等級(jí)保護(hù)常見(jiàn)問(wèn)題

常見(jiàn)問(wèn)題

Q：什么是等級(jí)保護(hù)?

A：信息安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

Q：等級(jí)保護(hù)工作具體包含哪些內(nèi)容?

A：根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，等級(jí)保護(hù)工作總共分五個(gè)階段，分別為：

（1）信息系統(tǒng)定級(jí)

（2）信息系統(tǒng)備案

（3）信息系統(tǒng)安全建設(shè)

（4）信息系統(tǒng)等級(jí)測(cè)評(píng)

（5）主管單位監(jiān)督檢查

Q：為什么要開(kāi)展等級(jí)保護(hù)工作?

A：主要理由如下：

（1）通過(guò)等級(jí)保護(hù)工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足，進(jìn)行安全整改之后，提高信息系統(tǒng)的信息安全防護(hù)能力，降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)，維護(hù)單位良好的形象。

（2）等級(jí)保護(hù)是我國(guó)關(guān)于信息安全的基本政策，國(guó)家法律法規(guī)、相關(guān)政策制度要求單位開(kāi)展等級(jí)保護(hù)工作。如《信息安全等級(jí)保護(hù)管理辦法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

（3）很多行業(yè)主管單位要求行業(yè)客戶開(kāi)展等級(jí)保護(hù)工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)，還有一些主管單位發(fā)過(guò)相關(guān)文件或通知要求去做。

（4）落實(shí)個(gè)人及單位的網(wǎng)絡(luò)安全保護(hù)義務(wù)，合理規(guī)避風(fēng)險(xiǎn)。

Q：去哪里進(jìn)行信息系統(tǒng)的定級(jí)備案工作?

A：絕大部分地方規(guī)定：各地級(jí)市的單位將定級(jí)資料交給各自地級(jí)市的網(wǎng)安支隊(duì)，省級(jí)單位將資料交給省公安網(wǎng)安總隊(duì)，特定行業(yè)有要求的另說(shuō)，也有部分地方是先將資料交到區(qū)縣網(wǎng)安大隊(duì)，再由區(qū)縣網(wǎng)安大隊(duì)轉(zhuǎn)交地級(jí)市網(wǎng)安支隊(duì)進(jìn)行備案。

Q：什么是等級(jí)保護(hù)測(cè)評(píng)?

A：測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

Q：等級(jí)保護(hù)測(cè)評(píng)一般多長(zhǎng)時(shí)間能測(cè)完?

A：一個(gè)二級(jí)或三級(jí)的系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)周期一般一周左右，具體時(shí)間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模，有所增減。小規(guī)模安全整改2-3周，出具報(bào)告時(shí)間一周，整體持續(xù)周期1-2個(gè)月。如果整改不及時(shí)或牽涉到購(gòu)買設(shè)備，時(shí)間不好說(shuō)，但總的要求一年內(nèi)要完成。

Q：等級(jí)保護(hù)測(cè)評(píng)多久需要測(cè)一次?

A：三級(jí)信息系統(tǒng)要求每年至少開(kāi)展一次測(cè)評(píng)；二級(jí)信息系統(tǒng)建議每?jī)赡觊_(kāi)展一次測(cè)評(píng)，部分行業(yè)是明確要求每?jī)赡觊_(kāi)展一次測(cè)評(píng)。

Q：等級(jí)保護(hù)測(cè)評(píng)的費(fèi)用是多少?

A：測(cè)評(píng)的費(fèi)用首先是按照信息系統(tǒng)來(lái)算，不是按照一個(gè)單位，其次不同等級(jí)的測(cè)評(píng)費(fèi)用不一樣，而后測(cè)評(píng)的費(fèi)用也和信息系統(tǒng)的資產(chǎn)規(guī)模相關(guān)，規(guī)模越大相應(yīng)的測(cè)評(píng)費(fèi)用會(huì)高些。費(fèi)用每個(gè)省市具體情況不一樣，通常每個(gè)省市都有自己的一個(gè)價(jià)格體系，二級(jí)和三級(jí)系統(tǒng)的測(cè)評(píng)費(fèi)用相對(duì)都是固定的，具體可以向當(dāng)?shù)販y(cè)評(píng)機(jī)構(gòu)咨詢。

Q：用戶單位需要開(kāi)展等級(jí)保護(hù)測(cè)評(píng)，找誰(shuí)去做?

A：找有測(cè)評(píng)資質(zhì)的的測(cè)評(píng)公司去開(kāi)展，該單位至少具有該省市信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室發(fā)放的《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》，同時(shí)部分省份要求測(cè)評(píng)機(jī)構(gòu)在用戶單位所在地級(jí)市公安網(wǎng)安部門備案，備案成功后方可在當(dāng)?shù)亻_(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作。

Q：測(cè)評(píng)完成后需要花多少錢進(jìn)行安全整改，整改是否一次性要整改到位?

A：需要根據(jù)具體情況去分析，安全整改不一定要額外花錢，如果單位已經(jīng)有防火墻、IDS、殺毒軟件的話，設(shè)備上是基本滿足等保三級(jí)及以下等級(jí)的要求的。當(dāng)然如果想做的更好，還是需要再增加一些其他設(shè)備的。