Q1.什麽是(yes)等級保護？

答：等級保護是(yes)指對國家重要(want)信息、法人(people)和(and)其他(he)組織及公民的(of)專有信息以(by)及公開信息和(and)存儲、傳輸、處理這(this)些信息的(of)信息系統分等級實行安全保護，對信息系統中使用(use)的(of)信息安全産品實行按等級管理，對信息系統中發生(born)的(of)信息安全事件分等級響應、處置。

Q2. 什麽是(yes)等級保護2.0？

答：“等級保護2.0”或“等保2.0”是(yes)一(one)個(indivual)約定俗成的(of)說法，指按新的(of)等級保護标準規範開展工作(do)的(of)統稱。通常認爲(for)是(yes)《中華人(people)民共和(and)國網絡安全法》頒布實行後提出(out)，以(by)2019年12月1日，網絡安全等級保護基本要(want)求、測評要(want)求和(and)設計技術要(want)求更新發布新版本爲(for)象征性标志。

Q3. “等保”與“分保”有什麽區别？

答：指等級保護與分級保護，主要(want)不(No)同在(exist)監管部門、适用(use)對象、分類等級等方面。

監管部門不(No)一(one)樣，等級保護由公安部門監管，分級保護由國家保密局監管。

适用(use)對象不(No)一(one)樣，等級保護适用(use)非涉密系統，分級保護适用(use)于(At)涉及國家密秘系統。

等級分類不(No)同，等級保護分5個(indivual)級别：一(one)級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護)；分級保護分3個(indivual)級别：秘密級、機密級、絕密級。

Q4.等保”與“關保”有什麽區别？

答：指等級保護與關鍵信息基礎設施保護，“關保”是(yes)在(exist)網絡安全等級保護制度的(of)基礎上，實行重點保護。《中華人(people)民共和(and)國網絡安全法》第三章第二節規定了(Got it)關鍵信息基礎設施的(of)運行安全，包括關鍵信息基礎設施的(of)範圍、保護的(of)主要(want)内容等。目前《信息安全技術關鍵信息基礎設施網絡安全保護基本要(want)求》正在(exist)報批中，相關試點工作(do)已啓動。

Q5.什麽是(yes)等級保護測評？

答：指測評機構依據國家信息安全等級保護制度規定，按照有關管理規範和(and)技術标準，對非涉及國家秘密網絡安全等級保護狀況進行檢測評估的(of)活動。

Q6.等級保護是(yes)否是(yes)強制性的(of),可以(by)不(No)做嗎？

答：《中華人(people)民共和(and)國網絡安全法》第二十一(one)條規定網絡運營者應當按照網絡安全等級保護制度的(of)要(want)求，履行相關的(of)安全保護義務。同時(hour)第七十六條定義了(Got it)網絡運營者是(yes)指網絡的(of)所有者、管理者和(and)網絡服務提供者。

等級保護相關标準雖然爲(for)非強制性的(of)推薦标準，但網絡（個(indivual)人(people)與家庭網絡除外）運營者必須按網絡安全法開展等級保護工作(do)。

Q7.做等級保護要(want)多少錢？

答：開展等級保護工作(do)會包含：針對業務系統開展測評的(of)費用(use)，以(by)及按等級保護要(want)求開發、購買或部署安全防護産品成本，開展安全日常運維等人(people)力成本。總體投入的(of)費用(use)與網絡運營者對等級保護測評結果分數的(of)預期，以(by)及業務系統安全防護能力建設與整改的(of)情況而定，相應的(of)費用(use)投入會差距很大(big)。爲(for)避免盲目投入這(this)個(indivual)誤區，建議咨詢專業安全服務咨詢機構制訂性價比的(of)解決方案來(Come)滿足合規要(want)求又達到(arrive)業務系統安全保障要(want)求。

Q8.等級保護測評一(one)般多長時(hour)間能測完？

答：一(one)個(indivual)二級或三級的(of)系統整體持續周期1-2個(indivual)月。現場測評周期一(one)般1周左右，具體時(hour)間還要(want)根據信息系統數量及信息系統的(of)規模，以(by)及測評方與被測評方的(of)配合情況等有所增減。小規模安全整改（管理制度、策略配置技術整改）2-3周，出(out)具報告時(hour)間1周。

Q9.等級保護測評多久做一(one)次？

答：《信息安全等級保護管理辦法》公通字[2007]43号中，關于(At)系統測評時(hour)間有明确規定，二級信息系統未明确測評時(hour)間，三級信息系統明确規定每年測評一(one)次，四級信息系統每半年測評一(one)次，第五級信息系統應當依據特殊安全需求進行自查。

Q10.是(yes)否系統定級越低越好？

答：不(No)是(yes)。可根據實際業務系統的(of)情況參照定級标準進行定級，采用(use)“定級過低不(No)允許、定級過高不(No)可取”的(of)原則。當出(out)現網絡安全事件進行追責的(of)時(hour)候，如因系統定級過低，需承擔系統定級不(No)合理、安全責任沒有履行到(arrive)位的(of)風險。

Q11.定級備案了(Got it)是(yes)否就被監管了(Got it)？

答：沒有定級備案并不(No)代表不(No)需被監管，應盡快履行網絡運營者的(of)安全責任進行備案。定級備案後監管部門會在(exist)重要(want)時(hour)候開展安全檢查或發布一(one)些針對性的(of)安全預警，有利于(At)網絡運營者開展網絡安全工作(do)降低風險。

Q12.等級保護工作(do)就是(yes)做個(indivual)測評嗎？

答：等級保護工作(do)包括定級、備案、測評、建設整改、監督審查，測評隻是(yes)其中一(one)項。測評不(No)是(yes)等保工作(do)的(of)結束，重要(want)的(of)是(yes)通過測評查漏補缺，不(No)斷改進提升安全防護能力，降低安全風險。

Q13.等級保護測評做一(one)次要(want)多少錢？

答：等級保護工作(do)屬于(At)屬地(land)化管理，測評收費非全國統一(one)價，測評費用(use)每個(indivual)省都有一(one)個(indivual)參考報價标準。因業務系統規模大(big)小及是(yes)否涉及擴展功能測試不(No)同總體測評費用(use)也有所差異。

如某省的(of)參考報價爲(for)：二級系統測評費5萬，三級系統測評費9萬。

Q14.等保測評後就要(want)花很多錢做整改嗎？

答：不(No)一(one)定。

整改工作(do)可根據網絡運營者對測評結果分數的(of)期望和(and)現有安全防護措施的(of)實際效果是(yes)否能保障業務抵抗風險的(of)需求按需開展。整改内容也有很多不(No)同方向，除安全設備或服務外，安全管理制度、安全策略調整的(of)整改成本并不(No)高，同樣也能快速提升安全保障能力。

Q15.過等保要(want)花多少錢？能包過嗎？

答：等級保護采用(use)備案與測評機制而非認證機制，不(No)存在(exist)包過的(of)說法，盲目采納服務商包過的(of)産品與服務套餐往往不(No)是(yes)**性價比的(of)方案。網絡運營者可結合自身實際安全需求與等保測評預期得分，咨詢專業的(of)第三方安全咨詢服務機構來(Come)開展等建設工作(do)與測評機構的(of)選擇。

Q16.做了(Got it)等級測評之後，是(yes)否發合格證書？

答：測評後無合格證書。等級保護采用(use)備案與測評機制而非認證機制，公安機關隻對信息系統的(of)備案情況進行審核，對符合等級保護要(want)求的(of)，頒發信息系統安全等級保護備案證明，發現不(No)符合有關标準的(of)，通知備案單位予以(by)糾正，發現定級不(No)準的(of)，通知備案單位重新審核确定。

Q17.如何快速理解等保2.0測評結果？

答：等級保護2.0測評結果包括得分與結論評價；得分爲(for)百分制，及格線爲(for)70分；結論評價分爲(for)優、良、中、差四個(indivual)等級。得分90分（含）以(by)上爲(for)優，80分（含）以(by)上爲(for)良，70分（含）以(by)上爲(for)中，70分以(by)下爲(for)差。

Q18.多長時(hour)間能拿到(arrive)備案證明？

答：全國各省網警管理有所差異，一(one)般提交備案流程後，如資料完備（三級系統要(want)求含測評報告），順利通過審核後15個(indivual)工作(do)日即可拿到(arrive)備案證明。

Q19：如何确定業務系統屬于(At)等保幾級？

答：可參照等級保護定級指南，從業務系統安全和(and)系統服務安全兩個(indivual)方面評價當業務系統被破壞時(hour)對客體的(of)影響程度，取兩個(indivual)方面較高的(of)等級。

當确定系統級别後，可開展專家評審對系統定級合理性進行審核。如有行業主管部門制訂的(of)定級依據，可直接參照采納行業定級标準定級。

Q20：業務系統在(exist)雲上，安全是(yes)雲平台負責的(of)吧？

答：根據《信息安全技術 網絡安全等級保護基本要(want)求》（GB/T 22239-2019）附錄D，雲服務商根據提供的(of)IaaS、PaaS、SaaS模式承擔不(No)同的(of)平台安全責任。業務系統上雲後，雲租戶與雲平台服務商之間應遵循責任分擔矩陣共同承擔相應的(of)安全責任。

Q21：等級保護有哪些規範标準？

答：等級保護涉及面廣，相關的(of)安全标準、規範、指南還有很多正在(exist)編制或修訂中。常用(use)的(of)規範标準包括但不(No)限于(At)如下幾個(indivual)：

·       GB/T 31167-2014 信息安全技術 雲計算服務安全指南

·       GB/T 31168-2014 信息安全技術 雲計算服務安全能力要(want)求

·       GB/T 36326-2018 信息技術 雲計算雲服務運營通用(use)要(want)求

·       GB/T 25058-2010 信息安全技術 信息系統安全等級保護實施指南

·       GB/T 25070-2019信息安全技術 網絡安全等級保護安全設計技術要(want)求

·       GB/T 28448-2019信息安全技術 網絡安全等級保護測評要(want)求

·       GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要(want)求

·       GB/T 22240-2008信息安全技術 信息系統安全等級保護定級指南

·       GB/T 36958-2018 信息安全技術 網絡安全等級保護安全管理中心技術要(want)求

·       GM/T 0054-2018 信息系統密碼應用(use)基本要(want)求

·       GB/T 35273-2020 信息安全技術 個(indivual)人(people)信息安全規範

Q22：等級保護步驟或流程是(yes)什麽樣的(of)？

答：根據信息系統等級保護相關标準，等級保護工作(do)總共分五個(indivual)階段，分别爲(for)：信息系統定級、是(yes)信息系統備案、是(yes)系統安全建設、是(yes)信息系統開始等級測評、主管單位定期開展監督檢查。

Q23：有哪些情況系統定級無需專家評審？

答：信息系統運營使用(use)單位有上級主管部門，且對信息系統的(of)安全保護等級有定級指導意見或審核批準的(of)，可無需在(exist)進行等級專家評審。主管部門一(one)般指行業的(of)上級主管部門或監管部門。如果是(yes)跨地(land)域聯網運營使用(use)的(of)信息系統，則必須由上級主管部門審批，确保同類系統或分支系統在(exist)各地(land)域分别定級的(of)一(one)緻性。

Q24：業務系統在(exist)内/專網，還需要(want)做等保嗎？

答：需要(want)。内網與專網的(of)非涉密系統都屬于(At)等級保護範疇，雖然内/專網相對于(At)互聯網，業務系統的(of)用(use)戶比較明确或可控，但内網不(No)代表安全。

Q25：等級保護測評結論不(No)符合是(yes)不(No)是(yes)等級保護工作(do)就白做了(Got it)？

答：不(No)是(yes)。等級保護測評結論不(No)符合表示目前該信息系統存在(exist)高危風險或整體安全性較差，不(No)符合等保的(of)相應标準要(want)求。但是(yes)這(this)并不(No)代表等級保護工作(do)白做了(Got it)，即使你拿着不(No)符合的(of)測評報告，主管單位也是(yes)承認你們(them)單位今年的(of)等級保護工作(do)已經開展過了(Got it)，隻是(yes)目前的(of)問題較多，沒達到(arrive)相應的(of)标準。

Q26：拿什麽證明開展過等級保護工作(do)？

答：備案證明或測評報告，即加蓋測評機構公章或測評專用(use)章的(of)測評報告以(by)及有主管部門公章的(of)系統備案證明或系統定級備案資料。

Q27：系統在(exist)雲上，還要(want)做等保嗎？

答：要(want)做。業務上雲有多種情況，如在(exist)公有雲、私有雲、專有雲等不(No)同屬性的(of)雲上，并采用(use)IaaS、PaaS、SaaS、IDC托管等不(No)同服務，雖然安全責任邊界發生(born)了(Got it)變化，但網絡運營者的(of)安全責任不(No)會轉移。根據“誰運營誰負責、誰使用(use)誰負責、誰主管誰負責”的(of)原則，應承擔網絡安全責任進行等級保護工作(do)。

Q28：業務在(exist)雲上，到(arrive)哪裏進行定級備案？

答：可在(exist)業務系統運維團隊或其公司主體經營注冊地(land)向公安網警進行備案，與業務系統在(exist)雲上的(of)資源物理節點的(of)地(land)點無關。