等保十问/等保相关基本问题解答

发布于:2025-04-11 ⋅ 阅读:(42) ⋅ 点赞:(0)

网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施,对重要基础设施重要系统以及“云、物、移、大、工控”纳入等保监管,将互联网企业纳入等级保护管理。以下10问10答,为您解答基本的等保相关问题。

一、什么是等保?

等保是等级保护的简称,是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

二、为什么要过等保?

网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提高定级对象的安全防护能力。

此外,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。

做好等级保护工作除了满足国家相关法律法规要求,还可以降低系统的信息安全风险,提升防护能力。

三、哪些行业需要过等保?

政府机关:各大部委、各省级政府机关、各地市级征服机关、各事业单位等。

金融行业:金融监管机构、各大银行、证券、保险公司等。

医疗行业:医院、疫病控制中心、计划生育机构、医疗卫生研究机构等。

教育行业:高校、职校、普教等。

电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。

能源行业:电力公司、石油公司等。

企业单位:大中型企业、央企、上市公司等。

其他单位:有信息系统定级需求的行业与单位。

四、过等保的流程是?

过等保一般依次要经过5个阶段,分别是:

1)信息系统定级

2)信息系统备案

3)信息系统安全建设

4)信息系统等级测评

5)主管单位监督检查

五、自主定级的依据是?

信息安全等级保护(简称等保)制度中,自主定级是指运营、使用信息系统的单位,根据信息系统的重要性以及受到破坏后可能造成的危害程度,自主确定信息系统的安全保护等级。 自主定级的依据主要来源于以下几个方面:

**1. 《中华人民共和国网络安全法》:**

*   该法律是等保制度的根本法律依据,明确了网络运营者的安全保护义务,包括开展等级保护工作。虽然《网络安全法》没有具体规定定级方法,但强调了保护网络安全的总体要求。

**2. 《信息安全技术 网络安全等级保护基本要求》系列标准 (GB/T 22239):**

*   这是等保的核心技术标准,根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、泄露、篡改等可能造成的危害程度,划分安全保护等级,从一级到五级,等级越高,保护要求越高。

**3. 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240):**

*   这是自主定级最关键的依据。它详细规定了信息系统安全保护等级的确定过程和方法,包括:
    *   **定级对象识别:** 确定需要进行等级保护的系统范围,避免遗漏重要系统。
    *   **影响程度分析:** 分析系统受到破坏后对国家安全、社会秩序、经济建设、公众利益以及公民个人权益等方面的影响程度。这是定级的核心环节。
    *   **初步定级:** 根据影响程度分析,结合系统的业务类型、数据敏感性等因素,初步确定安全保护等级。
    *   **专家评审:** 邀请信息安全专家对初步定级结果进行评审,确保定级结果的合理性。
    *   **主管部门审批/备案:** 根据系统类型和等级,可能需要向相关主管部门进行审批或备案。

**4. 《信息安全技术 网络安全等级保护实施指南》(GB/T 28448):**

*   虽然不是直接的定级依据,但它提供了等保实施的指导,包括如何组织等保工作、如何进行安全建设整改等,有助于理解等保的整体要求,从而更准确地进行定级。

**5. 各行业、各部门的等级保护相关政策和标准:**

*   各个行业和部门,例如金融、能源、交通、医疗等,通常会根据自身的业务特点和安全需求,制定更具体的等级保护政策和标准。这些政策和标准可能对某些行业或特定类型的系统提出更高的安全要求,从而影响定级结果。

六、去哪里进行信息系统定级备案工作?

省级:省级单位将定级备案材料交到省公安网安总队进行备案。

市级:各地级市的单位将定级备案材料交到各自地级市的网安支队进行备案。

县级:先将定级备案材料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。

特殊行业按所在行业的要求执行备案。

七、要测评些什么

测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统、平台或基础信息网络等定级对象安全等级保护状况进行检测评估。

测评包含技术和管理2大层面:

技术层面,包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

管理层面,包含安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

八、多久要测评一次

定级为三级及以上的系统,每年至少开展一次等保测评;

定级为二级的系统,建议每两年开展一次

部分行业按所在行业的要求落实测评

九、测评整改要求和时限

系统经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步整改。

建议在当年度完成整改。常见的整改项有:

1)送检单位或送检系统的安全管理制度不完善或缺失;

2)漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类等;

3)安全防护设备缺失或不完善,要补齐。如云上开启管控权限的堡垒机、使用防止攻击的Web应用防火墙等。

十、等保测评结束后要做什么?

打印测评结果报告一式四份,测评机构一份,送检系统所在单位两份,网安一份。

等级保护是持续性的工作,监管单位会定期开展监督检查,等保三级定级对象每年都要开展等级保护测评工作。

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布