等保相关问题

首页 > 新闻动态 > 帮助中心 > 等保相关问题

什么是等保2.0?不做等保有什么后果?

2023-10-08 11:24  浏览:

随着2017年6月1日《网络安全法》的实施,第二十一条“国家实行网络安全等级保护制度”将网络安全等级维护(以下简称“等级保护”)写入国家法律法规,成为强制性法规。根据小编的经验,目前各大监管行业主管部门已将等级保护纳入网络安全审查或领域资质审批的必要基本条件。从公司安全合规的角度来看,等级保护也是企业的安全责任。那么,在做等级保护的过程中,业务上也有很多顾虑。什么是等级保护?什么是等级保护2.0?如何做等级保护?如何制定系统级别?如何配合业务?在这里,天下数据小编整理了一些基本问题和答案,帮助读者了解等级保护相关问题。

Q1:什么是等保?

答:等保是指对我国关键信息、法人等组织和公民的专有信息及其公共信息、存储、传输和处理这些数据的信息系统进行分级安全防护,对信息系统中常用的信息安全产品进行分级管理,对信息系统中发生的信息安全事件进行分级响应和处理。

Q2:等保2.0是什么意思?

答:“等级保护2.0”或“等级保护2.0”是一种常见的说法,是指按照新的等级保护标准和规范开展工作的通称。一般认为,《中华人民共和国网络安全法》颁布实施后,以2019年12月1日网络安全等级维护基本原则、评价要求和设计技术标准升级为代表性标志。

Q3:什么是等保评估?

答:指具有等级保护评价资格的评价机构,按照国家信息安全等级保护制度和有关管理规范和标准,对非涉及国家机密网络安全等级维护的活动进行检查和评价。

Q4:等保是强制性的,能不能不做?

答:《中华人民共和国网络安全法》第二十一条要求网络运营商按照网络安全等级保护制度的需要履行相关的安全保护责任。第七十六条同时定义了网络运营商是指网络的所有者、管理者和网络服务提供者。

虽然等级保护技术标准是非强制性推荐标准,但网络(个人和家庭网络除外)运营商必须按照《网络安全法》进行等级保护。

Q5:不做等保有什么后果?

答:根据《网络安全法》的规定,不备案视为违法,必须承担相应的法律依据和处罚。

以下是《网络安全法》中有关违法处罚的内容,供参考:

第五十九条网络运营商不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正并给予警告;拒不改正或者危害网络安全的,处一万元以上十万元以下罚款,直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施经营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正并给予警告;拒不改正或者危害网络安全的,处十万元以上一百万元以下罚款,直接负责的主管人员处一万元以上十万元以下罚款。

Q6:等保流程或步骤是什么?

答:根据信息系统等级保护技术标准,分为信息系统分级、信息系统备案、系统安全建设、信息系统等级评价、主管单位定期监督管理五个阶段。

Q7:等保要多少钱?

答:等保工作费用大致包括:业务系统评价费用、按等级保护规定开发、购买或部署安全防护产品费用、日常安全运行维护费用等人工费用。

等保评价工作属于本地化管理,评价费用不是国家统一价格,评价费用每个省都有参考价格规范。根据不同属地、不同系统规模和等级,评价费用不同。为防止盲目投资,建议咨询专业合规内部控制团队,制定性价比最高的解决方案,满足合规规定,满足业务系统安全保障规定。

Q8:等保评估一般需要多长时间才能完成?

答:二级或三级系统的整体连续周期约为3个月。现场评价周期一般为2周左右,具体时间需要根据信息系统的数量和信息系统的规模以及评价方与被评价方的合作情况进行调整。安全整改(管理计划、对策配备技术整改)取决于系统整改成本,一般约2周,报告时间为1-2周。

Q9:等待保险评估多久做一次?

答:对系统评价时间有明确规定。二级信息系统每两年评价一次,三级信息系统每年评价一次,四级信息系统每半年评价一次。

Q10:确定系统级别的原则是什么?

答:根据实际业务系统的现象,参照分级要求进行分级,选择“分级太低不可行,分级太高不可行”的原则。对网络安全事件进行问责时,如果系统分级过低,应承担系统分级不科学、安全管理不到位的风险。

Q11:定级备案意味着什么?

答:没有分级备案并不意味着不需要控制,公司还需要实施网络运营商的安全管理进行备案。分级备案后,监督机构将进行安全检查,并进行相应的专项整改工作。

Q12:等保工作是等保评估吗?

答:等保工作包括分级、备案、评价、施工整改、监督核查,评价只是其中之一。评价是等保工作的重要组成部分,通过评价总结经验,不断提高系统的安全防护能力,减少安全隐患。

Q13:评估后整改一定要花很多钱吗?

答:不一定。

整改工作可以根据网络运营商对评价结果的期望和当前安全防护措施的效果,确保业务需要按需抵御风险。整改内容也有很多不同的方向。除了安全设备或服务外,安全制度和安全设置也是重要的整改方式,也可以快速提升安全保障能力。

Q14:过等保能包吗?

答:等级保护选择备案评价体系而不是认证体系,不会有付费的说法。应选择合适的评价机构进行等保评价工作。

Q15:等保工作取得了什么证明?

答:备案证书和评价报告,即加盖评价机构公章或评价专用章的评价报告,以及加盖主管部门公章的系统备案证书或系统分级备案材料。备案证书由公安机关颁发。评价按系统等级进行,并提供评价报告。目前,公安部门规定,评价报告按不同等级进行年度审查,并报公安部门。

Q16:能拿到备案证多久?

答:全国各省网警管理略有不同。一般提交备案流程后,如材料完善(三级系统要求包括评估报告),审批顺利完成后15个工作日即可取得备案证明。

Q17:如何确定业务系统属于等保级?

答:可以参考等级保护分级指南,从业务系统安全和系统服务安全两个方面评论业务系统被破坏时对客体的影响程度,取两个方面较高的等级。

系统等级确定后,二级以上系统必须进行专家评审,对系统等级的合理化进行评审。

Q18:如何快速了解等保2.0评价结果?

答:等级保护2.0评价结果包括评分和结果评价;得分为百分制,及格线为70分;结果分为优、优、中、差四个等级。90分(含)以上为优,80分(含)以上为优,70分(含)以上为优,70分以下为差。

Q19:业务系统在云上,如何进行等保备案工作?

答:根据《信息安全技术网络安全等级保护基本要求》(GB附则D/T2239-2019),云服务提供商根据提供的IaaS、PaaS、SaaS负责不同平台的安全责任。业务系统上云后,云租户与云平台服务提供商应遵循责任分担矩阵,共同承担相应的安全管理。云平台和云租赁按照“谁运营谁负责,谁应用谁负责,谁负责”的原则,承担网络安全责任,开展等级保护工作。

Q20:等等保留了哪些规范标准?

答:等级保护涉及面广,一些相关的检测标准、规范和指南正在编制或修订中。常见的标准包括但不限于以下几点:

·GB/T2848-2019信息安全技术网络安全等级保护评价规定

·GB/T2239-2019信息安全技术网络安全等级维护基本原则

·GB/T2240-2008信息安全技术信息系统安全等级保护定级指南

·GB/T3167-2014信息安全技术云计算服务安全指南

·GBT3168-2014信息安全技术云计算服务安全能力要求

·GBT3626-2018信息技术云计算云服务运营一般规定

·GB/T25058-2010信息安全技术信息系统安全等级保护实施指南

·GB/T25070-2019信息安全技术网络安全等级维护安全设计技术标准

·GB/T3698-2018信息安全技术网络安全等级维护安全管理中心技术标准

·GM/T0054-2018信息系统密码应用的基本原则

·GB个人信息安全规范/T35273-2020

Q21:在业务系统内/专网内,还要做等保吗?

答:按照相关标准:必须。内部网络和专用网络的非保密系统属于等级保护范围。虽然内部/专用网络的用户比互联网更清晰或可控,但内部网络并不意味着安全。

Q22:等待评估结果不符合是否等级保护工作白做?

答:不是。等级保护评价结果不符合表明信息系统存在高风险或整体安全性差,不符合相应的等级保护标准。即使拿着不符合要求的评价报告,主管单位也认可今年大家企业的等级保护工作已经开展,但目前存在很多问题,不符合相应的规范。

Q23:“等保”和“分保”有什么区别?

答:指等级保护和分级保护,关键在于监督机构、适用对象、分类等级等方面的差异。

第一,监督机构不同,等级保护由公安机关控制,分级保护由国家保密局控制。

二是适用对象不同,等级保护适用于非保密系统,分级保护适用于涉及我国的秘密系统。

第三,等级划分不同,等级保护分为五个等级:一级(独立维护)、二级(指导维护)、三级(监管维护)、四级(强制维护)、五级(专控维护)(专控维护);分级保护分为秘密级、机密级、绝密级三个等级。

Q24:等保和“关保”有什么区别?

答:指等级保护和关键信息基础设施维护,“关键保护”应在网络安全等级保护制度的基础上实施重点保护。《中华人民共和国网络安全法》第三章第二节明确了关键信息基础设施的运行安全,包括关键信息基础设施的类别和维护的主要内容。目前,《信息安全技术关键信息基础设施网络安全保护基本要求》正在审批中,相关试点工作已经启动。

现在,为了帮助企业用户快速满足等保合规的要求,天*下*数*据推出了等级保护测评解决方案,能为你的等保测评提供关键服务。https://www.idcbest.com/

【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015

下一篇:等保定级要提交的材料,如何进行等保定级 上一篇:等级保护合规的意义与实施步骤