等级保护常见问题和解答

等级保护常见问题和解答,第1张

答:等级保护是公安部第三研究为响应国务院147号令而牵头制定的信息安全标准和规范,全称《信息安全等级保护》。等级保护截止目前为止分为两个版本,等级保护10和等级保护20,基本内容要求分别参考GB/T 22239-2008和GB/T 22239-2019,由此可见等级保护10是从2008年开始实施的,而等级保护20是从2019年开始实施的。

  等保20之后都是由专家进行定级,也就是在当地公安网监部门进行等保备案的时候进行定级评估。一般遵循如下原则:

答:等保的指标项参考基本要求项GBT 22239和测评项 GBT 28448;原则上可以通过配置和自身调整实现的基本要求项和测评项就不需要额外购买软硬件来弥补,如果实在消耗人力和资源过大和无法通过自身资源调整实现,那最快最使用的方式就是购买第三方软硬件和服务来实现该项的要求。

答:等级保护的范围是全国所有非涉密系统,无论系统在内网还是互联网,都需要做等保。

答:等级保护是以信息系统为整体,而不是以公司或部门。

  比如有一个公司有10个信息系统,那么除去不重要的,还有5个。

a、有两个信息系统之间存在较多的数据之间的交互,则可以以一个整体做等保;

b、如有较少的数据交互或不存在交互,则建议单独定级。

答:等保二级每两年一次,没有明确的标准说明,一般都是建议每两年做一次。

等保三级每年都需做一次,参考见《信息安全等级保护管理办法》(公通字[2007]43号),又称43号文第十四条明确规定。

http://wwwsciogovcn/ztk/hlwxx/02/09/document/533639/533639htm

  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行网络安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

  如果你的信息系统没做等保,那被攻击了,造成一定影响了,首先是你没履行网络安全义务,其次是黑客犯法,两者都将收到严惩。

  关键信息基础设施简称“关保”,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

  等级保护与关键信息基础设施保护的区别在于,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。

  目前“关保”的基本要求、测评指南、高风险判例等均已完成,相关工作已启动。等保的受众范围比关保要广泛,通常要做关保建设的主体都要做等保建设,而要做等保建设的不一定要做关保建设,关保建设是针对重要行业和领域的,是基于等保之上进行重点保护的。

  《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

  等级保护工作是保障我国网络安全的基本动作,目前各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。

  一个二级或三级的系统整体持续周期1-2个月。

  现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。

  小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1-2周。

  目前各地根据各自省份或城市的情况,还存在单独规定测评实施周期的情况,一般是签订测评合同之日起3-6个月必须出具测评报告。

  等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。

如某省的参考报价为:二级系统测评费5万,三级系统测评费9万。

  等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作。

  测评后无合格证书。等级保护采用备案与测评机制而非认证机制,在属地网安备案后可获得《信息系统安全等级保护备案证明》,测评工作完成后会收到具有法律效率的“测评报告(至少要加盖测评机构公章和测评专用章)”。

  全国各省网警管理有所差异,一般提交备案流程后,如资料完备,顺利通过审核后15个工作日即可拿到备案证明。

  等级保护20测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。

  不同公司作为两个独立承担法律的主体单位,必须明确唯一的备案主体,不能算一个系统。同一单位的业务系统,如确实经过改造,入口、后台、业务关联性、重要程度等符合《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》要求可以算作一个系统。

  选择有测评资质的测评公司,优先考虑本地测评公司。可参照中国网络安全等级保护网( djbhnet )的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标,同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。

  等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下:

  不是。等级保护测评结论为“差”,表示目前该信息系统存在高危风险或整体安全性较差,没有达到相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准,需要抓紧整改。

  一般情况是备案证明和测评报告,测评报告应加盖测评机构公章和测评专用章。

  要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。

  很多人认为,完成等保测评就万事大吉了。其实,不然。等保测评标准只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但是,安全是一个动态而非静止的过程,不是通过一次测评,就可以一劳永逸的。

  企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此,要通过等级保护测评工作开展,以“一个中心、三重防护”好“三化六防”等为指导,不断提升网络攻防能力。

  首先,等保的每隔一段时间进行评测的,是一个持续不断的过程;即使投机取巧今年过了,明年后年也还是要进行测评的。

  其次,并没有要求一定要自己购买,只需要提供有相关的服务证明即可,租赁合同也可以的。

  首先声明等保是没有明文规定要求去购买第三方软件和硬件的,第三方的软件和硬件只是作为补偿措施;在应用系统本身无法都满足等保要求的情况下,可以借助一些补偿措施来弥补应用系统上的不足,让应用系统符合等级保护测评项的相关要求。

漏洞扫描: 基本所有级别的等保都建议要进行漏洞扫描

渗透测试 三级等保要求必须做,二级等保虽然不是强制要求但是首次进行等保建设还是建议先做一次的。

基线核查: 并非等保要求,但是方便去整改;如果在测评之前做了基线核查工作,那么整改起来也会方便很多。

最快也得一周,具体看当地网监部门的审核进度。

外壳防护等级一般是由两个数字所组成,第一个数字表示产品防尘、防止外物侵入的等级;第二个数字表示产品防湿气、防水侵入的密闭程度。如果某类设备满足试验一般要求而且所选择的防护等级适用于该设备型式,则本标准也适用于该型式设备的空外壳。各类产品引用防护等级的程度和方式,留待产品标准决定,对具体的防护等级所采用的试验应符合本标准的规定,必要时,在有关产品标准中可增加补充要求。

等保20国家标准对比等保10,在保护范围、法律效力、技术标准、安全体系、定级流程、定级指导等方面均发生变化,信息安全系统改造在即。等保20做出对关键信息基础设施“定级原则上不低于三级”的指导,测评分数的要求由60分提升至75分以上,且第三级及以上信息系统每年或每半年就要进行一次测评。国家重点行业将带头加大信息安全产品和咨询服务的持续投入。回顾我国信息安全产业曾在等保10影响下进入加速发展期,专家预计,等保20将继续带动行业大发展,至少打开百亿级以上增量市场空间。

:人身安全保护令,是一种民事强制措施,是人民法院为了保护家庭暴力受害人及其子女和特定亲属的人身安全、确保婚姻案件诉讼程序的正常进行而作出的民事裁定。当事人因遭受家庭暴力或面临家庭暴力的现实危险,向人民法院申请人身安全保护令的,人民法院应当受理。当事人因无法申请人身安全保护令的,其近亲属可以代为申请。

法律依据:

《中华人民共和国消防法》第十六条机关、团体、企业、事业等单位应当履行下列消防安全职责:

(一)落实消防安全责任制,制定本单位的消防安全制度、消防安全 *** 作规程,制定灭火和应急疏散预案;

(二)按照国家标准、行业标准配置消防设施、器材,设置消防安全标志,并定期组织检验、维修,确保完好有效;

(三)对建筑消防设施每年至少进行一次全面检测,确保完好有效,检测记录应当完整准确,存档备查;

(四)保障疏散通道、安全出口、消防车通道畅通,保证防火防烟分区、防火间距符合消防技术标准;

(五)组织防火检查,及时消除火灾隐患;

(六)组织进行有针对性的消防演练;

(七)法律、法规规定的其他消防安全职责。单位的主要负责人是本单位的消防安全责任人。

等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。

企业办理等级保护作用:

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业等。落实个人及单位的网络安全保护义务,合理规避风险。

信息安全等级保护的办理流程:

一步:定级;(根据企业的系统评定办理级别)

二步:修改;(对系统经行大致的修改系统)

三步:评测;(评测商对系统评测,得分)

四步:备案;(在当地的网安部门备案)

五步:维护。(定期对系统经行维护)

证书案例

欢迎分享,转载请注明来源:内存溢出

原文地址: https://outofmemory.cn/zaji/12181159.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-21
下一篇 2023-05-21

发表评论

登录后才能评论

评论列表(0条)

保存