之前做过一段时间等保,但还没完全走完流程就被撤出来去干别的事情了。
但还是有些问题需要搞清楚,以下做个收集~
- 什么单位什么情况下该做等保?
- 作为信息系统,存储、传输、处理国家重要信息、法人和其他组织及公民的专有信息以及公开信息,就需要等级安全保护
- 涵盖了企业对外提供服务的业务系统和产品需要做等保:
- 中国境内运营的
- 政府、事业单位、对外提供服务的企业
- 除信息系统外,还包括基础网络、云平台、大数据、物联网、工控系统和移动互联
- 做等级保护的费用是多少?
- 开展等保工作包含:规划费用、建设或整改费用、运维费用、测评费用等。取决于单位现状、系统业务功能、重要程度及所在地等
- 某地参考价:2级系统测评费5w,3级系统9w
- 一般等保测评多久做一次,一次多久可以测完?
- 《网络安全等级保护条例》23条规定:三级及以上应每年做一次;二级建议每两年一次,部分行业明确要求每两年开展一次
- 一般2、3级系统持续周期为1-2个月:现场测评周期为1周左右,小规模安全整改2-3周,出具报告1-2周
- 一般签订测评合同起3-6个月出具测评报告
- 等级保护工作包含哪些?
- 定级、备案、测评、建设整改、监督审查。测评是其中一项
- 等保测评后是否会有合格证?
- 等级备案所在地该选择哪里?
- 首先明确备案主体:出现网络安全事件后的第一责任单位
- 大部分情况下,在备案主体所在地进行等保备案
- 若运维所在地和注册地不一致,一般在运维所在地备案
- 也有特殊行业要求,例如金融行业,如互联网金融系统、支付系统需要属地化管理
- 等保涉及哪些规范标准
- GB 17859-1999 计算机信息系统安全保护划分准则
- GB/T 31167-2014 信息安全技术 云计算服务安全指南
- GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
- GB/T 36326-2018 信息技术 云计算云服务运营通用要求
- GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南
- GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
- GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
- GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指
- GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
- GB/T 22240-2020 信息安全技术 网络安全安全等级保护定级指南
- GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
- GM/T 0054-2018 信息系统密码应用基本要求
- GB/T 35273-2020 信息安全技术 个人信息安全规范
- 系统在云上,还要做等保么?
- 云有很多情况,公有云、私有云、专有云,并采用IaaS,PaaS,SaaS等不同服务,安全责任边界发生了变化,但网络运营者的安全职责不会转移。依据:谁运营谁负责、谁使用谁负责、谁主管谁负责的原则,承担责任
- 做完等保测评就没有安全问题了?
- 非也。等保测评只是基线要求,安全是动态的过程,不是通过测评就一劳永逸
- 等保2.0什么时候正式实施?
参考:
- 2021年做等保合规:这40个问题你必须了解