中國非公立醫療機構協會是由依法獲得醫療機構執業許可的非公立醫療機構、相關企事業單位和社會團體等有關組織和個人自愿結成的全國性、行業性、非營利性社會組織。更多>>
等保2.0丨問題集
答:等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護標準規范開展工作的統稱。通常認為是《中華人民共和國網絡安全法》頒布實行后提出,以2019年12月1日,網絡安全等級保護基本要求、測評要求和設計技術要求更新發布新版本為象征性標志。
答:指等級保護與分級保護,主要不同在監管部門、適用對象、分類等級等方面。
監管部門不一樣,等級保護由公安部門監管,分級保護由國家保密局監管。
適用對象不一樣,等級保護適用非涉密系統,分級保護適用于涉及國家密秘系統。
等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護);分級保護分3個級別:秘密級、機密級、絕密級。
答:指等級保護與關鍵信息基礎設施保護,“關保”是在網絡安全等級保護制度的基礎上,實行重點保護。《中華人民共和國網絡安全法》第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。目前《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》正在報批中,相關試點工作已啟動。
答:開展等級保護工作會包含:針對業務系統開展測評的費用,以及按等級保護要求開發、購買或部署安全防護產品成本,開展安全日常運維等人力成本。總體投入的費用與網絡運營者對等級保護測評結果分數的預期,以及業務系統安全防護能力建設與整改的情況而定,相應的費用投入會差距很大。為避免盲目投入這個誤區,建議咨詢專業安全服務咨詢機構制訂最高性價比的解決方案來滿足合規要求又達到業務系統安全保障要求。
答:一個二級或三級的系統整體持續周期1-2個月。現場測評周期一般1周左右,具體時間還要根據信息系統數量及信息系統的規模,以及測評方與被測評方的配合情況等有所增減。小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1周。
答:《信息安全等級保護管理辦法》公通字[2007]43號中,關于系統測評時間有明確規定,二級信息系統未明確測評時間,三級信息系統明確規定每年測評一次,四級信息系統每半年測評一次,第五級信息系統應當依據特殊安全需求進行自查。
答:不是。可根據實際業務系統的情況參照定級標準進行定級,采用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統定級過低,需承擔系統定級不合理、安全責任沒有履行到位的風險。
答:沒有定級備案并不代表不需被監管,應盡快履行網絡運營者的安全責任進行備案。定級備案后監管部門會在重要時候開展安全檢查或發布一些針對性的安全預警,有利于網絡運營者開展網絡安全工作降低風險。
答:等級保護工作包括定級、備案、測評、建設整改、監督審查,測評只是其中一項。測評不是等保工作的結束,重要的是通過測評查漏補缺,不斷改進提升安全防護能力,降低安全風險。
答:等級保護工作屬于屬地化管理,測評收費非全國統一價,測評費用每個省都有一個參考報價標準。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為:二級系統測評費5萬,三級系統測評費9萬。
答:不一定。
整改工作可根據網絡運營者對測評結果分數的期望和現有安全防護措施的實際效果是否能保障業務抵抗風險的需求按需開展。整改內容也有很多不同方向,除安全設備或服務外,安全管理制度、安全策略調整的整改成本并不高,同樣也能快速提升安全保障能力。
答:等級保護采用備案與測評機制而非認證機制,不存在包過的說法,盲目采納服務商包過的產品與服務套餐往往不是最高性價比的方案。網絡運營者可結合自身實際安全需求與等保測評預期得分,咨詢專業的第三方安全咨詢服務機構來開展等建設工作與測評機構的選擇。
答:測評后無合格證書。等級保護采用備案與測評機制而非認證機制,公安機關只對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全等級保護備案證明,發現不符合有關標準的,通知備案單位予以糾正,發現定級不準的,通知備案單位重新審核確定。
答:等級保護2.0測評結果包括得分與結論評價;得分為百分制,及格線為70分;結論評價分為優、良、中、差四個等級。得分90分(含)以上為優,80分(含)以上為良,70分(含)以上為中,70分以下為差。
答:全國各省網警管理有所差異,一般提交備案流程后,如資料完備(三級系統要求含測評報告),順利通過審核后15個工作日即可拿到備案證明。
答:可參照等級保護定級指南,從業務系統安全和系統服務安全兩個方面評價當業務系統被破壞時對客體的影響程度,取兩個方面較高的等級。
當確定系統級別后,可開展專家評審對系統定級合理性進行審核。如有行業主管部門制訂的定級依據,可直接參照采納行業定級標準定級。
答:根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)附錄D,云服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業務系統上云后,云租戶與云平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。
答:等級保護涉及面廣,相關的安全標準、規范、指南還有很多正在編制或修訂中。常用的規范標準包括但不限于如下幾個:
答:根據信息系統等級保護相關標準,等級保護工作總共分五個階段,分別為:信息系統定級、是信息系統備案、是系統安全建設、是信息系統開始等級測評、主管單位定期開展監督檢查。
答:信息系統運營使用單位有上級主管部門,且對信息系統的安全保護等級有定級指導意見或審核批準的,可無需在進行等級專家評審。主管部門一般指行業的上級主管部門或監管部門。如果是跨地域聯網運營使用的信息系統,則必須由上級主管部門審批,確保同類系統或分支系統在各地域分別定級的一致性。
答:不是。等級保護測評結論不符合表示目前該信息系統存在高危風險或整體安全性較差,不符合等保的相應標準要求。但是這并不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標準。
答:備案證明或測評報告,即加蓋測評機構公章或測評專用章的測評報告以及有主管部門公章的系統備案證明或系統定級備案資料。
答:要做。業務上云有多種情況,如在公有云、私有云、專有云等不同屬性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服務,雖然安全責任邊界發生了變化,但網絡運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。
答:可在業務系統運維團隊或其公司主體經營注冊地向公安網警進行備案,與業務系統在云上的資源物理節點的地點無關。