网络安全等级保护2.0国家标准(等保2.0)自去年12月1日正式实施以来,很多企业都在努力准备过保工作。本期等保问答梳理了一些备案、整改相关问题以供大家参考。让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保合规建设。
欢迎大家互动咨询,安徽国康将为您提供专业、合规的等保测评服务!
1.多长时间能拿到备案证明?
全国各省网警管理有所差异,一般提交备案流程后,如资料完备(三级系统要求含测评报告),顺利通过审核后15个工作日即可拿到备案证明。
2.不同公司的业务系统整合后是否可以算一个系统?
如果两个业务系统整合后功能高度融合,后台统一,可以认为是一个系统,只是业务功能增加,按业务系统更变申请复测即可。
3.如何判定属于移动安全扩展要求
当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。
4.如何选择等级保护备案所在地
建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警(公共信息网络安全监察局)备案并找本地测评机构测评。或可选择IT运维团队所在地进行备案与测评。
5.如何选择测评机构开展测评
选择有测评资质的测评公司,优先考虑本地测评公司。可参照中国网络安全等级保护网(http://djbh.net)的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标,同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。
6.如何确定业务系统属于等保几级
可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。
当确定系统级别后,可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。
7.买/用哪些安全产品能过等保
可根据实际情况,如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。建议咨询专业的安全咨询服务机构定制解决方案。
8.现在还没做等保还来得及吗?有什么影响
来得及。可先根据定级备案要求和流程,先向公安递交定级备案文件,测评与整改预算提上日程,在经费未落实前,可以先进行系统定级、差距分析、整改计划制订等工作。
9.做完等级保护测评后整改周期是多久
无明确规定。可优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容,而不是因为做了等保测评才需要去做的。
