http://djbh.net)的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标,同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。
N31:如何确定业务系统属于等保几级?
答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。
受伤害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
当确定系统级别后,部分地区可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。
N32:购买/使用哪些安全产品能过等保?
答:可根据实际情况,如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与系统运维等投入。建议咨询专业的安全服务机构定制详细的解决方案。
N33:现在还没做等保还来得及吗?有什么影响?
答:来得及。可先根据定级备案要求和流程,先向公安部递交定级备案资料,后续测评与整改预算提上日程,在经费未落实前,可以先进行系统定级、差距分析、整改计划制订等工作。
N34:业务系统在云上,安全是云平台负责的吧?
答:根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。
N35:做完等级保护测评后整改周期要多久?
答:无明确规定。可优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容,而不是因为做了等保测评才需要去做的。
N36:等级保护有哪些规范标准?
答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:
· GB/T 31167-2014 信息安全技术 云计算服务安全指南
· GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
· GB/T 36326-2018 信息技术 云计算云服务运营通用要求
· GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
· GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
· GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
· GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
· GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南
· GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
· GM/T 0054-2018 信息系统密码应用基本要求
· GB/T 35273-2020 信息安全技术 个人信息安全规范
N37:如何将业务快速迁移到阿里云?
答:1)企业可以通过阿里云提供内置工具与帮助文档自己完成IT环境迁移工作,即:自助服务;
2)企业还可以通过阿里云的合作伙伴,通过合作伙伴提供技术支持,帮助企业完成IT环境迁移工作,即:合作伙伴支持。 选择合适的迁移方法可以大幅度降低迁移难度与花费。
N38:业务在云上,到哪里进行定级备案?
答:可在业务系统运维团队或其公司主体经营注册地向公安网警进行备案,与业务系统在云上的资源物理节点的地点无关。
N39:阿里云可以提供哪些帮助吗?
答:阿里云公共云通过等保三级,阿里云金融云通过等保四级。客户在云上过等保,平台的高等级合规显著提高客户的测评分数。可以为云租户提供一个等保合规的云平台,这也是租户业务系统通过等级保护2.0测评的先决条件。
安全产品方面,针对等保二级和三级的要求,阿里云拥有包含云安全中心、云防火墙、Web应用防火墙、DDoS高防、数据库审计、SSL证书、安全管家、堡垒机等云原生安全防护产品。
安全服务方面,阿里云为云上客户提供系统化的网络安全等级保护合规建设和测评服务的渠道。提供具有深厚行业背景与10+年安全从业经验的资深安全专家的专业安全服务,让安全建设不再是企业的负担。
N40:如何联系信息系统安全服务专家团队进行等保咨询?
答:可登录中联官网(复制以下网址在浏览器中打开https://xk.zlxy.net/),通过在线客服或客服热线;中联作为阿里云最大的战略级合作伙伴,结合对阿里云产品的掌握和等保整改实践经验,可以帮助用户定制完整的整改套餐,在底成本的同时帮你快速等保合规。
