等保2.0一些疑惑解答

Posted by shentanli on July 11, 2021 · 1 min read

之前做过一段时间等保,但还没完全走完流程就被撤出来去干别的事情了。 但还是有些问题需要搞清楚,以下做个收集~

  1. 什么单位什么情况下该做等保?
    • 作为信息系统,存储、传输、处理国家重要信息、法人和其他组织及公民的专有信息以及公开信息,就需要等级安全保护
    • 涵盖了企业对外提供服务的业务系统和产品需要做等保:
      • 中国境内运营的
      • 政府、事业单位、对外提供服务的企业
      • 除信息系统外,还包括基础网络、云平台、大数据、物联网、工控系统和移动互联
  2. 做等级保护的费用是多少?
    • 开展等保工作包含:规划费用、建设或整改费用、运维费用、测评费用等。取决于单位现状、系统业务功能、重要程度及所在地等
    • 某地参考价:2级系统测评费5w,3级系统9w
  3. 一般等保测评多久做一次,一次多久可以测完?
    • 《网络安全等级保护条例》23条规定:三级及以上应每年做一次;二级建议每两年一次,部分行业明确要求每两年开展一次
    • 一般2、3级系统持续周期为1-2个月:现场测评周期为1周左右,小规模安全整改2-3周,出具报告1-2周
    • 一般签订测评合同起3-6个月出具测评报告
  4. 等级保护工作包含哪些?
    • 定级、备案、测评、建设整改、监督审查。测评是其中一项
  5. 等保测评后是否会有合格证?
    • 等保采用备案、测评机制,非认证机制
  6. 等级备案所在地该选择哪里?
    • 首先明确备案主体:出现网络安全事件后的第一责任单位
    • 大部分情况下,在备案主体所在地进行等保备案
    • 若运维所在地和注册地不一致,一般在运维所在地备案
    • 也有特殊行业要求,例如金融行业,如互联网金融系统、支付系统需要属地化管理
  7. 等保涉及哪些规范标准
    • GB 17859-1999 计算机信息系统安全保护划分准则
    • GB/T 31167-2014 信息安全技术 云计算服务安全指南
    • GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
    • GB/T 36326-2018 信息技术 云计算云服务运营通用要求
    • GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南
    • GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
    • GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
    • GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指
    • GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
    • GB/T 22240-2020 信息安全技术 网络安全安全等级保护定级指南
    • GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
    • GM/T 0054-2018 信息系统密码应用基本要求
    • GB/T 35273-2020 信息安全技术 个人信息安全规范
  8. 系统在云上,还要做等保么?
    • 云有很多情况,公有云、私有云、专有云,并采用IaaS,PaaS,SaaS等不同服务,安全责任边界发生了变化,但网络运营者的安全职责不会转移。依据:谁运营谁负责、谁使用谁负责、谁主管谁负责的原则,承担责任
  9. 做完等保测评就没有安全问题了?
    • 非也。等保测评只是基线要求,安全是动态的过程,不是通过测评就一劳永逸
  10. 等保2.0什么时候正式实施?
    • 2019.12.1正式实施。

参考:

  1. 2021年做等保合规:这40个问题你必须了解