等级保护工作常见问题,快速入门攻略
2017-05-17 17:51:00 来源:本站 浏览:2100

今天不得不等总结下关于等级保护工作的一些基础性知识,方便大家对等级保护工作有个快速的认识和了解。

一、什么是等级保护?

答:网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

二、等级保护工作具体包含哪些内容?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:1)是信息系统定级。2)是信息系统备案。3)是系统安全建设。4)是信息系统开始等级测评。5)主管单位定期开展监督检查。

三、等级保护工作具体步骤是怎样的?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:1)是信息系统定级。2)是信息系统备案。3)是系统安全建设。4)是信息系统开始等级测评。5)主管单位定期开展监督检查。

四、开展等级保护工作的相关法律法规或文件要求?

答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确要求我国信息安全保障工作实行等级保护制度;《信息安全等级保护管理办法》的通知(公通字[2007]43号)具体部署了实施信息安全等级保护工作的操作办法;《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)加快推动了等级保护工作的发展;《

中华人民共和国网络安全法》明确了国家实行网络安全等级保护制度。

五、等级保护分为几个等级?

答:分为五个等级,分别为第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。系统的重要程度从1-5级逐级升高。

六、为什么要开展等级保护工作?

答:主要理由如下:1)通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。2)等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》。3)很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。4)落实个人及单位的网络安全保护义务,合理规避风险。

七、去哪里进行信息系统的定级备案工作?

答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。

、信息系统的测评多久需要测一次?

答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。

等级保护测评一般多长时间能测完?

答:现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。

十、等级保护测评的费用是多少?

答:测评的费用首先是按照信息系统来算,不是按照一个单位,第二不同等级的测评费用不一样。费用每个省市具体要求不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,如某些省市:二级系统不低于4万元;三级系统不低于8万元。

十一、用户单位需要开展等级保护测评,找谁去做?

答:找有测评资质在当地有资格的测评公司去做测评,该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,同时要求在测评机构在省公安厅网安总队备案成功;另外部分省份要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。

十二、等级保护测评后的最终结论分为哪几种?

答:测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分,如82分。

十三、等级保护测评结论不符合是不是等级保护工作就白做了?

答:等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准,需要进行整改。

十四、测评完成后需要花多少钱进行安全整改,整改是否一次性要整改到位?

答:需要根据具体情况去分析,安全整改不一定要额外花钱,如果单位已经有防火墙、IDS、杀毒软件的话,设备上是基本满足等保三级及以下等级的要求的。当然如果想做的更好,还是需要再增加一些其他设备的。安全整改优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改也是一个持续性的工作。

十五、测评结束后有什么书面性的材料证明自己开展过等保工作?

答:书面性材料有:一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告,加盖过测评机构公章及测评专用章。


甘公网安备 62010002000517号

陇ICP备15001871号-1

联系地址:甘肃省兰州市城关区南滨河东路58号

©版权所有 2011-2020 甘肃安信信息安全技术有限公司

Copyright © 2011-2020 Gansu Anxin information Safe Technology Ltd