Q1.什么是等级保护?
答:等级保护是指对国家主要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中利用的信息安全产品实施按等级管理,对信息系统中发生的信息安全事宜分等级相应、处置。
Q2.等级保护步骤或流程是什么样的?
答:根据信息系统等级保护干系标准,等级保护事情统共分五个阶段,分别为:信息系统定级、信息系统备案、系统安全培植、信息系统开始等级测评、主管单位定期开展监督检讨。
Q3.等级测评多久做一次?
答:《信息安全等级保护管理办法》公通字[2007]43号中,关于系统测评韶光有明确规定,三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次,第五级信息系统应该依据分外安全需求进行自查。
Q4.等级保护测评一样平常多永劫光能做完?
答:一个二级或三级的系统整体持续周期1-2个月。现场测评周期一样平常1周旁边,详细韶光还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的合营情形等有所增减。小规模安全整改(管理制度、策略配置技能整改)2-3周,出具报告韶光1周。
Q5.等级保护是否是逼迫性的,可以不做吗?
答:《中华公民共和国网络安全法》第二十一条规定网络运营者应该按照网络安全等级保护制度的哀求,履行干系的安全保护责任。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络做事供应者。等级保护干系标准虽然为非逼迫性的推举标准,但网络(个人与家庭网络除外)运营者必须按网络安全法开展等级保护事情。
Q6.业务系统在内/专网,还须要做等保吗?
答:须要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对付互联网,业务系统的用户比较明确或可控,但内网不代表安全。
Q7.系统在云上,还要做等保吗?
答:要做。业务上云有多种情形,如在公有云、私有云、专有云平分歧属性的云上,并采取IaaS、PaaS、SaaS、IDC托管平分歧做事,虽然安全任务边界发生了变革,但网络运营者的安全任务不会转移。根据“谁运营谁卖力、谁利用谁卖力、谁主管谁卖力”的原则,答允担网络安全任务进行等级保护事情。
Q8.业务在云上,到哪里进行定级备案?
答:可在业务系统运维团队或其公司主体经营注册地向公安网警进行备案,与业务系统在云上的资源物理节点的地点无关。
