Q&A
等级保护常见问题
Q:什么是等级保护?
A:信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信卐息和存储、传输、处理这些信息的信息系统分等ζ 级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系◥统中发生的信息安全事件分等级响应、处置。
Q:等级保护工作具体包含哪些内容?
A:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:
1)信息系︽统定级
2)信息系统备案
3)信息系统安全建设
4)信息系统等级测评
5)主管单位监督检查
Q:为什么要开展↑等级保护工作?
A:主要理由如下:
1)通过等级保护工作】发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系」统被各种攻击的风险,维护单位良好的形象。
2)等级保护是我国关于信息安全的基本政策,国家』法律法规、相关政策制度要求单位开展等级保护工作。如《信息安全等〓级保护管理办法》和《中华人民共和国网络安全法》。
3)很多行业主管单№位要求行业客户开展等级保护工作,目前已经下发行业要求文△件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。
4)落实个人及单位的网络安全保护义务,合理规避风险。
Q:去哪里进行信息系统的定■级备案工作?
A:绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求卐的另说,也∴有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
Q:什么是等级保护测评?
A:测评机构依据国家信息安◤全等级保护制度规定,按照有关管理规范和技术标准√,对非涉及国家秘密信息▲系统安全等级保护状况⊙进行检测评估的活动。
Q:等级保护测评一般多长时间能测完?
A:一个二级或三级的系统现场测评周期一般一周左右,具体时间〖还要根据信息系统数量及信息系←统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设【备,时间〗不好说,但总的要求一年内要完成。
Q:等级保护测评多久需要测一次?
A:三级信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一↓次测评,部分行业是明确要求每两年开展一次测评。
Q:等级保护】测评的费用是多少?
A:测评的费用首先是按照信息系统来算,不是按︻照一个单位,第二不同等级的测评费用不◎一样,最后测评的费用也和信息系统的资产规模相关,规模越大※相应的测评费用会高些。费用每个省市具体情况不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相〗对都是固定的,具体可以向当地测评机构咨询。
Q:用户单■位需要开展等级保护测评,找谁去做?
A:找有测评资质的的◤测评公司去开展,该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构①推荐证书》,同时部分省份要求测评机构在≡用户单位所在地级市公安网安部门备案,备案成功◣后方可在当地开展等级保护测评工作。
Q:测评完成后需要花多少钱进♂行安全整改,整改是Ψ否一次性要整改到位?
A:需要根据具体情况去分析,安全整改不一定要额外花钱,如果单位已※经有防火墙、IDS、杀毒软件的←话,设备上是基本满足等保三级及以下等▽级的要求的。当然如果想做的更好,还是需要再增@加一些其他设备的。