統一回復：等保2.0企業必須關注的40個問題

網路安全等級保護2.0國家標準（等保2.0）自去年12月1日正式實施以來，很多企業都在努力準備過保工作，伴隨著國內疫情防控取得積極成效，各行各業逐漸開始復工復產，等保合規也重新提上重要日程。

為了讓有過保需求的客戶能夠更全面地瞭解當前的等保測評機制、以及針對性進行等保合規建設，騰訊雲安全專家服務團隊梳理了等級保護常見的40個問題，以供參考。同時也歡迎大家互動諮詢，我們將為客戶提供一站式、全流程的等保合規服務。

Q1：什麼是等級保護？

答：等級保護是指對國家重要資訊、法人和其他組織及公民的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護，對資訊系統中使用的資訊保安產品實行按等級管理，對資訊系統中發生的資訊保安事件分等級響應、處置。

Q2：什麼是等級保護2.0？

答：“等級保護2.0”或“等保2.0”是一個約定俗成的說法，指按新的等級保護標準規範開展工作的統稱。通常認為是《中華人民共和國網路安全法》頒佈實行後提出，以2019年12月1日，網路安全等級保護基本要求、測評要求和設計技術要求更新發布新版本為象徵性標誌。

Q3：“等保”與“分保”有什麼區別？

答：指等級保護與分級保護，主要不同在監管部門、適用物件、分類等級等方面。

監管部門不一樣，等級保護由公安部門監管，分級保護由國家保密局監管。

適用物件不一樣，等級保護適用非涉密系統，分級保護適用於涉及國家密秘系統。

等級分類不同，等級保護分5個級別：一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護)；分級保護分3個級別：秘密級、機密級、絕密級。

Q4：“等保”與“關保”有什麼區別？

答：指等級保護與關鍵資訊基礎設施保護，“關保”是在網路安全等級保護制度的基礎上，實行重點保護。《中華人民共和國網路安全法》第三章第二節規定了關鍵資訊基礎設施的執行安全，包括關鍵資訊基礎設施的範圍、保護的主要內容等。

目前《資訊保安技術 關鍵資訊基礎設施網路安全保護基本要求》正在報批中，相關試點工作已啟動。

Q5：什麼是等級保護測評？

答：指測評機構依據國家資訊保安等級保護制度規定，按照有關管理規範和技術標準，對非涉及國家秘密網路安全等級保護狀況進行檢測評估的活動。

Q6：等級保護是否是強制性的,可以不做嗎？

答：《中華人民共和國網路安全法》第二十一條規定網路運營者應當按照網路安全等級保護制度的要求，履行相關的安全保護義務。同時第七十六條定義了網路運營者是指網路的所有者、管理者和網路服務提供者。

等級保護相關標準雖然為非強制性的推薦標準，但網路（個人與家庭網路除外）運營者必需按網路安全法開展等級保護工作。

Q7：做等級保護要多少錢？

答：開展等級保護工作會包含：針對業務系統開展測評的費用，以及按等級保護要求開發、購買或部署安全防護產品成本，開展安全日常運維等人力成本。總體投入的費用與網路運營者對等級保護測評結果分數的預期，以及業務系統安全防護能力建設與整改的情況而定，相應的費用投入會差距很大。

為避免盲目投入這個誤區，建議諮詢專業安全服務諮詢機構制訂最高價效比的解決方案來滿足合規要求又達到業務系統安全保障要求。

Q8：等級保護測評一般多長時間能測完？

答：一個二級或三級的系統整體持續週期1-2個月。

現場測評週期一般1周左右，具體時間還要根據資訊系統數量及資訊系統的規模，以及測評方與被測評方的配合情況等有所增減。

小規模安全整改（管理制度、策略配置技術整改）2-3周，出具報告時間1周。

Q10：是否系統定級越低越好？

答：不是。可根據實際業務系統的情況參照定級標準進行定級，採用“定級過低不允許、定級過高不可取”的原則。當出現網路安全事件進行追責的時候，如因系統定級過低，需承擔系統定級不合理、安全責任沒有履行到位的風險。

Q11：定級備案了是否就被監管了？

答：沒有定級備案並不代表不需被監管，應儘快履行網路運營者的安全責任進行備案。定級備案後監管部門會在重要時候開展安全檢查或釋出一些針對性的安全預警，有利於網路運營者開展網路安全工作降低風險。

Q12：等級保護工作就是做個測評嗎？

答：等級保護工作包括定級、備案、測評、建設整改、監督審查，測評只是其中一項。測評不是等保工作的結束，重要的是透過測評查漏補缺，不斷改進提升安全防護能力，降低安全風險。

Q13：等級保護測評做一次要多少錢？

答：等級保護工作屬於屬地化管理，測評收費非全國統一價，測評費用每個省都有一個參考報價標準。因業務系統規模大小及是否涉及擴充套件功能測試不同總體測評費用也有所差異。

如某省的參考報價為：二級系統測評費5萬，三級系統測評費9萬。

Q14：等保測評後就要花很多錢做整改嗎？

答：不一定。整改工作可根據網路運營者對測評結果分數的期望和現有安全防護措施的實際效果是否能保障業務抵抗風險的需求按需開展。整改內容也有很多不同方向，除安全裝置或服務外，安全管理制度、安全策略調整的整改成本並不高，同樣也能快速提升安全保障能力。

Q15：過等保要花多少錢？能包過嗎？

答：等級保護採用備案與測評機制而非認證機制，不存在包過的說法，盲目採納服務商包過的產品與服務套餐往往不是最高價效比的方案。網路運營者可結合自身實際安全需求與等保測評預期得分，諮詢專業的第三方安全諮詢服務機構來開展等建設工作與測評機構的選擇。

Q16：做了等級測評之後，是否會給發合格證書？

答：測評後無合格證書。等級保護採用備案與測評機制而非認證機制，公安機關只對資訊系統的備案情況進行稽核，對符合等級保護要求的，頒發資訊系統安全等級保護備案證明，發現不符合有關標準的，通知備案單位予以糾正，發現定級不準的，通知備案單位重新稽核確定。

Q17：如何快速理解等保2.0測評結果？

答：等級保護2.0測評結果包括得分與結論評價；得分為百分制，及格線為70分；結論評價分為優、良、中、差四個等級。

Q18：多長時間能拿到備案證明？

答：全國各省網警管理有所差異，一般提交備案流程後，如資料完備（三級系統要求含測評報告），順利透過稽核後15個工作日即可拿到備案證明。

Q19：不同公司的業務系統整合後是否可以算一個系統？

答：如果兩個業務系統整合後功能高度融合，後臺統一，可以認為是一個系統，只是業務功能增加，按業務系統更變申請複測即可。

Q20：如何判定屬於移動安全擴充套件要求？

答：當業務系統要滿足具有專用APP、透過特定網路連線、具備專用移動終端時參照移動互聯擴充套件要求。

Q21：如何選擇等級保護備案所在地？

答：建議根據被測評業務系統的經營主體與法人註冊地優先向當地公安網警（公共資訊網路安全監察局）備案並找本地測評機構測評。或可選擇IT運維團隊所在地進行備案與測評。

Q22：如何選擇測評機構開展測評？

答：選擇有測評資質的測評公司，優先考慮本地測評公司。可參照中國網路安全等級保護網（http://djbh.net）的《全國網路安全等級保護測評機構推薦目錄》選中幾家進行邀請投標，同時關注該網站公佈的國家網路安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。

Q23：如何確定業務系統屬於等保幾級？

答：可參照等級保護定級指南，從業務系統安全和系統服務安全兩個方面評價當業務系統被破壞時對客體的影響程度，取兩個方面較高的等級。

當確定系統級別後，可開展專家評審對系統定級合理性進行稽核。如有行業主管部門制訂的定級依據，可直接參照採納行業定級標準定級。

Q24：買/用哪些安全產品能過等保？

答：可根據實際情況，如考慮等保測評結果分數與等級、業務系統風險與防護要求等綜合考慮安全通訊網路防護、安全區域邊界防護、安全計算環境防護、安全管理中心、安全建設與運維等投入。建議諮詢專業的安全諮詢服務機構定製解決方案。

Q25：現在還沒做等保還來得及嗎？有什麼影響？

答：來得及。種一棵樹，最好的時間是十年前，其次是現在。可先根據定級備案要求和流程，先向公安遞交定級備案檔案，測評與整改預算提上日程，在經費未落實前，可以先進行系統定級、差距分析、整改計劃制訂等工作。

Q26：業務系統在雲上，安全是雲平臺負責的吧？

答：根據《資訊保安技術 網路安全等級保護基本要求》（GB/T 22239-2019）附錄D，雲服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業務系統上雲後，雲租戶與雲平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。

Q27：做完等級保護測評後整改週期是多久？

答：無明確規定。可優先把高危風險及最急需整改的內容先整改，不強制要求一次或一年內全部整改到位，安全建設及整改是一個持續性的工作。另外安全建設和安全整改本來就是日常安全工作的一部分內容，而不是因為做了等保測評才需要去做的。

Q28：等級保護有哪些規範標準？

答：等級保護涉及面廣，相關的安全標準、規範、指南還有很多正在編制或修訂中。常用的規範標準包括但不限於如下幾個：

· GB/T 31167-2014 資訊保安技術 雲端計算服務安全指南

· GB/T 31168-2014 資訊保安技術 雲端計算服務安全能力要求

· GB/T 36326-2018 資訊科技 雲端計算雲服務運營通用要求

· GB/T 25058-2010 資訊保安技術 資訊系統安全等級保護實施指南

· GB/T 25070-2019資訊保安技術 網路安全等級保護安全設計技術要求

· GB/T 28448-2019資訊保安技術 網路安全等級保護測評要求

· GB/T 22239-2019 資訊保安技術 網路安全等級保護基本要求

· GB/T 22240-2008資訊保安技術 資訊系統安全等級保護定級指南

· GB/T 36958-2018 資訊保安技術 網路安全等級保護安全管理中心技術要求

· GM/T 0054-2018 資訊系統密碼應用基本要求

· GB/T 35273-2020 資訊保安技術 個人資訊保安規範

Q29：等級保護步驟或流程是什麼樣的？

答：根據資訊系統等級保護相關標準，等級保護工作總共分五個階段，分別為：資訊系統定級、是資訊系統備案、是系統安全建設、是資訊系統開始等級測評、主管單位定期開展監督檢查。

Q30：有哪些情況系統定級無需專家評審？

答：資訊系統運營使用單位有上級主管部門，且對資訊系統的安全保護等級有定級指導意見或稽核批准的，可無需在進行等級專家評審。

主管部門一般指行業的上級主管部門或監管部門。如果是跨地域聯網運營使用的資訊系統，則必須由上級主管部門審批，確保同類系統或分支系統在各地域分別定級的一致性。

Q31：業務系統在內/專網，還需要做等保嗎？

答：需要。內網與專網的非涉密系統都屬於等級保護範疇，雖然內/專網相對於網際網路，業務系統的使用者比較明確或可控，但內網不代表安全。

Q32：等級保護測評結論不符合是不是等級保護工作就白做了？

答：不是。等級保護測評結論不符合表示目前該資訊系統存在高危風險或整體安全性較差，不符合等保的相應標準要求。但是這並不代表等級保護工作白做了，即使你拿著不符合的測評報告，主管單位也是承認你們單位今年的等級保護工作已經開展過了，只是目前的問題較多，沒達到相應的標準。

Q33：拿什麼證明開展過等級保護工作？

答：備案證明或測評報告，即加蓋測評機構公章或測評專用章的測評報告以及有主管部門公章的系統備案證明或系統定級備案資料。

Q34：系統在雲上，還要做等保嗎？

答：要做。業務上雲有多種情況，如在公有云、私有云、專有云等不同屬性的雲上，並採用IaaS、PaaS、SaaS、IDC託管等不同服務，雖然安全責任邊界發生了變化，但網路運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則，應承擔網路安全責任進行等級保護工作。

Q35：如何將業務快速遷移到騰訊雲？

答：騰訊雲提供遷移服務平臺（Migration Service Platform，MSP）整合了各種遷移工具，並提供統一監控。使用者在遷移時可選擇騰訊雲官方遷移工具，也可選擇官方認證的第三方遷移工具。遷移服務平臺幫助使用者方便快捷的將系統遷移上雲，並清晰掌握遷移進度。遷移服務平臺 MSP 不收取任何額外費用，您只需為使用的遷移工具及資源付費。

Q36：業務在雲上，到哪裡進行定級備案？

答：可在業務系統運維團隊或其公司主體經營註冊地向公安網警進行備案，與業務系統在雲上的資源物理節點的地點無關。

Q37：騰訊雲等保測評評分是多少？

答：騰訊公有云等級保護三級評分97.82分；騰訊金融雲等級保護四級評分97.57分。

Q38：如何獲取騰訊雲等級保護測評報告關鍵頁或備案證明？

答：雲租戶在開展等級保護測評時，需查閱雲平臺等保測評結果。騰訊雲大客戶可在其專屬的QQ群中提交需求獲取；普通騰訊雲客戶可在騰訊雲控制檯中選擇“工單”—“其他服務“—“其他騰訊雲產品” 提交工單。

Q39：騰訊雲可以提供哪些幫助嗎？

答：騰訊雲已透過等級保護三級、騰訊金融雲已透過等級保護四級要求，可以為雲租戶提供一個合規的雲平臺，這也是租戶業務系統透過等級保護2.0測評的先決條件。

安全產品方面，針對等保二級和三級的要求，騰訊雲擁有包含安全管理中心、防火牆、Web應用防火牆、DDoS高防、資料安全閘道器、主機安全、資料庫審計、堡壘機等雲原生安全防護產品。

安全服務方面，騰訊云為雲上客戶提供系統化的網路安全等級保護合規建設和測評服務的渠道。提供具有深厚行業背景與10+年安全從業經驗的資深安全專家的專業安全服務，讓安全建設不再是企業的負擔。

Q40：如何聯絡騰訊雲安全專家服務團隊進行等保諮詢？

答：可登入騰訊雲官網（複製以下網址在瀏覽器中開啟https://cloud.tencent.com），透過控制檯提交工單。或在官網相關頁面提交申請。騰訊雲網官選單導航：產品-安全-安全服務-專家服務。

另外，等保的考評專案中包括應用、網路、管理等多方面的要求，對於上雲的使用者來講，作業系統的合規是最為重要也是最複雜的部分。

為了幫助使用者更好的解決作業系統的合規問題，騰訊雲免費推出了全球首個雲原生預設合規映象，只要一鍵點選，就能幫使用者自動完成90%的伺服器合規配置，讓使用者的雲伺服器輕鬆透過等保2.0的要求。