关于等保测评的五个问题

2022-03-16 10:52 智保云

01

什么是等级保护和等级保护2.0

答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019121日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。

02

等级保护测评一般多长时间能测完?隔多久测第二次?

答:一个二级或三级的系统整体持续周期1-2个月,现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1周。

根据《网络安全等级保护条例》(征求意见稿)第二十三条规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评)。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。

03

做完等级保护测评后整改周期是多久?

答:无明确规定。

可优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容,而不是因为做了等保测评才需要去做的。

04

等级保护步骤或流程是什么样的?哪些情况系统定级无需专家评审?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、信息系统备案、系统安全建设、信息系统开始等级测评和主管单位定期开展监督检查。

信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需再进行等级专家评审。主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。

05

做等级保护要多少钱?

答:开展等级保护工作会包含:针对业务系统开展测评的费用,以及按等级保护要求开发、购买或部署安全防护产品成本,开展安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期,以及业务系统安全防护能力建设与整改的情况而定,相应的费用投入会差距很大。为避免盲目投入这个误区,建议咨询专业安全服务咨询机构制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。


WhatsApp
WhatsApp
扫码咨询
򡂒
微信客服
微信客服
扫码咨询
򡂔
电话咨询
400 611 8667

关于等保测评的五个问题

2022-03-16 10:52 智保云

01

什么是等级保护和等级保护2.0

答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019121日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。

02

等级保护测评一般多长时间能测完?隔多久测第二次?

答:一个二级或三级的系统整体持续周期1-2个月,现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1周。

根据《网络安全等级保护条例》(征求意见稿)第二十三条规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评)。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。

03

做完等级保护测评后整改周期是多久?

答:无明确规定。

可优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容,而不是因为做了等保测评才需要去做的。

04

等级保护步骤或流程是什么样的?哪些情况系统定级无需专家评审?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、信息系统备案、系统安全建设、信息系统开始等级测评和主管单位定期开展监督检查。

信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需再进行等级专家评审。主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。

05

做等级保护要多少钱?

答:开展等级保护工作会包含:针对业务系统开展测评的费用,以及按等级保护要求开发、购买或部署安全防护产品成本,开展安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期,以及业务系统安全防护能力建设与整改的情况而定,相应的费用投入会差距很大。为避免盲目投入这个误区,建议咨询专业安全服务咨询机构制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。


WhatsApp
WhatsApp
扫码咨询
򡂒
微信客服
微信客服
扫码咨询
򡂔
电话咨询
400 611 8667
电话咨询免费试用