進入等級保護2.0時代,根據資訊技術發展應用和網絡安全态勢,不斷豐富了制度内涵、拓展保護範圍、完善監管措施,逐漸健全網絡安全等級保護制度政策、标準和支撐體系。密碼作為保障網絡和資訊安全的核心技術和基礎支撐,關系到國家安全、國計民生和社會公共利益。随着網際網路的進一步發展,商密技術應用的普及,加強相關安全标準認真體系的建設和管理是重中之重。這其中就涉及到等保測評、密碼測評、關基保護、密碼技術标準、定級備案等有關政策條例的問題,還有等保與密碼、測評和密評之間的關系,如何進行各項測評,找哪些機構,執行後果等各類相關問題,接下來我們就用3個篇幅,集合48個問題,一次系統解決大家可能最關心的點,準備好小闆凳了嗎?重點都給你劃分好咯!
(中)
11.等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規定網絡營運者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡營運者是指網絡的所有者、管理者和網絡服務提供者。等級保護工作是保障我國網絡安全的基本動作,目前各機關需按照所在行業及保護對象重要程度,依據網絡安全法及相關部門要求,按照“同步規劃、同步建設、同步使用”的原則,開展等級保護工作。
12.做等級保護要多少錢?
答:開展等級保護工作主要包含:規劃費用、建設或整改費用、運維費用、測評費用等,具體費用因各機關現狀、保護對象承載業務功能、重要程度、所在地區等差異較大。為避免過度保護或疏于防範的情況,減少資源浪費等,建議聘請或咨詢專業的等級保護服務機構,制定科學合理的方案。
13.等級保護測評一般多長時間能測完?
答:一個二級或三級的系統整體持續周期1-2個月。現場測評周期一般1周左右,具體時間還要根據資訊系統數量及資訊系統的規模,以及測評方與被測評方的配合情況等有所增減。小規模安全整改(管理制度、政策配置技術整改)2-3周,出具報告時間1-2周。目前各地根據各自省份或城市的情況,還存在單獨規定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
14.等級保護測評多久做一次?
答:根據《資訊安全等級保護管理辦法》公通字200743号十四條:第三級以上網絡的營運者應當每年開展一次網絡安全等級測評。二級資訊系統建議每兩年開展一次測評,部分行業是明确要求每兩年開展一次測評。
15.是否系統定級越低越好?
答:不是。應根據實際業務系統的情況參照定級标準進行定級,采用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統定級過低,需承擔系統定級不合理、安全責任沒有履行到位的風險。
16.定級備案了是否就被監管了?
答:沒有定級備案并不代表不會被監管。通過自評估達到二級及以上的保護對象,均應盡快組織專家開展定級評審工作,并到屬地網安進行備案。定級備案後監管部門會及時釋出針對性的安全預警,并根據情況實地指導網絡安全工作,有利于網絡營運者提升網絡安全風險的應對能力,保障機關的聲譽,減少經濟損失。
17.等級保護工作就是做個測評嗎?
答:等級保護工作包括定級、備案、測評、建設整改、監督審查,測評隻是其中一項。測評不是等保工作的結束,重要的是通過測評查漏補缺,不斷改進提升安全防護能力,降低安全風險。
18.等級保護測評做一次要多少錢?
答:等級保護工作屬于屬地化管理,測評收費非全國統一價,測評費用每個省都有一個參考報價标準。因業務系統規模大小及是否涉及擴充功能測試不同總體測評費用也有所差異。
19.等保測評後就要花很多錢做整改嗎?
答:不一定。整改工作可根據網絡營運者對測評結果分數的期望和現有安全防護措施的實際效果是否能保障業務抵抗風險的需求按需開展。整改内容也有很多不同方向,除安全裝置或服務外,安全管理制度、安全政策調整的整改成本并不高,同樣也能快速提升安全保障能力。
20.過等保要花多少錢?能包過嗎?
答:等級保護采用備案與測評機制而非認證機制,不存在包過的說法,盲目采納服務商包過的産品與服務套餐往往不是最高成本效益的方案。網絡營運者可結合自身實際安全需求與等保測評預期得分,咨詢專業的第三方安全咨詢服務機構來開展等建設工作。
21.做了等級測評之後,是否會給發合格證書?
答:測評後無合格證書。等級保護采用備案與測評機制而非認證機制,在屬地網安備案後可獲得《資訊系統安全等級保護備案證明》,測評工作完成後會收到具有法律效率的“測評報告(至少要加蓋測評機構公章和測評專用章)”。
22.如何快速了解等保2.0測評結果?
答:等級保護2.0測評結果包括得分與結論評價;得分為百分制,及格線為70分;結論評價分為優、良、中、差四個等級。
23.多長時間能拿到備案證明?
答:全國各省網警管理有所差異,一般送出備案流程後,如資料完備,順利通過稽核後15個工作日即可拿到備案證明。
24.不同公司的業務系統整合後是否可以算一個系統?
答:不同公司作為兩個獨立承擔法律的主體機關,必須明确唯一的備案主體,不能算一個系統。同一機關的業務系統,如确實經過改造,入口、背景、業務關聯性、重要程度等符合《GB/T 22240-2020 資訊系統安全 網絡安全等級保護定級指南》要求可以算作一個系統。
25.如何判定屬于移動安全擴充要求?
答:當業務系統要滿足具有專用APP、通過特定網絡連接配接、具備專用移動終端時參照移動互聯擴充要求。
26.如何選擇等級保護備案所在地?
答:《資訊安全等級保護管理辦法》規定,等級保護的主體機關為資訊系統的營運、使用機關。備案主體一般可以了解為,出現網絡安全事件後,第一責任機關是誰,誰就是備案主體。要注意讓承建機關或運維機關成為備案主體的錯誤方式。大部分情況下,在機關所在地屬地(縣級及以上)網安進行定級備案。如運維所在地和注冊地不一緻,一般以運維所在地備案。當然也有一些特殊行業的要求,比如一些涉及到金融安全的行業,比如網際網路金融系統、支付系統需要屬地化管理,這些系統需要在注冊地辦理定級備案手續,以滿足本地的監管要求。
27.如何選擇測評機構開展測評?
答:選擇有測評資質的測評公司,優先考慮本地測評公司。可參照中國網絡安全等級保護網(http://djbh.net)的《全國網絡安全等級保護測評機構推薦目錄》選中幾家進行邀請投标,同時關注該網站公布的國家網絡安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。