网络安全等级保护百问百答一之等级测评篇
1.什么是等级保护?
等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2.什么是等级保护2.0?
“等级保护2.0”或“等级保护2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。
3.“等级保护”与“分级保护”有什么区别?
指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。
监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。
适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。
等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
4.等级保护测评一般多长时间能测完?
如果双方配合度比较高的情况下,一个二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。其中小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1-2周。如果双方配合度,测评完成时长无法估算。
5.等级保护测评多久做一次?
根据《信息安全等级保护管理办法》公通字200743号十四条:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统暂时未要求,建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
6.等级保护工作就是做个测评吗?
等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等级保护工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。
7.等级保护测评后就要花很多钱做整改吗?
不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向,除安全设备或服务外,安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。
8.测评机构限定购买、使用指定的网络安全产品吗?
不能。根据《网络安全等级保护测评机构管理办法》,测评机构严禁限定被测单位购买、使用指定网络安全产品。
9.过等级保护要花多少钱?能包过吗?
等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等级保护测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作。
10.做了等级测评之后,是否会给发合格证书?
测评后无合格证书。等级保护采用备案与测评机制而非认证机制,在属地网安备案后可获得《信息系统安全等级保护备案证明》,测评工作完成后会收到具有法律效率的“测评报告(至少要加盖测评机构公章和测评专用章)
11.如何快速理解等级保护2.0测评结果?
等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。
12.现在还没做等级保护还来得及吗?有什么影响?
来得及。种一棵树,最好的时间是十年前,其次是现在。可先根据定级备案要求和流程,先向公安递交定级备案文件,测评与整改预算提上日程,在经费未落实前,可以先进行系统定级、差距分析、整改计划制订等工作。
13.业务系统在云上,安全是云平台负责的吧?
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。也就是说云平台承担的是云平台的安全责任,部署在云平台上的系统或数据所有者,应对该系统或数据承担网络安全保护责任。
14.做完等级保护测评后整改周期是多久?
虽无明确规定,但测评报告一般是整改达标后才出具,除非可以接受结论为“差”的报告或不在乎分数。另外,等级保护工作本身就是为了提升网络安全防护水平,尤其是测评中发现的高风险建议立刻克服困难,抓紧整改。不少单位就是因为“高风险”问题没及时整改而中招,导致单位承受了巨大的经济和声誉损失。
15.业务系统在内/专网,还需要做等级保护吗?
需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了
16.等级保护测评结论不符合是不是等级保护工作就白做了?
不是。等级保护测评结论为“差”,表示目前该信息系统存在高危风险或整体安全性较差,没有达到相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准,需要抓紧整改。
17.拿什么证明开展过等级保护工作?
一般情况是备案证明和测评报告,测评报告应加盖测评机构公章和测评专用章。
18.等级保护的测评内容有哪些?
通用要求包含:技术要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心);管理要求(安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理);云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。
19.等级保护和《网络安全法》什么关系?
等级保护工作是国家网络安全的基础性工作,是《网络安全法》要求我们履行的一项安全责任。《网络安全法》是网络安全领域的基本法,从国家层面对等级保护工作的法律认可,网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。
20.购买了符合等级保护要求的安全设备就能有效抵御网络风险?
设备只是工具,是否能抵御风险,还有看怎么用!不少单位花钱买了安全设备,但缺乏技术人员支持,或者安全意识淡薄,安全产品不仅起不到安全作用,反而会影响业务连续性。
21.做完等级测评就没有安全问题了?
很多人认为,完成等级保护测评就万事大吉了。其实,不然。等级保护测评标准只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但是,安全是一个动态而非静止的过程,不是通过一次测评,就可以一劳永逸的。
企业通过落实等级保护安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此,要通过等级保护测评工作开展,以“一个中心、三重防护”好“三化六防”等为指导,不断提升网络攻防能力。
22.业务系统在云上,安全是云平台负责的吧?
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。
也就是说云平台承担的是云平台的安全责任,部署在云平台上的系统或数据所有者,应对该系统或数据承担网络安全保护责任。
23.不做等级保护没关系,只要不出事就行?
一些用户以为做不做等级保护不要紧,关揵的是不要出网络安全事件,只要不出事都没问题。《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等级保护就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等级保护及时去做,不要等。
24.给我们单位整体做一个等级保护测评?
背景:一些用户或者同行搞不清等级保护到底是个什么情况,以为是按照整个单位去做,天真地认为一个单位做一个等级保护测评就可以。
等级保护测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。
25.等级测评的结论有哪些?
共分为4类:
优:90分(含90)以上且无中、高风险问题;
良:80-89分之间且无高风险问题;
中:70-79之间且无高风险问题;
差:60分以下或有高风险问题。
