【Q&A干货分享】敲重点，企业必须关注的等保灵魂20问

随着国内疫情防控取得积极成效，企业逐步复工复产，等保合规也重新提上重要日程。自去年12月1日，我国《信息安全等级保护管理办法》正式进入2.0时代，但目前传统的等保安全产品，市面上产品繁多，且施工复杂、交付周期长、服务质量参差不齐。

为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保合规建设，网银互联安全专家服务团队梳理了等保常见20个问题，以供大家参考。

Q1：什么是等级保护？
答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

Q2：什么是等保2.0？
答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以2019年12月1日，网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。

Q3：为什么要做等保？
答：主要有三大原因：法律法规要求、行业要求、企业系统安全需求。但严格来说，最主要的原因是：法律法规要求——《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。如果达到了法律法规要求的条件，不做等保就是违法！

Q4：等级保护是否是强制性的,可以不做吗？
答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

Q5：哪些行业必须做等保？
答：教育行业、医疗行业、金融行业、物流行业、游戏行业、出版行业、国资行业、电商行业、网贷行业、通讯行业、能源行业等。
等级保护相关标准虽然为非强制性的推荐标准，但网络（个人与家庭网络除外）运营者必需按网络安全法开展等级保护工作。

Q6：等保一共分为几级？
答：第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）、第五级（专控保护级）。一般企业过二级、三级等保即可，金融类需四级等保。

Q7：如何确定企业的业务系统属于等保几级？
答：可参照等级保护定级指南，从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度，取两个方面较高的等级。
当确定系统级别后，可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据，可直接参照采纳行业定级标准定级。

Q8：是否系统定级越低越好？
答：不是。可根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。

Q9：做等级保护要多少钱？
答：开展等级保护工作会包含：针对业务系统开展测评的费用，以及按等级保护要求开发、购买或部署安全防护产品成本，开展安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期，以及业务系统安全防护能力建设与整改的情况而定，相应的费用投入会差距很大。
为避免盲目投入这个误区，建议咨询网银互联安全专家，制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。

Q10：等级保护测评一般多长时间能测完？
答：一个二级或三级的系统整体持续周期1-2个月。
现场测评周期一般1周左右，具体时间还要根据信息系统数量及信息系统的规模，以及测评方与被测评方的配合情况等有所增减。小规模安全整改（管理制度、策略配置技术整改）2-3周，出具报告时间1周。

Q11：等级保护测评多久做一次？
答：四级信息系统要求每半年至少开展一次测评；三级信息系统要求每年至少开展一次测评；二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

Q12：多长时间能拿到备案证明？
答：全国各省网警管理有所差异，一般提交备案流程后，如资料完备（三级系统要求含测评报告），顺利通过审核后15个工作日即可拿到备案证明。

Q13：不同公司的业务系统整合后是否可以算一个系统？
答：如果两个业务系统整合后功能高度融合，后台统一，可以认为是一个系统，只是业务功能增加，按业务系统更变申请复测即可。

Q14：买/用哪些安全产品能过等保？
答：可根据实际情况，如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。

Q15：等级保护有哪些规范标准？
答：等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个：
GB/T 31167-2014 信息安全技术 云计算服务安全指南

GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

GB/T 36326-2018 信息技术 云计算云服务运营通用要求

GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南

GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求

GB/T 28448-2019信息安全技术 网络安全等级保护测评要求

GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南

GM/T 0054-2018 信息系统密码应用基本要求

GB/T 35273-2020 信息安全技术 个人信息安全规范

Q16：等级保护步骤或流程是什么样的？
答：根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。

Q17：业务系统在内/专网，还需要做等保吗？
答：需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全。

Q18：系统在云上，还要做等保吗？
答：要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。

Q19：IDC客户如何轻松过等保？
答：可选择已过等保三级的IDC机房，这也是租户业务系统通过等级保护2.0测评的先决条件。以【托管即合规】的资源池方式，实现了IT安全服务虚拟化、资源池化、交付敏捷、节省成本四大优势。

Q20：如何省心过等保？
答：可选择专业机构；评判标准：安全产品方面，针对等保二级和三级的要求，需要拥有包含安全管理中心、下一代防火墙、web应用防火墙、DDoS高防、数据安全网关、入侵防御、漏洞监测、IDS、IPS、堡垒机、数据库审计、日志审计等安全防护产品。安全服务方面，能提供一站式、全流程服务，可为客户设计最佳的安全防护方案，最大化安全防护效果。

详情可访问：https://www.linkcloud.cn/solution/safetyRule