网络安全等级保护2.0—北京在信国通科技有限公司
网络安全等级防护2.0建设方案
定期评估与调整
定期对安全运维管理体系进 行评估和调整,确保其适应 业务发展和安全需求的变化 。
05
技术保障措施部署
硬件设备选型原则和配置要求说明
选型原则
选择高性能、高可靠性、高扩展性的硬件设备,确保设备能够满足网络 安全等级保护的要求。
配置要求
设备配置需满足系统性能、安全、可扩展性等多方面的要求,包括但不 限于CPU、内存、硬盘、网络接口等。
软件产品选型依据及性能评估报告
选型依据
根据业务需求、系统架构、安全需求等多方 面因素,选择适合的软件产品。
性能评估报告
对选定的软件产品进行性能评估,包括处理 速度、稳定性、兼容性、安全性等方面的测 试,确保产品能够满足实际应用需求。
云计算服务提供商选择策略论述
服务商资质
选择具备相应资质和经验的云计算服务提供商,确保其能够提供安全、可靠的 云计算服务。
审计工具
选择合适的安全审计工具,如日志分析工具、漏洞扫描工 具等,提高审计效率和质量。
04
安全运维管理体系构建
日常安全管理流程梳理和规范化建设
安全管理流程梳理
对现有的安全管理流程进行全面梳 理,包括安全策略、标准、流程等
方面。
规范化建设
制定统一的安全管理规范,包括安 全配置、安全审计、风险评估等。
第三方服务商监管措施落实情况
01 服务商资质审查
对第三方服务商的资质进行审查,确保其具备提 供安全服务的能力。
02 服务协议签订
与第三方服务商签订服务协议,明确安全责任和 服务要求。
03 服务监督与评估
定期对第三方服务商的服务进行监督与评估,确 保其服务质量。
网络安全培训计划和实施效果评估
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
等级保护2.0安全要求
等级保护2.0安全要求
概述
等级保护2.0是一个基于网络安全等级保护制度的升级版。
它的设计旨在提高
关键信息基础设施的安全水平,并防范各种网络安全威胁。
等级保护2.0安全要求
是指针对等级保护2.0制度下的安全要求。
等级保护2.0安全要求
1. 网络安全威胁情报监测
要求设立专职的安全运营中心,监测并及时应对网络安全威胁,为保护信息基
础设施安全提供实时监控和响应。
2. 安全防护设施
要求部署安全防护设施,包括但不限于防火墙、入侵检测系统、反病毒软件等,为信息系统提供全面的防护措施,并防范病毒、恶意代码等攻击。
3. 安全入口物理控制
要求加强安全入口物理控制,限制未授权人员的进入,保障关键信息资源的安全。
同时,要定期检查系统设备和设施,确保其安全可靠。
4. 安全身份认证和授权管理
要求建立安全身份认证和授权管理体系,确保系统只允许授权用户访问,防范
未授权访问和信息泄露。
并将系统日志保存在安全可靠的存储设备中,以备后续审计和安全检查。
5. 系统数据备份和灾难恢复
要求定期进行系统数据备份,并将备份数据保存在安全可靠的存储设备中。
对
于关键信息,要建立灾难恢复预案,以应对不可预期的灾难事件。
结论
等级保护2.0安全要求是保障信息基础设施安全的最低要求。
在实际应用中,
要根据具体情况增强安全防护措施,建立完善的信息安全管理体系,以确保信息资源的安全可靠。
等保2.0的等级保护指标
等保2.0是指信息安全等级保护2.0的简称,是中国政府为了加强网络安全管理和保护国家关键信息系统而提出的一项标准。
根据等保2.0标准,不同级别的关键信息系统需要满足相应的等级保护指标。
等保2.0标准将关键信息系统分为五个等级,等级由高到低依次为:一级、二级、三级、四级和五级。
每个等级都有相应的保护要求和技术措施。
以下是等保2.0不同等级的保护指标的一些示例:
1. 一级保护:要求采取严格的安全技术措施,能够应对高级威胁和攻击。
包括防火墙、入侵检测和入侵防护系统、访问控制、安全审计等。
2. 二级保护:要求采用较高的安全技术措施,能够应对较高级别的威胁和攻击。
包括数据加密、网络隔离、安全监测与响应、灾备恢复等。
3. 三级保护:要求采用适当的安全技术措施,能够应对中级威胁和攻击。
包括访问控制、恶意代码防范、安全培训教育等。
4. 四级保护:要求基本的安全技术措施,能够应对一般威胁和攻击。
包括密码安全、基础设施保护、安全漏洞管理等。
5. 五级保护:要求最基本的安全措施,能够应对低级威胁和攻击。
包括安全策略制定、安全事件响应等。
需要注意的是,等保2.0的具体保护指标是根据具体的应用环境和信息系统的特点而确定的,上述只是一些示例,并不包括所有的保护要求。
对于具体的等级保护指标,建议参考相关的政府发布的相关文件以获取更准确和详细的信息。
网络安全等级保护2.0—中网在信科技有限公司
等级保护2.0-中网在信科技有限公司Q1:什么是等级保护?答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
Q2:什么是等级保护2.0?答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。
通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。
Q3:“等保”与“分保”有什么区别?答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。
监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。
适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。
等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
Q4:“等保”与“关保”有什么区别?答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。
《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。
目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。
Q5:什么是等级保护测评?答:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。
Q6:等级保护是否是强制性的,可以不做吗?答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。
云平台网络安全等级保护2.0三级建设方案
进行系统服务的调研和评估,根据评估结果 制定安全防护方案,并进行方案的实施。
实施步骤与详细方案
01
第三阶段
进行应用服务的调研和评估,根据评估结果制定安全防护 方案,并进行方案的实施。
02
详细方案
每个阶段都需要制定详细的实施方案,包括具体的操作步 骤、实施时间和责任人等。
03
第一阶段
对网络设备进行安全配置,包括禁止不必要的端口和服务 、限制访问IP等;对服务器进行安全配置,包括安装补丁 、关闭不必要的服务等;对数据库进行漏洞扫描和安全配 置,包括设置强密码、限制访问权限等。
网络隔离与访问控制
通过VLAN、VPN等技术实现网络隔离,确保数据只 能被授权用户访问。
数据安全
数据加密
采用数据加密技术,确保数据在存储和传输过 程中被窃取后仍无法被非法获取。
数据备份与恢复
制定完善的数据备份与恢复策略,防止数据丢 失给业务带来严重影响。
数据访问控制
对数据进行分类,设置不同的访问权限,确保敏感数据只能被授权用户访问。
安全制度培训与宣传
定期组织员工进行安全制度培训,提高员工的安全意识,确保员工了解并遵守相关安全制度。
安全运维管理
安全漏洞发现与修复
01
建立安全漏洞发现与报告机制,及时发现并修复安全漏洞,防
止漏洞被利用。
安全审计与监控
02
建立安全审计与监控机制,对系统、网络、数据等资源进行实
时监控和审计,及时发现并处理异常行为。
实施风险与应对措施
实施风险
在实施过程中,可能会遇到以下风险和挑战
人员技能不足
需要具备专业的网络安全知识和技能,如果人员技能不足,可能 会影响实施效果。
等级保护2.0标准解读
等级保护2.0标准解读等级保护2.0标准解读1. 简介等级保护2.0标准(以下简称DP-2.0)是指文档等级保护的新一代标准。
该标准在信息安全领域有着重要的作用,对于保护敏感信息、提高数据安全性具有重要意义。
本文将对DP-2.0标准进行详细解读。
2. DP-2.0标准的背景随着信息技术的不断发展和广泛应用,数据安全问题也日益突出。
为了保护信息安全,各类组织纷纷提出了不同的标准和措施。
DP-2.0标准作为新一代的等级保护标准,在防范各类信息安全威胁方面有着显著的优势。
3. DP-2.0标准的核心内容DP-2.0标准包括以下核心内容:3.1 安全等级划分DP-2.0标准将信息系统按照安全等级进行划分,分为一级、二级、三级三个等级。
不同等级对应不同的安全需求和保护措施,以确保数据的安全性。
3.2 关键要素保护DP-2.0标准明确了关键要素的保护要求,包括对密码、身份认证、访问控制等方面的保护措施,以防止关键要素的泄露和滥用。
3.3 安全审计与监控DP-2.0标准要求建立完善的安全审计与监控机制,及时发现和应对安全事件,保障信息系统的日常运行安全。
3.4 安全培训与管理DP-2.0标准强调安全培训与管理的重要性,要求定期进行安全培训,加强员工对信息安全的意识,提高整体的安全防护能力。
4. DP-2.0标准的应用DP-2.0标准适用于各类组织的信息系统,包括企事业单位、政府机关等。
通过遵循DP-2.0标准,组织可以更加全面地保护敏感信息,提高数据安全性,有效应对信息安全威胁。
5. DP-2.0标准的优势相较于以往的等级保护标准,DP-2.0标准具有以下优势:- 标准要求更加明确,有利于各类组织的实施和操作。
- 标准细化了关键要素的保护要求,对信息系统的安全性提出了更高的要求。
- 标准强调安全培训与管理的重要性,提高了组织的整体安全水平。
6. 结论DP-2.0标准作为新一代的等级保护标准,具有重要的意义。
通过遵循DP-2.0标准,组织可以更好地保护敏感信息,提高数据安全性,并有效地应对信息安全威胁。
网络安全等级保护2 0一通用
网络安全等级保护2 0一通用网络安全等级保护2.0通用一、引言随着互联网的快速发展,网络安全问题日益突出,各类网络攻击频繁出现,给个人和组织带来了巨大的威胁。
为了保护网络安全,并促进网络安全的全面发展,我国提出了网络安全等级保护2.0通用标准,旨在提高网络安全等级保护的整体水平,确保网络空间的稳定和安全。
二、网络安全等级保护2.0通用标准概述网络安全等级保护2.0通用标准是由我国国家互联网应急中心制定的,旨在规范网络安全等级保护的各项工作。
该标准结合了国内外网络安全发展的最新成果,面向各类网络用户,并根据不同网络用户的实际需求,提供了一系列的网络安全保护要求和措施,以确保网络安全的全面防护。
三、网络安全等级保护2.0通用标准的主要内容1. 安全等级划分与评估网络安全等级保护2.0通用标准明确了网络安全的四个等级:一级等级最低,四级等级最高。
用户可以根据自身网络规模和安全需求,选择适合的等级,并进行相应的评估和认证。
2. 安全保护要求网络安全等级保护2.0通用标准规定了不同等级网络的安全保护要求,包括技术要求和管理要求。
技术要求方面,标准明确了网络安全设备的配置要求、网络拓扑结构的设计要求、访问控制的要求等。
管理要求方面,标准强调了网络安全管理责任的划分、安全培训和意识提升的要求等。
3. 安全防护措施网络安全等级保护2.0通用标准提供了一系列的安全防护措施,包括入口防御、出口防御、内部防御、应急处置等。
标准明确了各种防护技术的原理和应用,帮助用户建立完善的网络安全防护体系,提高对网络攻击的抵抗能力。
四、网络安全等级保护2.0通用标准的意义和作用1. 推动网络安全建设网络安全等级保护2.0通用标准为网络安全建设提供了一套统一的标准和规范,可以有效推动我国网络安全的整体水平提升。
2. 提供技术指导网络安全等级保护2.0通用标准提供了丰富的技术指导,帮助用户了解和掌握网络安全的相关知识和技术,提高网络安全的保护能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护2.0-北京在信国通科技有限公司Q1:什么是等级保护?答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
Q2:什么是等级保护2.0?答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。
通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。
Q3:“等保”与“分保”有什么区别?答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。
监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。
适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。
等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
Q4:“等保”与“关保”有什么区别?答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。
《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。
目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。
Q5:什么是等级保护测评?答:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。
Q6:等级保护是否是强制性的,可以不做吗?答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。
同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必需按网络安全法开展等级保护工作。
Q7:做等级保护要多少钱?答:开展等级保护工作会包含:针对业务系统开展测评的费用,以及按等级保护要求开发、购买或部署安全防护产品成本,开展安全日常运维等人力成本。
总体投入的费用与网络运营者对等级保护测评结果分数的预期,以及业务系统安全防护能力建设与整改的情况而定,相应的费用投入会差距很大。
为避免盲目投入这个误区,建议咨询专业安全服务咨询机构制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。
Q8:等级保护测评一般多长时间能测完?答:一个二级或三级的系统整体持续周期1-2个月。
现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。
小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1周。
Q9:等级保护测评多久做一次?答:根据《网络安全等级保护条例》(征求意见稿)第二十三条规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评。
二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
Q10:是否系统定级越低越好?答:不是。
可根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。
当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。
Q11:定级备案了是否就被监管了?答:没有定级备案并不代表不需被监管,应尽快履行网络运营者的安全责任进行备案。
定级备案后监管部门会在重要时候开展安全检查或发布一些针对性的安全预警,有利于网络运营者开展网络安全工作降低风险。
Q12:等级保护工作就是做个测评吗?答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。
测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。
Q13:等级保护测评做一次要多少钱?答:等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。
因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。
如某省的参考报价为:二级系统测评费5万,三级系统测评费9万。
Q14:等保测评后就要花很多钱做整改吗?答:不一定。
整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。
整改内容也有很多不同方向,除安全设备或服务外,安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。
Q15:过等保要花多少钱?能包过吗?答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。
网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作与测评机构的选择。
Q16:做了等级测评之后,是否会给发合格证书?答:测评后无合格证书。
等级保护采用备案与测评机制而非认证机制,公安机关只对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全等级保护备案证明,发现不符合有关标准的,通知备案单位予以纠正,发现定级不准的,通知备案单位重新审核确定。
Q17:如何快速理解等保2.0测评结果?答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。
得分90分(含)以上为优,80分(含)以上为良,70分(含)以上为中,70分以下为差。
Q18:多长时间能拿到备案证明?答:全国各省网警管理有所差异,一般提交备案流程后,如资料完备(三级系统要求含测评报告),顺利通过审核后15个工作日即可拿到备案证明。
Q19:不同公司的业务系统整合后是否可以算一个系统?答:如果两个业务系统整合后功能高度融合,后台统一,可以认为是一个系统,只是业务功能增加,按业务系统更变申请复测即可。
Q20:如何判定属于移动安全扩展要求?答:当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。
Q21:如何选择等级保护备案所在地?答:建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警(公共信息网络安全监察局)备案并找本地测评机构测评。
或可选择IT运维团队所在地进行备案与测评。
Q22:如何选择测评机构开展测评?答:选择有测评资质的测评公司,优先考虑本地测评公司。
可参照中国网络安全等级保护网()的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标,同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。
Q23:如何确定业务系统属于等保几级?答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。
当确定系统级别后,可开展专家评审对系统定级合理性进行审核。
如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。
Q24:买/用哪些安全产品能过等保?答:可根据实际情况,如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。
建议咨询专业的安全咨询服务机构定制解决方案。
Q25:现在还没做等保还来得及吗?有什么影响?答:来得及。
种一棵树,最好的时间是十年前,其次是现在。
可先根据定级备案要求和流程,先向公安递交定级备案文件,测评与整改预算提上日程,在经费未落实前,可以先进行系统定级、差距分析、整改计划制订等工作。
Q26:业务系统在云上,安全是云平台负责的吧?答:根据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。
业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。
Q27:做完等级保护测评后整改周期是多久?答:无明确规定。
可优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改是一个持续性的工作。
另外安全建设和安全整改本来就是日常安全工作的一部分内容,而不是因为做了等保测评才需要去做的。
Q28:等级保护有哪些规范标准?答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。
常用的规范标准包括但不限于如下几个:∙GB/T31167-2014信息安全技术云计算服务安全指南∙GB/T31168-2014信息安全技术云计算服务安全能力要求∙GB/T36326-2018信息技术云计算云服务运营通用要求∙GB/T25058-2010信息安全技术信息系统安全等级保护实施指南∙GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求∙GB/T28448-2019信息安全技术网络安全等级保护测评要求∙GB/T22239-2019信息安全技术网络安全等级保护基本要求∙GB/T22240-2008信息安全技术信息系统安全等级保护定级指南∙GB/T36958-2018信息安全技术网络安全等级保护安全管理中心技术要求∙GM/T0054-2018信息系统密码应用基本要求∙GB/T35273-2020信息安全技术个人信息安全规范Q29:等级保护步骤或流程是什么样的?答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。
Q30:有哪些情况系统定级无需专家评审?答:信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需在进行等级专家评审。
主管部门一般指行业的上级主管部门或监管部门。
如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
Q31:业务系统在内/专网,还需要做等保吗?答:需要。
内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。
Q32:等级保护测评结论不符合是不是等级保护工作就白做了?答:不是。
等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。
但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。