等保测评如何进行？常见问题解析

北京华清信安科技有限公司

Q1：什么是等级保护？

答：等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

Q2：什么是等级保护2.0？

答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《*人民共和国网络安全法》颁布实行后提出，以2019年12月1日，《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。

Q3：“等保”与“关保”有什么区别？

答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《*人民共和国网络安全法》*三章*二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。

目前“关保”的基本要求、测评指南、高风险判例等均已基本完成，相关试点工作已启动。

Q4：《等保》和《网络安全法》有什么关系？

答：等级保护工作是国家网络安全的基础性工作，是《网络安全法》要求我们履行的一项安全责任。《网络安全法》是网络安全领域的基本法，从国家层面对等级保护工作的法律认可，网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。

Q5：哪些企业和单位应该开展等保工作？

答：根据 GB/T 22239-2019的相关规定

划重点：

（1）中国境内运营的

（2）**、企事业单位、对外提供服务的企业

（3）除信息系统外，还包括：基础网络、云平台、大数据、物联网、工控系统和移动互联

Q6：等级保护是否是强制性的,可以不做吗？

答：《*人民共和国网络安全法》*二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时*七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护工作是**我国网络安全的基本动作，目前各单位需按照所在行业及保护对象重要程度，依据网络安全法及相关部门要求，按照“同步规划、同步建设、同步使用”的原则，开展等级保护工作。

Q7：等级保护测评多久做一次？

答：根据《信息安全等级保护管理办法》公通字200743号十四条：*三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

Q8：是否系统定级越低越好？

答：不是。应根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。

Q9：定级备案了是否就被监管了？

答：没有定级备案并不代表不会被监管。通过自评估达到二级及以上的保护对象，均应尽快组织*开展定级评审工作，并到属地网安进行备案。定级备案后监管部门会及时发布针对性的安全预警，并根据情况实地指导网络作，有利于网络运营者提升网络安全风险的应对能力，**单位的声誉，减少经济损失。

Q10：如何选择等级保护备案所在地？

答：《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为，出现网络安全事件后，**责任单位是谁，谁就是备案主体。要注意让承建单位或运维单位成为备案主体的错误方式。大部分情况下，在单位工商注册所在地进行定级备案。如运维所在地和注册地不一致，一般以运维所在地备案。当然也有一些特殊行业的要求，比如一些涉及到金融安全的行业，比如系统、支付系统需要属地化管理，这些系统需要在注册地办理定级备案手续，以满足本地的监管要求。

Q11：等级保护工作就是做个测评吗？

答：等级保护工作包括定级、备案、系统建设与整改、开展等级保护测评工作、网络安全监管部门监督检查。测评只是其中一项。测评不是等保工作的结束，重要的是通过测评查漏补缺，不断改进提升安全防护能力，降低安全风险。

Q12：等保的测评内容有哪些？

答：通用要求包含：技术要求（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心）；管理要求（安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理）；云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。

Q13：不同公司的业务系统整合后是否可以算一个系统？

答：不同公司作为两个独立承担法律的主体单位，必须明确一的备案主体，不能算一个系统。同一单位的业务系统，如确实经过改造，入口、后台、业务关联性、重要程度等符合《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》要求可以算作一个系统。

Q14：如何确定业务系统属于等保几级？

答：可参照等级保护定级指南，从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度，取两个方面较高的等级。

当确定系统级别后，应开展*评审对系统定级合理性进行审核。如有行业主管部门制定的定级依据，可直接参照采纳行业定级标准定级。

Q15：业务系统在云上，还要做等保吗？

答：根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担网络安全保护责任。

系统在云上也要做等保。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。是否要通过测评这个需根据系统的重要程度，依据国家标准和相关部门要求来确定。

Q16：业务系统在内/专网，还需要做等保吗？

答：需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全。

Q17：如何快速理解等保2.0测评结果？

答：等级保护2.0测评包括得分与结论评价；得分为百分制。结论评价分为优、良、中、差四个等级。

Q18：等保测评后必须做整改吗？

答：不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能**业务抵抗风险的需求按需开展。整改内容也有很多不同方向，除安全设备或服务外，安全管理制度、安全策略调整的整改成本并不高，同样也能快速提升安全**能力。

Q19：等级保护测评结论不符合是不是等级保护工作就白做了？

答：不是。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。

Q20：做了等级测评之后，是否会给发合格证书？

答：测评后无合格证书。等级保护采用备案与测评机制而非认证机制，在属地网安完成备案后，选择测评机构完成现场测评工作，凭借测评机构出具的“测评（要加盖测评机构和测评**章）”并完成相关合规流程后，可取得《备案证明》。

Q21：购买了符合等保要求的安全设备就能有效抵御网络风险？

答：设备只是工具，是否能抵御风险，还有看怎么用！不少单位花钱买了安全设备，但缺乏技术人员支持，或者安全意识淡薄，安全产品不仅起不到安全作用，反而会影响业务连续性。

Q22：做完等级测评就没有安全问题了？

答：很多人认为，完成等保测评就万事大吉了。其实，不然。等保测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但是，安全是一个动态而非静止的过程，不是通过一次测评，就可以一劳永逸的。 

通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能*保证系统的安全性。因此，要通过等级保护测评工作开展，以“一个中心、三重防护”好“三化六防”等为指导，不断提升网络攻防能力。

华清信安是一家网络安全厂商，提供一站式的等级保护服务，帮助企业等级保护。

服务目标

服务流程

服务优势

全流程服务

安全厂商+等保咨询服务商优势

一站式实现等保五个环节全流程服务

项目实施经验 丰富经验和资源

较短的交付周期和满意的测评结果

项目团队

DJJS能力认证

等保测评师证书（CIIP-E）

CISAW安全**证书

售后运行**

持续跟踪服务1年

协助年度安全检查

定期漏扫/渗透测试

应急响应服务