网络安全等级保护百问百答一之等级测评篇
1.什么是等级保护?
等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2.什么是等级保护2.0?
“等级保护2.0”或“等级保护2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。
指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。
监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。
适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。
等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
4.等级保护测评一般多长时间能测完?
如果双方配合度比较高的情况下,一个二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。其中小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1-2周。如果双方配合度,测评完成时长无法估算。
5.等级保护测评多久做一次?
根据《信息安全等级保护管理办法》公通字200743号十四条:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统暂时未要求,建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
6.等级保护工作就是做个测评吗?
等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等级保护工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。