為了讓有過(guò)保需求的客戶能夠更全面地了解當(dāng)前的等保測(cè)評(píng)機(jī)制、以及針對(duì)性進(jìn)行2021年等保以及商密合規(guī)建設(shè)，梳理了等級(jí)保護(hù)以及商密中常見(jiàn)的50個(gè)問(wèn)題，以供參考。
1什么是等級(jí)保護(hù)？
答：等級(jí)保護(hù)制度是我國(guó)網(wǎng)絡(luò)安全的基本制度。等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。
2什么是等級(jí)保護(hù)2.0？
答：“等級(jí)保護(hù)2.0”或“等保2.0”是一個(gè)約定俗成的說(shuō)法，指按新的等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范開(kāi)展工作的統(tǒng)稱。通常認(rèn)為是《中華人民共和國(guó)網(wǎng)絡(luò)安全法》頒布實(shí)行后提出，以2019年12月1日，《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》正式實(shí)施為象征性標(biāo)志。
3“等保”與“分?！庇惺裁磪^(qū)別？
答：指等級(jí)保護(hù)與分級(jí)保護(hù)，主要不同在監(jiān)管部門、適用對(duì)象、分類等級(jí)等方面。
監(jiān)管部門不一樣，等級(jí)保護(hù)由公安部門監(jiān)管，分級(jí)保護(hù)由國(guó)家保密局監(jiān)管。
適用對(duì)象不一樣，等級(jí)保護(hù)適用非涉密系統(tǒng)，分級(jí)保護(hù)適用于涉及國(guó)家密秘系統(tǒng)。
等級(jí)分類不同，等級(jí)保護(hù)分5個(gè)級(jí)別：一級(jí)(自主保護(hù))、二級(jí)(指導(dǎo)保護(hù))、三級(jí)(監(jiān)督保護(hù))、四級(jí)(強(qiáng)制保護(hù))、五級(jí)(?？乇Ｗo(hù))；分級(jí)保護(hù)分3個(gè)級(jí)別：秘密級(jí)、機(jī)密級(jí)、絕密級(jí)。
4“等?！迸c“關(guān)保”有什么區(qū)別？
答：指等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，“關(guān)?！笔窃诰W(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》第三章第二節(jié)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全，包括關(guān)鍵信息基礎(chǔ)設(shè)施的范圍、保護(hù)的主要內(nèi)容等。
目前“關(guān)保”的基本要求、測(cè)評(píng)指南、高風(fēng)險(xiǎn)判例等均已基本完成，相關(guān)試點(diǎn)工作已啟動(dòng)。
5什么是等級(jí)保護(hù)測(cè)評(píng)?
答：指經(jīng)認(rèn)定的專業(yè)第三方測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密網(wǎng)絡(luò)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。
6什么是商密？
答：商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。也就是說(shuō)，商用密碼可以用于保護(hù)除國(guó)家秘密之外的所有信息，既可以保護(hù)企業(yè)商業(yè)秘密、公民個(gè)人隱私，也可以保護(hù)政務(wù)領(lǐng)域中不屬于國(guó)家秘密的工作信息。關(guān)于商用密碼的名稱，1996年，中央決定在我國(guó)大力發(fā)展商用密碼，加強(qiáng)對(duì)商用密碼的管理。1999年，國(guó)務(wù)院頒布施行《商用密碼管理?xiàng)l例》（國(guó)務(wù)院令第273號(hào)），商用密碼的名稱開(kāi)始為社會(huì)所熟知和廣泛使用。此后，中央文件和黨內(nèi)法規(guī)以及國(guó)家密碼管理局制定發(fā)布的規(guī)范性文件均采用了“商用密碼”這一名稱。
7什么是商用密碼安全性評(píng)估？
商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”），是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。
8不做密評(píng)或測(cè)試結(jié)果不合格有什么影響？
《密碼法》第三十七條第一款
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開(kāi)展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款
對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。
《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第二章第十條
關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，每年至少評(píng)估一次。
9“商用密碼評(píng)估””和“等保”究竟有著什么樣的關(guān)系呢？
答：在網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)劃、建設(shè)、運(yùn)行階段開(kāi)展密碼應(yīng)用安全性評(píng)估;
《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》明確等保三級(jí)及以上系統(tǒng)，應(yīng)當(dāng)通過(guò)密碼測(cè)評(píng)后方可投入運(yùn)行;等保三級(jí)以上網(wǎng)絡(luò)每年進(jìn)行一次密評(píng)，且測(cè)評(píng)結(jié)果需報(bào)主管部門、密碼管理部門及公安部門備案;
《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》中保留了密碼專章在統(tǒng)一標(biāo)準(zhǔn)體系的基礎(chǔ)上臺(tái)并開(kāi)展;
《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》明確各級(jí)系統(tǒng)在哪些環(huán)節(jié)使用密碼;
《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》將密碼測(cè)評(píng)結(jié)果列為等保測(cè)評(píng)通過(guò)的必要條件;
10“等?！迸c“商密”的主要標(biāo)準(zhǔn)有什么區(qū)別？
答：等保2.0將網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)、大型互聯(lián)網(wǎng)站、大數(shù)據(jù)中心、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺(tái)等全部納入等級(jí)保護(hù)對(duì)象，并將風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、案事件調(diào)查、數(shù)據(jù)防護(hù)、災(zāi)難備份、應(yīng)急處置、自主可控、供應(yīng)鏈安全、效果評(píng)價(jià)、綜治考核、安全員培訓(xùn)等工作措施全部納入等級(jí)保護(hù)制度。
商密是依據(jù)我國(guó)相關(guān)法律的規(guī)定，我國(guó)商用密碼的標(biāo)準(zhǔn)，由國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)家密碼管理部門依據(jù)各自職責(zé)，組織制定，包括國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)兩種。
《中華人民共和國(guó)密碼法》
第二十二條 國(guó)家建立和完善商用密碼標(biāo)準(zhǔn)體系。
國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)家密碼管理部門依據(jù)各自職責(zé)，組織制定商用密碼國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。
國(guó)家支持社會(huì)團(tuán)體、企業(yè)利用自主創(chuàng)新技術(shù)制定高于國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)相關(guān)技術(shù)要求的商用密碼團(tuán)體標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)。
第二十三條 國(guó)家推動(dòng)參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng)，參與制定商用密碼國(guó)際標(biāo)準(zhǔn)，推進(jìn)商用密碼中國(guó)標(biāo)準(zhǔn)與國(guó)外標(biāo)準(zhǔn)之間的轉(zhuǎn)化運(yùn)用。
國(guó)家鼓勵(lì)企業(yè)、社會(huì)團(tuán)體和教育、科研機(jī)構(gòu)等參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng)。
11等級(jí)保護(hù)是否是強(qiáng)制性的,可以不做嗎?
答：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行相關(guān)的安全保護(hù)義務(wù)。同時(shí)第七十六條定義了網(wǎng)絡(luò)運(yùn)營(yíng)者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。
等級(jí)保護(hù)工作是保障我國(guó)網(wǎng)絡(luò)安全的基本動(dòng)作，目前各單位需按照所在行業(yè)及保護(hù)對(duì)象重要程度，依據(jù)網(wǎng)絡(luò)安全法及相關(guān)部門要求，按照“同步規(guī)劃、同步建設(shè)、同步使用”的原則，開(kāi)展等級(jí)保護(hù)工作。
12做等級(jí)保護(hù)要多少錢？
答：開(kāi)展等級(jí)保護(hù)工作主要包含：規(guī)劃費(fèi)用、建設(shè)或整改費(fèi)用、運(yùn)維費(fèi)用、測(cè)評(píng)費(fèi)用等，具體費(fèi)用因各單位現(xiàn)狀、保護(hù)對(duì)象承載業(yè)務(wù)功能、重要程度、所在地區(qū)等差異較大。
為避免過(guò)度保護(hù)或疏于防范的情況，減少資源浪費(fèi)等，建議聘請(qǐng)或咨詢專業(yè)的等級(jí)保護(hù)服務(wù)機(jī)構(gòu)，制定科學(xué)合理的方案。
13等級(jí)保護(hù)測(cè)評(píng)一般多長(zhǎng)時(shí)間能測(cè)完？
答：一個(gè)二級(jí)或三級(jí)的系統(tǒng)整體持續(xù)周期1-2個(gè)月。
現(xiàn)場(chǎng)測(cè)評(píng)周期一般1周左右，具體時(shí)間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模，以及測(cè)評(píng)方與被測(cè)評(píng)方的配合情況等有所增減。
小規(guī)模安全整改（管理制度、策略配置技術(shù)整改）2-3周，出具報(bào)告時(shí)間1-2周。
目前各地根據(jù)各自省份或城市的情況，還存在單獨(dú)規(guī)定測(cè)評(píng)實(shí)施周期的情況，一般是簽訂測(cè)評(píng)合同之日起3-6個(gè)月必須出具測(cè)評(píng)報(bào)告。
14等級(jí)保護(hù)測(cè)評(píng)多久做一次？
答：根據(jù)《信息安全等級(jí)保護(hù)管理辦法》公通字200743號(hào)十四條：第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者應(yīng)當(dāng)每年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。二級(jí)信息系統(tǒng)建議每?jī)赡觊_(kāi)展一次測(cè)評(píng)，部分行業(yè)是明確要求每?jī)赡觊_(kāi)展一次測(cè)評(píng)。
15是否系統(tǒng)定級(jí)越低越好？
答：不是。應(yīng)根據(jù)實(shí)際業(yè)務(wù)系統(tǒng)的情況參照定級(jí)標(biāo)準(zhǔn)進(jìn)行定級(jí)，采用“定級(jí)過(guò)低不允許、定級(jí)過(guò)高不可取”的原則。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事件進(jìn)行追責(zé)的時(shí)候，如因系統(tǒng)定級(jí)過(guò)低，需承擔(dān)系統(tǒng)定級(jí)不合理、安全責(zé)任沒(méi)有履行到位的風(fēng)險(xiǎn)。
16定級(jí)備案了是否就被監(jiān)管了？
答：沒(méi)有定級(jí)備案并不代表不會(huì)被監(jiān)管。通過(guò)自評(píng)估達(dá)到二級(jí)及以上的保護(hù)對(duì)象，均應(yīng)盡快組織專家開(kāi)展定級(jí)評(píng)審工作，并到屬地網(wǎng)安進(jìn)行備案。定級(jí)備案后監(jiān)管部門會(huì)及時(shí)發(fā)布針對(duì)性的安全預(yù)警，并根據(jù)情況實(shí)地指導(dǎo)網(wǎng)絡(luò)安全工作，有利于網(wǎng)絡(luò)運(yùn)營(yíng)者提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的應(yīng)對(duì)能力，保障單位的聲譽(yù)，減少經(jīng)濟(jì)損失。
17等級(jí)保護(hù)工作就是做個(gè)測(cè)評(píng)嗎？
答：等級(jí)保護(hù)工作包括定級(jí)、備案、測(cè)評(píng)、建設(shè)整改、監(jiān)督審查，測(cè)評(píng)只是其中一項(xiàng)。測(cè)評(píng)不是等保工作的結(jié)束，重要的是通過(guò)測(cè)評(píng)查漏補(bǔ)缺，不斷改進(jìn)提升安全防護(hù)能力，降低安全風(fēng)險(xiǎn)。
18等級(jí)保護(hù)測(cè)評(píng)做一次要多少錢？
答：等級(jí)保護(hù)工作屬于屬地化管理，測(cè)評(píng)收費(fèi)非全國(guó)統(tǒng)一價(jià)，測(cè)評(píng)費(fèi)用每個(gè)省都有一個(gè)參考報(bào)價(jià)標(biāo)準(zhǔn)。因業(yè)務(wù)系統(tǒng)規(guī)模大小及是否涉及擴(kuò)展功能測(cè)試不同總體測(cè)評(píng)費(fèi)用也有所差異。
19等保測(cè)評(píng)后就要花很多錢做整改嗎？
答：不一定。整改工作可根據(jù)網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)測(cè)評(píng)結(jié)果分?jǐn)?shù)的期望和現(xiàn)有安全防護(hù)措施的實(shí)際效果是否能保障業(yè)務(wù)抵抗風(fēng)險(xiǎn)的需求按需開(kāi)展。整改內(nèi)容也有很多不同方向，除安全設(shè)備或服務(wù)外，安全管理制度、安全策略調(diào)整的整改成本并不高，同樣也能快速提升安全保障能力。
20過(guò)等保要花多少錢？能包過(guò)嗎？
答：等級(jí)保護(hù)采用備案與測(cè)評(píng)機(jī)制而非認(rèn)證機(jī)制，不存在包過(guò)的說(shuō)法，盲目采納服務(wù)商包過(guò)的產(chǎn)品與服務(wù)套餐往往不是最高性價(jià)比的方案。網(wǎng)絡(luò)運(yùn)營(yíng)者可結(jié)合自身實(shí)際安全需求與等保測(cè)評(píng)預(yù)期得分，咨詢專業(yè)的第三方安全咨詢服務(wù)機(jī)構(gòu)來(lái)開(kāi)展等建設(shè)工作。
21做了等級(jí)測(cè)評(píng)之后，是否會(huì)給發(fā)合格證書(shū)？
答：測(cè)評(píng)后無(wú)合格證書(shū)。等級(jí)保護(hù)采用備案與測(cè)評(píng)機(jī)制而非認(rèn)證機(jī)制，在屬地網(wǎng)安備案后可獲得《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》，測(cè)評(píng)工作完成后會(huì)收到具有法律效率的“測(cè)評(píng)報(bào)告（至少要加蓋測(cè)評(píng)機(jī)構(gòu)公章和測(cè)評(píng)專用章）”。
22如何快速理解等保2.0測(cè)評(píng)結(jié)果？
答：等級(jí)保護(hù)2.0測(cè)評(píng)結(jié)果包括得分與結(jié)論評(píng)價(jià)；得分為百分制，及格線為70分；結(jié)論評(píng)價(jià)分為優(yōu)、良、中、差四個(gè)等級(jí)。
23多長(zhǎng)時(shí)間能拿到備案證明？
答：全國(guó)各省網(wǎng)警管理有所差異，一般提交備案流程后，如資料完備，順利通過(guò)審核后15個(gè)工作日即可拿到備案證明。
24不同公司的業(yè)務(wù)系統(tǒng)整合后是否可以算一個(gè)系統(tǒng)？
答：不同公司作為兩個(gè)獨(dú)立承擔(dān)法律的主體單位，必須明確唯一的備案主體，不能算一個(gè)系統(tǒng)。同一單位的業(yè)務(wù)系統(tǒng)，如確實(shí)經(jīng)過(guò)改造，入口、后臺(tái)、業(yè)務(wù)關(guān)聯(lián)性、重要程度等符合《GB/T 22240-2020 信息系統(tǒng)安全 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》要求可以算作一個(gè)系統(tǒng)。
25如何判定屬于移動(dòng)安全擴(kuò)展要求？
答：當(dāng)業(yè)務(wù)系統(tǒng)要滿足具有專用APP、通過(guò)特定網(wǎng)絡(luò)連接、具備專用移動(dòng)終端時(shí)參照移動(dòng)互聯(lián)擴(kuò)展要求。
26如何選擇等級(jí)保護(hù)備案所在地？
答：《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，等級(jí)保護(hù)的主體單位為信息系統(tǒng)的運(yùn)營(yíng)、使用單位。備案主體一般可以理解為，出現(xiàn)網(wǎng)絡(luò)安全事件后，第一責(zé)任單位是誰(shuí)，誰(shuí)就是備案主體。要注意讓承建單位或運(yùn)維單位成為備案主體的錯(cuò)誤方式。大部分情況下，在單位所在地屬地（縣級(jí)及以上）網(wǎng)安進(jìn)行定級(jí)備案。如運(yùn)維所在地和注冊(cè)地不一致，一般以運(yùn)維所在地備案。當(dāng)然也有一些特殊行業(yè)的要求，比如一些涉及到金融安全的行業(yè)，比如互聯(lián)網(wǎng)金融系統(tǒng)、支付系統(tǒng)需要屬地化管理，這些系統(tǒng)需要在注冊(cè)地辦理定級(jí)備案手續(xù)，以滿足本地的監(jiān)管要求。
27如何選擇測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)？
答：選擇有測(cè)評(píng)資質(zhì)的測(cè)評(píng)公司，優(yōu)先考慮本地測(cè)評(píng)公司?？蓞⒄罩袊?guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)的《全國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》選中幾家進(jìn)行邀請(qǐng)投標(biāo)，同時(shí)關(guān)注該網(wǎng)站公布的國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室的不定期整改公告中是否涉及相關(guān)測(cè)評(píng)公司。
28如何確定業(yè)務(wù)系統(tǒng)屬于等保幾級(jí)？
答：可參照等級(jí)保護(hù)定級(jí)指南，從業(yè)務(wù)系統(tǒng)安全和系統(tǒng)服務(wù)安全兩個(gè)方面評(píng)價(jià)當(dāng)業(yè)務(wù)系統(tǒng)被破壞時(shí)對(duì)客體的影響程度，取兩個(gè)方面較高的等級(jí)。
當(dāng)確定系統(tǒng)級(jí)別后，應(yīng)開(kāi)展專家評(píng)審對(duì)系統(tǒng)定級(jí)合理性進(jìn)行審核。如有行業(yè)主管部門制訂的定級(jí)依據(jù)，可直接參照采納行業(yè)定級(jí)標(biāo)準(zhǔn)定級(jí)。
29買/用哪些安全產(chǎn)品能過(guò)等保？
答：可根據(jù)實(shí)際情況，如考慮等保測(cè)評(píng)結(jié)果分?jǐn)?shù)與等級(jí)、業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)與防護(hù)要求等綜合考慮安全通信網(wǎng)絡(luò)防護(hù)、安全區(qū)域邊界防護(hù)、安全計(jì)算環(huán)境防護(hù)、安全管理中心、安全建設(shè)與運(yùn)維等投入。建議咨詢專業(yè)的安全咨詢服務(wù)機(jī)構(gòu)定制解決方案。
30現(xiàn)在還沒(méi)做等保還來(lái)得及嗎？有什么影響？
答：來(lái)得及。種一棵樹(shù)，最好的時(shí)間是十年前，其次是現(xiàn)在。可先根據(jù)定級(jí)備案要求和流程，先向公安遞交定級(jí)備案文件，測(cè)評(píng)與整改預(yù)算提上日程，在經(jīng)費(fèi)未落實(shí)前，可以先進(jìn)行系統(tǒng)定級(jí)、差距分析、整改計(jì)劃制訂等工作。
31業(yè)務(wù)系統(tǒng)在云上，安全是云平臺(tái)負(fù)責(zé)的吧？
答：根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）附錄D，云服務(wù)商根據(jù)提供的IaaS、PaaS、SaaS模式承擔(dān)不同的平臺(tái)安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后，云租戶與云平臺(tái)服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任。
也就是說(shuō)云平臺(tái)承擔(dān)的是云平臺(tái)的安全責(zé)任，部署在云平臺(tái)上的系統(tǒng)或數(shù)據(jù)所有者，應(yīng)對(duì)該系統(tǒng)或數(shù)據(jù)承擔(dān)網(wǎng)絡(luò)安全保護(hù)責(zé)任。
32做完等級(jí)保護(hù)測(cè)評(píng)后整改周期是多久？
答：雖無(wú)明確規(guī)定，但測(cè)評(píng)報(bào)告一般是整改達(dá)標(biāo)后才出具，除非可以接受結(jié)論為“差”的報(bào)告或不在乎分?jǐn)?shù)。另外，等保工作本身就是為了提升網(wǎng)絡(luò)安全防護(hù)水平，尤其是測(cè)評(píng)中發(fā)現(xiàn)的高風(fēng)險(xiǎn)建議立刻克服困難，抓緊整改。不少單位就是因?yàn)椤案唢L(fēng)險(xiǎn)”問(wèn)題沒(méi)及時(shí)整改而中招，導(dǎo)致單位承受了巨大的經(jīng)濟(jì)和聲譽(yù)損失。
33等級(jí)保護(hù)有哪些規(guī)范標(biāo)準(zhǔn)？
答：等級(jí)保護(hù)涉及面廣，相關(guān)的安全標(biāo)準(zhǔn)、規(guī)范、指南還有很多正在編制或修訂中。常用的規(guī)范標(biāo)準(zhǔn)包括但不限于如下幾個(gè)：
GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則
GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南
GB/T 31168-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求
GB/T 36326-2018 信息技術(shù) 云計(jì)算云服務(wù)運(yùn)營(yíng)通用要求
GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南
GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求
GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求
GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全安全等級(jí)保護(hù)定級(jí)指南
GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求
GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求
GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范
34等級(jí)保護(hù)步驟或流程是什么樣的？
答：根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，等級(jí)保護(hù)工作總共分五個(gè)階段，分別為：系統(tǒng)定級(jí)、系統(tǒng)備案、安全建設(shè)/整改、等級(jí)測(cè)評(píng)、主管/監(jiān)管單位定期開(kāi)展監(jiān)督檢查。
35有哪些情況系統(tǒng)定級(jí)無(wú)需專家評(píng)審？
答：信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門，且對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)有定級(jí)指導(dǎo)意見(jiàn)或?qū)徍伺鷾?zhǔn)的，可無(wú)需在進(jìn)行等級(jí)專家評(píng)審。
主管部門一般指行業(yè)的上級(jí)主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運(yùn)營(yíng)使用的信息系統(tǒng)，則必須由上級(jí)主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性。

具體要求建議咨詢屬地網(wǎng)安

36業(yè)務(wù)系統(tǒng)在內(nèi)/專網(wǎng)，還需要做等保嗎？

答：需要。內(nèi)網(wǎng)與專網(wǎng)的非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇，雖然內(nèi)/專網(wǎng)相對(duì)于互聯(lián)網(wǎng)，業(yè)務(wù)系統(tǒng)的用戶比較明確或可控，但內(nèi)網(wǎng)不代表安全。
37等級(jí)保護(hù)測(cè)評(píng)結(jié)論不符合是不是等級(jí)保護(hù)工作就白做了？
答：不是。等級(jí)保護(hù)測(cè)評(píng)結(jié)論為“差”，表示目前該信息系統(tǒng)存在高危風(fēng)險(xiǎn)或整體安全性較差，沒(méi)有達(dá)到相應(yīng)標(biāo)準(zhǔn)要求。但是這并不代表等級(jí)保護(hù)工作白做了，即使你拿著不符合的測(cè)評(píng)報(bào)告，主管單位也是承認(rèn)你們單位今年的等級(jí)保護(hù)工作已經(jīng)開(kāi)展過(guò)了，只是目前的問(wèn)題較多，沒(méi)達(dá)到相應(yīng)的標(biāo)準(zhǔn)，需要抓緊整改。
38拿什么證明開(kāi)展過(guò)等級(jí)保護(hù)工作？
答：一般情況是備案證明和測(cè)評(píng)報(bào)告，測(cè)評(píng)報(bào)告應(yīng)加蓋測(cè)評(píng)機(jī)構(gòu)公章和測(cè)評(píng)專用章。
39系統(tǒng)在云上，還要做等保嗎？
答：要做。業(yè)務(wù)上云有多種情況，如在公有云、私有云、專有云等不同屬性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服務(wù)，雖然安全責(zé)任邊界發(fā)生了變化，但網(wǎng)絡(luò)運(yùn)營(yíng)者的安全責(zé)任不會(huì)轉(zhuǎn)移。根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)、誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則，應(yīng)承擔(dān)網(wǎng)絡(luò)安全責(zé)任進(jìn)行等級(jí)保護(hù)工作。
是否要通過(guò)測(cè)評(píng)這個(gè)需根據(jù)系統(tǒng)的重要程度，依據(jù)國(guó)家標(biāo)準(zhǔn)和相關(guān)部門要求來(lái)確定。
40等保的測(cè)評(píng)內(nèi)容有哪些？
答：通用要求包含：技術(shù)要求（安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心）；管理要求（安全管理制度、安全管理機(jī)構(gòu)、安全人員管理、安全建設(shè)管理、安全運(yùn)維管理）；云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工控、大數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)以及行業(yè)標(biāo)準(zhǔn)。
41“商密”測(cè)評(píng)的具體流程是什么？
答：商用密碼應(yīng)用安全評(píng)估的工作流程大致包括確定評(píng)估對(duì)象、開(kāi)展測(cè)評(píng)工作、輸出密碼測(cè)評(píng)報(bào)告、密評(píng)結(jié)果上報(bào)四個(gè)階段。
42“等?！迸c“商密”的評(píng)估對(duì)象有什么區(qū)別？
答：等級(jí)保護(hù)對(duì)象基本覆蓋了全部的網(wǎng)絡(luò)和信息系統(tǒng)，第三級(jí)以上的網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象（部分）同時(shí)為關(guān)基和密評(píng)的評(píng)估對(duì)象；商密對(duì)象含關(guān)鍵基礎(chǔ)設(shè)施、第三級(jí)等級(jí)保護(hù)對(duì)象和部分重要的信息系統(tǒng)。
43“等?！迸c“商密”的評(píng)估周期有什么區(qū)別？
答：等級(jí)測(cè)評(píng)、商密在實(shí)際開(kāi)展過(guò)程中應(yīng)銜接進(jìn)行，第三級(jí)以上的等級(jí)保護(hù)對(duì)象、商用密碼應(yīng)用安全的評(píng)估周期均為每年至少一次。
44“等保”與“商密”的評(píng)估結(jié)果有什么區(qū)別？
答：網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)估結(jié)論為優(yōu)、良、中、差；商密的測(cè)評(píng)結(jié)論有符合、部分符合、不符合；等級(jí)測(cè)評(píng)和商密都引入了風(fēng)險(xiǎn)分析，依據(jù)資產(chǎn)、威脅、脆弱性進(jìn)行賦值，并計(jì)算風(fēng)險(xiǎn)值進(jìn)行判定，風(fēng)險(xiǎn)結(jié)論有高、中、低；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基于風(fēng)險(xiǎn)評(píng)估的方法，重在分析安全風(fēng)險(xiǎn)可能引起的安全事件及總體安全狀況。當(dāng)網(wǎng)絡(luò)和信息系統(tǒng)存在高風(fēng)險(xiǎn)時(shí)，等級(jí)測(cè)評(píng)和商密的結(jié)論均為不符合（差）。
45“等保”和“網(wǎng)絡(luò)安全法”什么關(guān)系？
答：等級(jí)保護(hù)工作是國(guó)家網(wǎng)絡(luò)安全的基礎(chǔ)性工作，是“網(wǎng)絡(luò)安全法”要求我們履行的一項(xiàng)安全責(zé)任?！熬W(wǎng)絡(luò)安全法”是網(wǎng)絡(luò)安全領(lǐng)域的基本法，從國(guó)家層面對(duì)等級(jí)保護(hù)工作的法律認(rèn)可，網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級(jí)保護(hù)標(biāo)準(zhǔn)來(lái)建設(shè)。
46哪些企業(yè)和單位應(yīng)該開(kāi)展等保工作？
答：根據(jù) GB/T 22239-2019的相關(guān)規(guī)定：
劃重點(diǎn)：
（1）中國(guó)境內(nèi)運(yùn)營(yíng)的
（2）政府、事業(yè)單位、對(duì)外提供服務(wù)的企業(yè)
（3）除信息系統(tǒng)外，還包括：基礎(chǔ)網(wǎng)絡(luò)、云平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)和移動(dòng)互聯(lián)
也就是說(shuō)，基本涵蓋了企業(yè)的對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)和產(chǎn)品。
47購(gòu)買了符合等保要求的安全設(shè)備就能有效抵御網(wǎng)絡(luò)風(fēng)險(xiǎn)？
答：設(shè)備只是工具，是否能抵御風(fēng)險(xiǎn)，還有看怎么用！不少單位花錢買了安全設(shè)備，但缺乏技術(shù)人員支持，或者安全意識(shí)淡薄，安全產(chǎn)品不僅起不到安全作用，反而會(huì)影響業(yè)務(wù)連續(xù)性。
48做完等級(jí)測(cè)評(píng)就沒(méi)有安全問(wèn)題了？
答：很多人認(rèn)為，完成等保測(cè)評(píng)就萬(wàn)事大吉了。其實(shí)，不然。等保測(cè)評(píng)標(biāo)準(zhǔn)只是基線的要求，通過(guò)測(cè)評(píng)、整改，落實(shí)等級(jí)保護(hù)制度，確實(shí)可以規(guī)避大部分的安全風(fēng)險(xiǎn)。但是，安全是一個(gè)動(dòng)態(tài)而非靜止的過(guò)程，不是通過(guò)一次測(cè)評(píng)，就可以一勞永逸的。 
企業(yè)通過(guò)落實(shí)等保安全要求，并嚴(yán)格執(zhí)行各項(xiàng)安全管理的規(guī)章制度，基本能做到系統(tǒng)的安全穩(wěn)定運(yùn)行。但依然不能百分百保證系統(tǒng)的安全性。因此，要通過(guò)等級(jí)保護(hù)測(cè)評(píng)工作開(kāi)展，以“一個(gè)中心、三重防護(hù)”好“三化六防”等為指導(dǎo)，不斷提升網(wǎng)絡(luò)攻防能力。
49“等?！迸c“商密”的監(jiān)管單位分別是什么？
答：等保是屬于公安機(jī)關(guān)的網(wǎng)安部門開(kāi)展監(jiān)督管理工作；商密是密碼管理局開(kāi)展監(jiān)督管理工作。
50等保2.0什么時(shí)候算正式實(shí)施？
2019年12月1日正式實(shí)施。等保2.0依然在整個(gè)實(shí)施流程上由五個(gè)標(biāo)準(zhǔn)環(huán)節(jié)構(gòu)成：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)方面。