Q1.什麽是等級保護？

答：等級保護是指對(duì)國家(jiā)重要(yào / yāo)信息、法人和其(qí)他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行(háng / xíng)安全保護，對(duì)信息系統中使用(yòng)的信息安全産品實行(háng / xíng)按等級管理，對(duì)信息系統中發(fā／fà)生(shēng)的信息安全事(shì)件分等級響應、處置。

Q2. 什麽是等級保護2.0？

答：“等級保護2.0”或“等保2.0”是一個約定俗成的說法，指按新的等級保護标準規範開展工作的統稱。通常認爲是《中華人民共和國網絡安全法》頒布實行(háng / xíng)後(hòu)提出，以2019年(nián)12月1日，網絡安全等級保護基本要(yào / yāo)求、測評要(yào / yāo)求和設計技術要(yào / yāo)求更新發(fā／fà)布新版本爲象征性标志。

Q3. “等保”與“分保”有什麽區别？

答：指等級保護與分級保護，主要(yào / yāo)不同在監管部門、适用(yòng)對(duì)象、分類等級等方面。

監管部門不一樣，等級保護由公安部門監管，分級保護由國家(jiā)保密局監管。

适用(yòng)對(duì)象不一樣，等級保護适用(yòng)非涉密系統，分級保護适用(yòng)于(yú)涉及國家(jiā)密秘系統。

等級分類不同，等級保護分5個級别：一級(自(zì)主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護)；分級保護分3個級别：秘密級、機密級、絕密級。

Q4.等保”與“關保”有什麽區别？

答：指等級保護與關鍵信息基礎設施保護，“關保”是在網絡安全等級保護制度的基礎上，實行(háng / xíng)重點保護。《中華人民共和國網絡安全法》第三章第二節規定了關鍵信息基礎設施的運行(háng / xíng)安全，包括關鍵信息基礎設施的範圍、保護的主要(yào / yāo)内容等。目前《信息安全技術關鍵信息基礎設施網絡安全保護基本要(yào / yāo)求》正在報批中，相關試點工作已啓動。

Q5.什麽是等級保護測評？

答：指測評機構依據國家(jiā)信息安全等級保護制度規定，按照有關管理規範和技術标準，對(duì)非涉及國家(jiā)秘密網絡安全等級保護狀況進行(háng / xíng)檢測評估的活動。

Q6.等級保護是否是強制性的,可(kě)以不做嗎？

答：《中華人民共和國網絡安全法》第二十(shí)一條規定網絡運營者應當按照網絡安全等級保護制度的要(yào / yāo)求，履行(háng / xíng)相關的安全保護義務。同時第七十(shí)六條定義了網絡運營者是指網絡的所(suǒ)有者、管理者和網絡服務提供者。

等級保護相關标準雖然爲非強制性的推薦标準，但網絡（個人與家(jiā)庭網絡除外）運營者必須按網絡安全法開展等級保護工作。

Q7.做等級保護要(yào / yāo)多少錢？

答：開展等級保護工作會(huì)包含：針對(duì)業務系統開展測評的費用(yòng)，以及按等級保護要(yào / yāo)求開發(fā／fà)、購買或部署安全防護産品成本，開展安全日常運維等人力成本。總體投入的費用(yòng)與網絡運營者對(duì)等級保護測評結果分數的預期，以及業務系統安全防護能(néng)力建設與整改的情況而(ér)定，相應的費用(yòng)投入會(huì)差距很大。爲避免盲目投入這個誤區，建議咨詢專業安全服務咨詢機構制訂性價比的解決方案來滿足合規要(yào / yāo)求又達到業務系統安全保障要(yào / yāo)求。

Q8.等級保護測評一般多長時間能(néng)測完？

答：一個二級或三級的系統整體持續周期1-2個月。現場測評周期一般1周左右，具體時間還要(yào / yāo)根據信息系統數量及信息系統的規模，以及測評方與被測評方的配合情況等有所(suǒ)增減。小規模安全整改（管理制度、策略配置技術整改）2-3周，出具報告時間1周。

Q9.等級保護測評多久做一次？

答：《信息安全等級保護管理辦法》公通字[2007]43号中，關于(yú)系統測評時間有明确規定，二級信息系統未明确測評時間，三級信息系統明确規定每年(nián)測評一次，四級信息系統每半年(nián)測評一次，第五級信息系統應當依據特殊安全需求進行(háng / xíng)自(zì)查。

Q10.是否系統定級越低越好？

答：不是。可(kě)根據實際業務系統的情況參照定級标準進行(háng / xíng)定級，采用(yòng)“定級過(guò)低不允許、定級過(guò)高不可(kě)取”的原則。當出現網絡安全事(shì)件進行(háng / xíng)追責的時候，如(rú)因系統定級過(guò)低，需承擔系統定級不合理、安全責任沒有履行(háng / xíng)到位的風險。

Q11.定級備案了是否就(jiù)被監管了？

答：沒有定級備案并不代表不需被監管，應盡快履行(háng / xíng)網絡運營者的安全責任進行(háng / xíng)備案。定級備案後(hòu)監管部門會(huì)在重要(yào / yāo)時候開展安全檢查或發(fā／fà)布一些針對(duì)性的安全預警，有利于(yú)網絡運營者開展網絡安全工作降低風險。

Q12.等級保護工作就(jiù)是做個測評嗎？

答：等級保護工作包括定級、備案、測評、建設整改、監督審查，測評隻是其(qí)中一項。測評不是等保工作的結束，重要(yào / yāo)的是通過(guò)測評查漏補缺，不斷改進提升安全防護能(néng)力，降低安全風險。

Q13.等級保護測評做一次要(yào / yāo)多少錢？

答：等級保護工作屬于(yú)屬地化管理，測評收費非全國統一價，測評費用(yòng)每個省都有一個參考報價标準。因業務系統規模大小及是否涉及擴展功能(néng)測試不同總體測評費用(yòng)也有所(suǒ)差異。

如(rú)某省的參考報價爲：二級系統測評費5萬，三級系統測評費9萬。

Q14.等保測評後(hòu)就(jiù)要(yào / yāo)花很多錢做整改嗎？

答：不一定。

整改工作可(kě)根據網絡運營者對(duì)測評結果分數的期望和現有安全防護措施的實際效果是否能(néng)保障業務抵抗風險的需求按需開展。整改内容也有很多不同方向，除安全設備或服務外，安全管理制度、安全策略調整的整改成本并不高，同樣也能(néng)快速提升安全保障能(néng)力。

Q15.過(guò)等保要(yào / yāo)花多少錢？能(néng)包過(guò)嗎？

答：等級保護采用(yòng)備案與測評機制而(ér)非認證機制，不存在包過(guò)的說法，盲目采納服務商包過(guò)的産品與服務套餐往往不是**性價比的方案。網絡運營者可(kě)結合自(zì)身實際安全需求與等保測評預期得(dé / de / děi)分，咨詢專業的第三方安全咨詢服務機構來開展等建設工作與測評機構的選擇。

Q16.做了等級測評之後(hòu)，是否發(fā／fà)合格證書？

答：測評後(hòu)無合格證書。等級保護采用(yòng)備案與測評機制而(ér)非認證機制，公安機關隻對(duì)信息系統的備案情況進行(háng / xíng)審核，對(duì)符合等級保護要(yào / yāo)求的，頒發(fā／fà)信息系統安全等級保護備案證明，發(fā／fà)現不符合有關标準的，通知備案單位予以糾正，發(fā／fà)現定級不準的，通知備案單位重新審核确定。

Q17.如(rú)何快速理解等保2.0測評結果？

答：等級保護2.0測評結果包括得(dé / de / děi)分與結論評價；得(dé / de / děi)分爲百分制，及格線爲70分；結論評價分爲優、良、中、差四個等級。得(dé / de / děi)分90分（含）以上爲優，80分（含）以上爲良，70分（含）以上爲中，70分以下(xià)爲差。

Q18.多長時間能(néng)拿到備案證明？

答：全國各省網警管理有所(suǒ)差異，一般提交備案流程後(hòu)，如(rú)資料完備（三級系統要(yào / yāo)求含測評報告），順利通過(guò)審核後(hòu)15個工作日即可(kě)拿到備案證明。

Q19：如(rú)何确定業務系統屬于(yú)等保幾級？

答：可(kě)參照等級保護定級指南，從業務系統安全和系統服務安全兩個方面評價當業務系統被破壞時對(duì)客體的影響程度，取兩個方面較高的等級。

當确定系統級别後(hòu)，可(kě)開展專家(jiā)評審對(duì)系統定級合理性進行(háng / xíng)審核。如(rú)有行(háng / xíng)業主管部門制訂的定級依據，可(kě)直接參照采納行(háng / xíng)業定級标準定級。

Q20：業務系統在雲上，安全是雲平台負責的吧？

答：根據《信息安全技術 網絡安全等級保護基本要(yào / yāo)求》（GB/T 22239-2019）附錄D，雲服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平台安全責任。業務系統上雲後(hòu)，雲租戶與雲平台服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。

Q21：等級保護有哪些規範标準？

答：等級保護涉及面廣，相關的安全标準、規範、指南還有很多正在編制或修訂中。常用(yòng)的規範标準包括但不限于(yú)如(rú)下(xià)幾個：

·       GB/T 31167-2014 信息安全技術 雲計算服務安全指南

·       GB/T 31168-2014 信息安全技術 雲計算服務安全能(néng)力要(yào / yāo)求

·       GB/T 36326-2018 信息技術 雲計算雲服務運營通用(yòng)要(yào / yāo)求

·       GB/T 25058-2010 信息安全技術 信息系統安全等級保護實施指南

·       GB/T 25070-2019信息安全技術 網絡安全等級保護安全設計技術要(yào / yāo)求

·       GB/T 28448-2019信息安全技術 網絡安全等級保護測評要(yào / yāo)求

·       GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要(yào / yāo)求

·       GB/T 22240-2008信息安全技術 信息系統安全等級保護定級指南

·       GB/T 36958-2018 信息安全技術 網絡安全等級保護安全管理中心技術要(yào / yāo)求

·       GM/T 0054-2018 信息系統密碼應用(yòng)基本要(yào / yāo)求

·       GB/T 35273-2020 信息安全技術 個人信息安全規範

Q22：等級保護步驟或流程是什麽樣的？

答：根據信息系統等級保護相關标準，等級保護工作總共分五個階段，分别爲：信息系統定級、是信息系統備案、是系統安全建設、是信息系統開始等級測評、主管單位定期開展監督檢查。

Q23：有哪些情況系統定級無需專家(jiā)評審？

答：信息系統運營使用(yòng)單位有上級主管部門，且對(duì)信息系統的安全保護等級有定級指導意見或審核批準的，可(kě)無需在進行(háng / xíng)等級專家(jiā)評審。主管部門一般指行(háng / xíng)業的上級主管部門或監管部門。如(rú)果是跨地域聯網運營使用(yòng)的信息系統，則必須由上級主管部門審批，确保同類系統或分支系統在各地域分别定級的一緻性。

Q24：業務系統在内/專網，還需要(yào / yāo)做等保嗎？

答：需要(yào / yāo)。内網與專網的非涉密系統都屬于(yú)等級保護範疇，雖然内/專網相對(duì)于(yú)互聯網，業務系統的用(yòng)戶比較明确或可(kě)控，但内網不代表安全。

Q25：等級保護測評結論不符合是不是等級保護工作就(jiù)白做了？

答：不是。等級保護測評結論不符合表示目前該信息系統存在高危風險或整體安全性較差，不符合等保的相應标準要(yào / yāo)求。但是這并不代表等級保護工作白做了，即使你(nǐ)拿着(zhe／zhuó／zhāo／zháo)不符合的測評報告，主管單位也是承認你(nǐ)們單位今年(nián)的等級保護工作已經開展過(guò)了，隻是目前的問題較多，沒達到相應的标準。

Q26：拿什麽證明開展過(guò)等級保護工作？

答：備案證明或測評報告，即加蓋測評機構公章或測評專用(yòng)章的測評報告以及有主管部門公章的系統備案證明或系統定級備案資料。

Q27：系統在雲上，還要(yào / yāo)做等保嗎？

答：要(yào / yāo)做。業務上雲有多種情況，如(rú)在公有雲、私有雲、專有雲等不同屬性的雲上，并采用(yòng)IaaS、PaaS、SaaS、IDC托管等不同服務，雖然安全責任邊界發(fā／fà)生(shēng)了變化，但網絡運營者的安全責任不會(huì)轉移。根據“誰運營誰負責、誰使用(yòng)誰負責、誰主管誰負責”的原則，應承擔網絡安全責任進行(háng / xíng)等級保護工作。

Q28：業務在雲上，到哪裏(lǐ)進行(háng / xíng)定級備案？

答：可(kě)在業務系統運維團隊或其(qí)公司主體經營注冊地向公安網警進行(háng / xíng)備案，與業務系統在雲上的資源物理節點的地點無關。