网络安全等级保护2.0国家标准(等保2.0)自去年12月1日正式实施以来,很多企业都在努力准备过保工作。本期等保问答梳理了一些测评流程、云平台测评相关问题以供大家参考。让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保合规建设。
欢迎大家互动咨询,安徽国康将为您提供专业、合规的等保测评服务!
1、等级保护步骤或流程是什么样的?
根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、信息系统备案、系统安全建设、信息系统开始等级测评、主管单位定期开展监督检查。
2、等级保护测评结论不符合是不是等级保护工作就白做了?
不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
3、如何证明开展过等级保护工作?
备案证明或测评报告,即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。
4、业务系统在内/专网,还需要做等保吗?
需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。
5、业务系统在云上,安全是云平台负责吗?
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。
6、业务系统系统在云上,还要做等保吗?
要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。
7、业务系统在云上,到哪里进行定级备案?
可在业务系统运维团队或其公司主体经营注册地向公安网警进行备案,与业务系统在云上的资源物理节点的地点无关。
8.等级保护有哪些规范标准?
等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
GB/T 36326-2018 信息技术 云计算云服务运营通用要求
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南
GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
GM/T 0054-2018 信息系统密码应用基本要求
GB/T 35273-2020 信息安全技术 个人信息安全规范
