自去年12月1日网络安全等级保护2.0国家标准(等级保护2.0)正式实施以来,不少企业就一直在努力做好过度保护的准备工作。随着国内疫情防控取得积极成效,各行各业逐渐开始复工复产,等待保险合规也被重新提上重要议程。
为了让有超额保障需求的客户更全面地了解现行分级保障的评估机制,针对性建设分级保障合规性,腾讯云安全专家服务团队整理了40个分级保障常见问题供参考。同时也欢迎您互动咨询。我们将为客户提供一站式、全流程的保险合规服务。
Q1:什么是等级保护?
答:分级保护是指对国家重要信息、法人和其他组织和公民专有信息、公共信息以及存储、传输、处理此类信息的信息系统以及使用的信息安全产品实施分级安全保护。信息系统实行分级管理,分级响应和处理信息系统发生的信息安全事件。
Q2:什么是等级保护2.0?
答:“等级保护2.0”或“等级保护2.0”是一个通用术语,是指按照新的等级保护标准开展工作的总称。一般认为是在《中华人民共和国网络安全法》颁布实施后提出。 2019年12月1日,网络安全等级保护基本要求、评价要求和设计技术要求的更新版本是一个标志性标志。
Q3:“等保”与“分保”有什么区别?
答:指分级保护、分级保护。主要区别在于监管机构、适用对象、分类级别等。
监管部门不同。等级保护由公安部门监管,等级保护由国家保密局监管。
适用对象不同,分级保护适用于非涉密系统,分级保护适用于涉及国家秘密的系统。
分级不同,分级保护分为五级:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(特殊控制保护); 3级:秘密级、机密级、绝密级。
Q4:“等保”与“关保”有什么区别?
答:是指分级保护和关键信息基础设施保护。 “关保”基于网络安全等级保护体系,实施重点保护。 《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围和保护的主要内容。
目前,《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批,相关试点工作已启动。
Q5:什么是等级保护测评?
答:是指测试评估机构按照国家信息安全等级保护制度的规定,按照相关管理规范和技术标准,对国家非国家秘密网络安全等级保护状况进行测试评估的活动。
Q6:等级保护是否是强制性的,可以不做吗?
答:《中华人民共和国网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求履行相关安全保护义务。同时,第七十六条将网络运营者定义为网络所有者、管理者和网络服务提供者。
虽然分级保护相关标准属于非强制性推荐标准,但网络运营者(个人和家庭网络除外)必须按照《网络安全法》的规定开展分级保护工作。
Q7:做等级保护要多少钱?
答:开展等级防护工作将包括:对业务系统进行评估的成本,按照等级防护要求开发、采购或部署安全防护产品的成本,以及进行日常安全运维的人力成本。总体投资成本取决于网络运营商对分级防护评估结果的预期,以及业务系统的安全防护能力建设和整改,相应的成本投入会存在较大差异。
为了避免在这种误区中盲目投入,建议咨询专业的安全服务咨询机构,制定最具性价比的解决方案,满足合规要求,满足业务系统安全需求。
Q8:等级保护测评一般多长时间能测完?
答:二级或三级系统的总持续时间为1-2个月。
现场评估周期一般为1周左右,具体时间会根据信息系统的数量和规模以及评估方与被评估方的配合情况而有所不同。
小规模安全整改(管理系统、策略配置技术整改)2-3周,报告1周。
Q9:等级保护测评多久做一次?
答:根据《网络安全等级保护条例(征求意见稿)》第二十三条规定,三级以上网络的运营者应当每年进行网络安全等级评估。二级信息系统建议每两年进行一次评估,部分行业明确要求每两年进行一次评估。
Q10:是否系统定级越低越好?
答:不需要。根据实际业务系统的情况,可以参照分级标准进行分级,采取“分级不可过低,不可分级过高”的原则。当网络安全事件发生并追究责任时,如果系统评级过低,则需要承担系统评级不合理、安全责任不履行的风险。
Q11:定级备案了是否就被监管了?
答:没有分级备案并不意味着不需要监管,应尽快履行网络运营者的安全责任进行备案。经过分级备案后,监管部门会在重要时刻进行安全检查或发出一些有针对性的安全预警,这将有助于网络运营者开展网络安全工作,降低风险。
Q12:等级保护工作就是做个测评吗?
答:等级保护工作包括分级、备案、评估、建设整顿、监督检查等,评估只是其中之一。评估并不是安全工作的终点,重要的是通过评估查漏补缺,不断提高安全防护能力,降低安全风险。
Q13:等级保护测评做一次要多少钱?
答:等级保护工作属于属地化管理,评估费全国范围内不统一价格。每个省份都有评估费的参考报价标准。总体评估费用根据业务系统规模以及是否涉及扩展功能测试而有所不同。
例如某省的参考报价为:二级系统评估费为5万元,三级系统评估费为9万元。
Q14:等保测评后就要花很多钱做整改吗?
答:不一定。可以根据网络运营商对评估结果评分的预期以及现有安全防护措施的实际效果是否能够保障业务免受风险等情况,按需开展整改工作。整改方向也有很多。除了安全设备或服务外,安全管理体系整改和安全政策调整的成本并不高,也能快速提升安全保障能力。
Q15:过等保要花多少钱?能包过吗?
答:等级保护采用备案和评估机制,不采用认证机制。不存在打包这回事,一味地采用服务商打包的打包产品和服务往往不是最划算的解决方案。网络运营商可以根据自身的实际安全需求以及评估评估的预期分数,咨询专业的第三方安全咨询服务机构开展安全建设工作以及评估机构的选择。
Q16:做了等级测评之后,是否会给发合格证书?
答:评估后没有合格证书。分级保护采用备案评价机制代替认证机制。公安机关仅审核信息系统备案情况,符合等级保护要求的,颁发信息系统等级保护证书。发现不符合相关标准的,将通知备案单位予以纠正,发现分级不准确的,通知备案单位重新审查确认。
Q17:如何快速理解等保2.0测评结果?
答:分级保护2.0的评价结果包括评分和结论评价;分数线为100分制,及格线为70分;结论评价分为优、良、中、差四个等级。
Q18:多长时间能拿到备案证明?
答:全国各省份对网警的管理存在差异。一般情况下,提交备案流程后,如果材料齐全(三级体系要求包括评估报告),审核成功后15个工作日内即可获得备案凭证。
Q19:不同公司的业务系统整合后是否可以算一个系统?
答:如果两个业务系统功能高度集成,集成后后台统一,可以认为是一个系统,只是增加了业务功能,可以根据业务系统的变化申请重新测试。
Q20:如何判定属于移动安全扩展要求?
答:当业务系统需要满足有专用APP、通过特定网络连接、有专用移动终端的需求时,可参考移动互联网扩展要求。
Q21:如何选择等级保护备案所在地?
答:建议根据待评估业务系统的经营主体、法人注册地优先向当地公安网警(公共信息网络安全监管局)备案,并找当地评估机构进行评估评估。或者您可以选择IT运维团队所在地进行备案和评估。
Q22:如何选择测评机构开展测评?
答:选择有检测资质的检测公司,优先考虑当地检测公司。您可以参考中国网络安全等级保护网(http://djbh.net)《国家网络安全等级保护评估机构推荐目录》,选择几家企业进行招标,并关注国家网络安全等级保护不定期的时间安排保护工作协调小组办公室在本网站发布。整改公告是否涉及相关评估公司。
Q23:如何确定业务系统属于等保几级?
答:可以参考等级保护分级指南,从业务系统安全和系统服务安全两个方面评估业务系统受损时对对象造成的影响,并取两方面较高的等级。
系统等级确定后,可以进行专家评审,审查系统分级的合理性。有行业主管部门制定的分级依据的,可以直接参照采用的行业分级标准进行分级。
Q24:买/用哪些安全产品能过等保?
答:根据实际情况,如考虑保障评估结果的分数和等级、业务系统风险和防护要求等,综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设和运维等投入。建议咨询专业的安全咨询服务机构定制解决方案。
Q25:现在还没做等保还来得及吗?有什么影响?
答:及时。种一棵树最好的时间是十年前,其次是现在。按照定级备案要求和程序,可先将定级备案文件报送公安机关,并将评估整改预算提上日程。资金落实前,可先进行系统分级、差距分析、整改方案制定。
Q26:业务系统在云上,安全是云平台负责的吧?
答:根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务提供商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户和云平台服务提供商应按照责任分担矩阵,分担相应的安全责任。
Q27:做完等级保护测评后整改周期是多久?
答:没有明确规定。优先整改高风险、最急需整改的问题。不强制要求一次性或一年内完成整改。安全建设和整改是一项持续不断的工作。另外,安全建设和安全整改是日常安全工作的一部分,而不仅仅是安全考核。
Q28:等级保护有哪些规范标准?
答:分级保护涉及面广,许多相关安全标准、规范、指南正在制修订中。常用的规范性标准包括但不限于以下内容:
GB/T 31167-2014信息安全技术云计算服务安全指南
GB/T 31168-2014信息安全技术云计算服务安全能力要求
GB/T 36326-2018 信息技术云计算云服务运营通用要求
GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南
GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求
GB/T 28448-2019信息安全技术网络安全等级保护评价要求
GB/T 22239-2019 信息安全技术网络安全等级保护基本要求
GB/T 22240-2008 信息安全技术信息系统安全等级保护分级指南
GB/T 36958-2018 信息安全技术网络安全等级保护技术要求安全管理中心
GM/T 0054-2018 信息系统密码应用基本要求
GB/T 35273-2020 信息安全技术个人信息安全规范
Q29:等级保护步骤或流程是什么样的?
答:根据信息系统等级保护相关标准,等级保护工作共分为五个阶段,即:信息系统分级、信息系统备案、系统安全建设、信息系统启动等级评估、定期监督检查由主管当局。
Q30:有哪些情况系统定级无需专家评审?
答:信息系统运营使用单位有上级主管部门,对信息系统安全防护等级有分级指导或审批的,无需进行等级专家评审。
主管部门一般是指行业的上级主管部门或监管部门。如果是用于跨区域联网运行的信息系统,必须经上级主管部门批准,以保证各区域同类系统或分支系统分类的一致性。
Q31:业务系统在内/专网,还需要做等保吗?
答:是的。内网和私网的非保密系统属于分级保护的范畴。虽然内网/专网上的业务系统的用户相对于互联网来说相对清晰或者可控,但内网并不意味着安全。
Q32:等级保护测评结论不符合是不是等级保护工作就白做了?
答:否。等级保护评估结论不符合要求,说明当前信息系统风险较高或整体安全性较差,不符合等级保护相应标准要求。但这并不意味着分级保护工作白做了。即使你有不达标的评估报告,主管单位也会承认你单位今年已经开展了分级保护工作,但目前存在很多问题,没有达到相应的标准。
Q33:拿什么证明开展过等级保护工作?
答:备案凭证或评估报告,即加盖评估机构公章或评估专用章的评估报告,以及加盖主管部门公章的系统备案凭证或系统分级备案材料。
Q34:系统在云上,还要做等保吗?
答:要做。业务上云的情况有很多,比如公有云、私有云、专用云等不同属性的云,使用IaaS、PaaS、SaaS、IDC托管等不同的服务。虽然安全责任边界发生了变化,但网络运营商的安全责任并未转移。按照“谁运营、谁使用、谁负责”的原则,落实网络安全责任,分级保护。
Q35:如何将业务快速迁移到腾讯云?
A:腾讯云提供迁移服务平台(Migration Service Platform,MSP),集成了各种迁移工具,并提供统一监控。迁移时,用户可以选择腾讯云官方迁移工具或官方认证的第三方迁移工具。迁移服务平台帮助用户方便快捷地将系统迁移到云端,清晰掌握迁移进度。迁移服务平台MSP不收取任何额外费用,您只需为您使用的迁移工具和资源付费。
Q36:业务在云上,到哪里进行定级备案?
答:业务系统的运维团队或其主要业务登记地均可向公安网警登记,无论业务系统的资源物理节点在云上的位置如何。
Q37:腾讯云等保测评评分是多少?
答:腾讯公有云三级防护评分为97.82;腾讯金融云四级得分为97.57。
Q38:如何获取腾讯云等级保护测评报告关键页或备案证明?
答:云租户进行等级防护评估时需要参考云平台的等级防护评估结果。腾讯云大客户可在专属QQ群提交请求;普通腾讯云客户可以在腾讯云控制台选择“工单”-“其他服务”-“其他腾讯云产品”提交工单。
Q39:腾讯云可以提供哪些帮助吗?
答:腾讯云已通过三级防护,腾讯金融云已通过四级防护要求。可以为云租户提供合规的云平台,这也是租户业务系统通过等级保护2.0评估的前提。
在安全产品方面,腾讯云拥有包括安全管理中心、防火墙、Web应用防火墙、DDoS高防、数据安全网关、主机安全、数据库审计、堡垒机等云原生安全防护产品。
在安全服务方面,腾讯云为云客户提供系统的网络安全等级保护合规建设和评估服务渠道。由具有深厚行业背景、10+年安全经验的资深安全专家提供专业安全服务,让安全建设不再是企业的负担。
Q40:如何联系腾讯云安全专家服务团队进行等保咨询?
答:您可以登录腾讯云官网(复制以下网址,在浏览器中打开https://cloud.tencent.com),通过控制台提交工单。或在官网相关页面提交申请。腾讯云网站官方菜单导航:产品-安全-安全服务-专家服务。