等保2.0丨问题集(一)

Q1.什么是等级保护？

答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

Q2. 什么是等级保护2.0？

答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以2019年12月1日，网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。

Q3. “等保”与“分保”有什么区别？

答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。

监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。

适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。

等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。

Q4.等保”与“关保”有什么区别？

答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中，相关试点工作已启动。

Q5.什么是等级保护测评？

答：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。

Q6.等级保护是否是强制性的,可以不做吗？

答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护相关标准虽然为非强制性的推荐标准，但网络（个人与家庭网络除外）运营者必须按网络安全法开展等级保护工作。

Q7.做等级保护要多少钱？

答：开展等级保护工作会包含：针对业务系统开展测评的费用，以及按等级保护要求开发、购买或部署安全防护产品成本，开展安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期，以及业务系统安全防护能力建设与整改的情况而定，相应的费用投入会差距很大。为避免盲目投入这个误区，建议咨询专业安全服务咨询机构制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。

Q8.等级保护测评多久做一次？

答：《信息安全等级保护管理办法》公通字[2007]43号中，关于系统测评时间有明确规定，三级信息系统明确规定每年测评一次，四级信息系统每半年测评一次，第五级信息系统应当依据特殊安全需求进行自查。

《内蒙古自治区计算机信息系统安全保护办法》（内蒙古自治区主席令第183号）规定：

第六条 计算机信息系统运营、使用单位应当遵守下列规定：

（二）新建计算机信息系统的，应当在规划、设计阶段确定安全保护等级，同步建设符合该安全保护等级要求的信息系统安全保护设施，落实安全保护措施；

（五）定期对本单位计算机信息系统的安全状况、保护制度和措施进行自查和整改；

第九条 第二级以上计算机信息系统建设完成后，经测评合格方可投入使用。

第十条 计算机信息系统确定为第二级保护等级的，应当每两年至少进行一次系统安全等级测评；确定为第三级的，应当每年至少进行一次系统安全等级测评；确定为第四级以上的，应当每半年至少进行一次系统安全等级测评。

Q9.是否系统定级越低越好？

答：不是。可根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。

Q10.定级备案了是否就被监管了？

答：没有定级备案并不代表不需被监管，应尽快履行网络运营者的安全责任进行备案。定级备案后监管部门会在重要时候开展安全检查或发布一些针对性的安全预警，有利于网络运营者开展网络安全工作降低风险。