Q1.什麽是等級保護？

答：等級保護是指對國家重要信息、法人和其他組織及公民媽他的專有信息以及公開(kāi)信息和存儲、傳輸、處理這舊作些信息的信息系統分(fēn)等級實行安全保護，對信息系兵長統中(zhōng)使用的信息安全産品實行公不按等級管理，對信息系統中(zhōng)發生(shēng)的信息安全事件黃得分(fēn)等級響應、處置。

Q2. 什麽是等級保護2.0？

答：“等級保護2.0”或“等保2.0”是一(yī)個約定俗成的說法，指按師好新的等級保護标準規範開(kāi)展工(gōng裡空)作的統稱。通常認爲是《中(zhōng)華人民共和國網離路絡安全法》頒布實行後提出，以2019年12月1日，看商網絡安全等級保護基本要求、測評要求和設計技術購媽要求更新發布新版本爲象征性标志(zhì)。

Q3. “等保”與“分(fēn)保”有什麽道山區别？

答：指等級保護與分(fēn)級保護，主要不同在監管部門、适用對象、分(fēn)腦森類等級等方面。

監管部門不一(yī)樣，等級保護由公安部門監管，分(fēn)級保護由國家保密電吧局監管。

适用對象不一(yī)樣，等級保護适用非涉密系統，分(fēn)級保護适用于涉及國去南家密秘系統。

等級分(fēn)類不同，等級保護分(fēn)5個級别：一(yī)級(自主什服保護)、二級(指導保護)、三級(監督保護)、離理四級(強制保護)、五級(專控保護)；分(fēn)級保護分(fēn)3個船錯級别：秘密級、機密級、絕密級。

Q4.等保”與“關保”有什麽區别？

答：指等級保護與關鍵信息基礎設施保護，“關保”是在網絡安全等級保護制度好裡的基礎上，實行重點保護。《中(zhōng)華人民共和國網絡安全法》第三章第二務物節規定了關鍵信息基礎設施的運行安全，包括關鍵信息基礎設施的範圍、家費保護的主要内容等。目前《信息安全技術關鍵信息基礎設施網絡安離月全保護基本要求》正在報批中(zhōng)，相關試點工(兵錯gōng)作已啓動。

Q5.什麽是等級保護測評？

答：指測評機構依據國家信息安全等級保護制度規定，按照有關管理規範樂老和技術标準，對非涉及國家秘密網絡安全等級保護光喝狀況進行檢測評估的活動。

Q6.等級保護是否是強制性的,可以不做嗎(ma)？

答：《中(zhōng)華人民共和國網絡安全法》第二十一(yī)條規定網絡運營者頻河應當按照網絡安全等級保護制度的要求，履行相關的安全保護義務。音年同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務相山提供者。

等級保護相關标準雖然爲非強制性的推薦标準，師窗但網絡（個人與家庭網絡除外(wài)）運營者必須按網絡安全法開(kāi理書)展等級保護工(gōng)作。

Q7.做等級保護要多少錢？

答：開(kāi)展等級保護工(gōng)作會包含：針對為跳業務系統開(kāi)展測評的費(fèi)用，以及按等級保一件護要求開(kāi)發、購買或部署安全防護産品成本，開這他(kāi)展安全日常運維等人力成本。總體(tǐ)投入雪草的費(fèi)用與網絡運營者對等級保護測評結果分(fēn)數的預期，以及業務系坐子統安全防護能力建設與整改的情況而定，相應的費(微哥fèi)用投入會差距很大(dà)。爲避免盲目投入這個誤區，建議咨詢專業安全服要計務咨詢機構制訂性價比的解決方案來滿足合規車的要求又(yòu)達到業務系統安全保障要求。

Q8.等級保護測評一(yī)般多長時間能測完？

答：一(yī)個二級或三級的系統整體(tǐ)持續周期1-2個月。現場測評懂工周期一(yī)般1周左右，具體(tǐ)時間還要根據信息系統數量及信息系統的子問規模，以及測評方與被測評方的配合情況等有所增減。小(x遠市iǎo)規模安全整改（管理制度、策略配置技術整改）農門2-3周，出具報告時間1周。

Q9.等級保護測評多久做一(yī)次？

答：《信息安全等級保護管理辦法》公通字[200長厭7]43号中(zhōng)，關于系統測評時間有明确規志器定，二級信息系統未明确測評時間，三級信息系統明确規定每年測評一(在是yī)次，四級信息系統每半年測評一(yī)次，第五級信息系統應當依據南公特殊安全需求進行自查。

Q10.是否系統定級越低越好？

答：不是。可根據實際業務系統的情況參照定級标準進行定級，采用“定級過低不允許、市司定級過高不可取”的原則。當出現網絡安全事件進行追責的時候男分，如因系統定級過低，需承擔系統定級不合理、安全責任沒有履行到位的風險。

Q11.定級備案了是否就被監管了？

答：沒有定級備案并不代表不需被監管，應盡快履行網絡器她運營者的安全責任進行備案。定級備案後監管部門會在重要時候開(kāi)展安全檢理大查或發布一(yī)些針對性的安全預警，有利于網絡運營者開(kāi紅黑)展網絡安全工(gōng)作降低風險。

Q12.等級保護工(gōng)作就是做個測評嗎(ma)？

答：等級保護工(gōng)作包括定級、備案、測評、建設整改、監督審查，測兵科評隻是其中(zhōng)一(yī)項。測評不是等保工(gōng)作的結束，舊短重要的是通過測評查漏補缺，不斷改進提升安全防護能力，降低安全機還風險。

Q13.等級保護測評做一(yī)次要多少上我錢？

答：等級保護工(gōng)作屬于屬地化管理，測評收費(fèi)非全國統雨愛一(yī)價，測評費(fèi)用每個省都有一(yī)個參考報價标準。因業務系統紙鐘規模大(dà)小(xiǎo)及是否涉及擴展功能測試不同總體我火(tǐ)測評費(fèi)用也有所差異。

如某省的參考報價爲：二級系統測評費(fèi)5萬，三級系統測評費(f做音èi)9萬。

Q14.等保測評後就要花很多錢做整改嗎(ma)？

答：不一(yī)定。

整改工(gōng)作可根據網絡運營者對測評結果分(fēn)數的期做和望和現有安全防護措施的實際效果是否能保障業務抵抗風來劇險的需求按需開(kāi)展。整改内容也有很多不同方向，南技除安全設備或服務外(wài)，安全管理制度、安全策略調整的整改兵銀成本并不高，同樣也能快速提升安全保障能力。白物

Q15.過等保要花多少錢？能包過嗎(ma這雨)？

答：等級保護采用備案與測評機制而非認證機制，不存在包過的說法，盲目采納服姐喝務商(shāng)包過的産品與服務套餐往往不是**性價比的方案。網花爸絡運營者可結合自身實際安全需求與等保測評預期得分(fēn)，咨外多詢專業的第三方安全咨詢服務機構來開(kāi)展就化等建設工(gōng)作與測評機構的選擇。

Q16.做了等級測評之後，是否發合格證書(shū)？

答：測評後無合格證書(shū)。等級保護采用備案與測得志評機制而非認證機制，公安機關隻對信息系統的備案情況進行審核，對符草線合等級保護要求的，頒發信息系統安全等級保護備案紅秒證明，發現不符合有關标準的，通知(zhī)備案單位內照予以糾正，發現定級不準的，通知(zhī)備案單位重新審雪化核确定。

Q17.如何快速理解等保2.0測評結果？

答：等級保護2.0測評結果包括得分(fēn)與結論評價；得分(fēn)爲百分鐘月(fēn)制，及格線爲70分(fēn)；結論評價分(fēn)爲優、良、中(z公的hōng)、差四個等級。得分(fēn)90分(fēn資體)（含）以上爲優，80分(fēn)（含）市媽以上爲良，70分(fēn)（含）以上爲中(zhōng知東)，70分(fēn)以下(xià)爲差。

Q18.多長時間能拿到備案證明？

答：全國各省網警管理有所差異，一(yī)般提交備案流程後，如資(zī雨笑)料完備（三級系統要求含測評報告），順利通過審核後15個又地工(gōng)作日即可拿到備案證明。

Q19：如何确定業務系統屬于等保幾級？

答：可參照等級保護定級指南(nán)，從業務朋鄉系統安全和系統服務安全兩個方面評價當業務系統被破壞時對客體(tǐ)可區的影響程度，取兩個方面較高的等級。

當确定系統級别後，可開(kāi)展專家評審對系統定腦機級合理性進行審核。如有行業主管部門制訂的定級依據，可直接參照采納行裡鐘業定級标準定級。

Q20：業務系統在雲上，安全是雲平台負責紅看的吧？

答：根據《信息安全技術 網絡安全等級保護基本要風新求》（GB/T 22239-2019）附錄D，我科雲服務商(shāng)根據提供的IaaS、PaaS、SaaS模式承擔不鄉去同的平台安全責任。業務系統上雲後，雲租戶與雲平台服務商(shān師玩g)之間應遵循責任分(fēn)擔矩陣共同承擔相應的安全責任。

Q21：等級保護有哪些規範标準？

答：等級保護涉及面廣，相關的安全标準、規範、指南(nán)對舊還有很多正在編制或修訂中(zhōng)。常用的規範标準包友生括但不限于如下(xià)幾個：

·       GB/高玩T 31167-2014 信息安全技術 雲計算服務安全指南(nán)

·       信黑;GB/T 31168-2014 信息安全技校遠術 雲計算服務安全能力要求

·       GB/T 36頻計326-2018 信息技術 雲計算雲服務運營通用要求

·       GB/T 25058草小-2010 信息安全技術 信息系統安全等級保護實施指南(nán但日)

·       GB/T 25070大現-2019信息安全技術 網絡安全等級保護安全設計技術要求

·       GB有校/T 28448-2019信息安全技術 網絡安全等級保護測評要求

·       GB/可問T 22239-2019 信息安全技術 網絡安全等級保護基本要求

·       GB/T作答 22240-2008信息安全技術 信息系統安全等級地頻保護定級指南(nán)

·     下妹  GB/T 36958-2018 信息安全技術 網絡安全等級保南日護安全管理中(zhōng)心技術要求

·       GM/T 窗技0054-2018 信息系統密碼應用基本要求

·       GB你土/T 35273-2020 信息安全技術 個人信息安全規範

Q22：等級保護步驟或流程是什麽樣的？

答：根據信息系統等級保護相關标準，等級保護工(gōng就們)作總共分(fēn)五個階段，分(fēn)别爲：信息系統定級、是開城信息系統備案、是系統安全建設、是信息系統開(kāi秒懂)始等級測評、主管單位定期開(kāi)展監督檢查。

Q23：有哪些情況系統定級無需專家評審？

答：信息系統運營使用單位有上級主管部門，且風暗對信息系統的安全保護等級有定級指導意見或審核批準的，可無需在進行司厭等級專家評審。主管部門一(yī)般指行業的上級主管部門或監管部門。如果是跨數歌地域聯網運營使用的信息系統，則必須由上級主管部門審批，确作很保同類系統或分(fēn)支系統在各地域分(fēn)别定級在拍的一(yī)緻性。

Q24：業務系統在内/專網，還需要做等保嗎(ma書雨)？

答：需要。内網與專網的非涉密系統都屬于等級保護範疇，雖然内/專網相對資煙于互聯網，業務系統的用戶比較明确或可控，但内網不代表安全。

Q25：等級保護測評結論不符合是不是等級保護工(gōng)作就白(b師風ái)做了？

答：不是。等級保護測評結論不符合表示目前該信吃作息系統存在高危風險或整體(tǐ)安全性較草唱差，不符合等保的相應标準要求。但是這并不代表等級保護工動船(gōng)作白(bái)做了，即使你拿着錯時不符合的測評報告，主管單位也是承認你們單位今年的等級保護工(g唱服ōng)作已經開(kāi)展過了，隻是目前的問題較多，沒視但達到相應的标準。

Q26：拿什麽證明開(kāi)展過等級保護工(gōng)作？

答：備案證明或測評報告，即加蓋測評機構公章或測見這評專用章的測評報告以及有主管部門公章的系統備案還好證明或系統定級備案資(zī)料。

Q27：系統在雲上，還要做等保嗎(ma)近朋？

答：要做。業務上雲有多種情況，如在公有雲、私有雲、專有雲等不同屬性的雲上，并采視那用IaaS、PaaS、SaaS、IDC托管等不動日同服務，雖然安全責任邊界發生(shēng)了變化，但網絡運營者的安全責任不會轉購男移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則，應承擔藍樹網絡安全責任進行等級保護工(gōng)作。

Q28：業務在雲上，到哪裏進行定級備案？

答：可在業務系統運維團隊或其公司主體(tǐ)經營注冊地向公安網警進行小國備案，與業務系統在雲上的資(zī)源物(wù)理紅小節點的地點無關。