中药治疗白癜风 http://news.39.net/bjzkhbzy/171025/5788512.html
为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保以及商密合规建设，本文梳理了等级保护2.0以及商密中常见的50个问题，以供参考。

1.什么是等级保护？

答：等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

2.什么是等级保护2.0？

答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以年12月1日，《GB/T-信息安全技术网络安全等级保护基本要求》正式实施为象征性标志。

3.“等保”与“分保”有什么区别？

答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。

监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。

适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。

等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。

4.“等保”与“关保”有什么区别？

答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。目前“关保”的基本要求、测评指南、高风险判例等均已基本完成，相关试点工作已启动。

5.什么是等级保护测评？

答：指经认定的专业第三方测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。

6.什么是商密？

答：商用密码用于保护不属于国家秘密的信息。也就是说，商用密码可以用于保护除国家秘密之外的所有信息，既可以保护企业商业秘密、公民个人隐私，也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称，年，中央决定在我国大力发展商用密码，加强对商用密码的管理。年，国务院颁布施行《商用密码管理条例》（国务院令第号），商用密码的名称开始为社会所熟知和广泛使用。此后，中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。

7.什么是商用密码安全性评估？

答：商用密码应用安全性评估（简称“密评”），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

8.不做密评或测试结果不合格有什么影响？

答：《密码法》第三十七条第一款

关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法（试行）》第二章第十条

关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

9.“商用密码评估”和“等保”究竟有着什么样的关系呢？

答：在网络安全等级保护规划、建设、运行阶段开展密码应用安全性评估;

《商用密码应用安全性评估管理办法（试行）》明确等保三级及以上系统，应当通过密码测评后方可投入运行;等保三级以上网络每年进行一次密评，且测评结果需报主管部门、密码管理部门及公安部门备案;

《网络安全等级保护条例》中保留了密码专章在统一标准体系的基础上台并开展;

《网络安全等级保护基本要求》明确各级系统在哪些环节使用密码;《网络安全等级保护测评要求》将密码测评结果列为等保测评通过的必要条件。

10.等保”与“商密”的主要标准有什么区别？

答：等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象，并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

商密是依据我国相关法律的规定，我国商用密码的标准，由国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定，包括国家标准、行业标准两种。

《中华人民共和国密码法》

第二十二条　国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条　国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

11.等级保护是否是强制性的,可以不做吗？

答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护工作是保障我国网络安全的基本动作，目前各单位需按照所在行业及保护对象重要程度，依据网络安全法及相关部门要求，按照“同步规划、同步建设、同步使用”的原则，开展等级保护工作。

12.做等级保护要多少钱？

答：开展等级保护工作主要包含：规划费用、建设或整改费用、运维费用、测评费用等，具体费用因各单位现状、保护对象承载业务功能、重要程度、所在地区等差异较大。

为避免过度保护或疏于防范的情况，减少资源浪费等，建议聘请或咨询专业的等级保护服务机构，制定科学合理的方案。

13.等级保护测评一般多长时间能测完？

答：一个二级或三级的系统整体持续周期1-2个月。

现场测评周期一般1周左右，具体时间还要根据信息系统数量及信息系统的规模，以及测评方与被测评方的配合情况等有所增减。

小规模安全整改（管理制度、策略配置技术整改）2-3周，出具报告时间1-2周。

目前各地根据各自省份或城市的情况，还存在单独规定测评实施周期的情况，一般是签订测评合同之日起3-6个月必须出具测评报告。

14.等级保护测评多久做一次？

答：根据《信息安全等级保护管理办法》公通字号十四条：第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

15.是否系统定级越低越好？

答：不是。应根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。

16.定级备案了是否就被监管了？

答：没有定级备案并不代表不会被监管。通过自评估达到二级及以上的保护对象，均应尽快组织专家开展定级评审工作，并到属地网安进行备案。定级备案后监管部门会及时发布针对性的安全预警，并根据情况实地指导网络安全工作，有利于网络运营者提升网络安全风险的应对能力，保障单位的声誉，减少经济损失。

17.等级保护工作就是做个测评吗？

答：等级保护工作包括定级、备案、测评、建设整改、监督审查，测评只是其中一项。测评不是等保工作的结束，重要的是通过测评查漏补缺，不断改进提升安全防护能力，降低安全风险。

18.等级保护测评做一次要多少钱？

答：等级保护工作属于属地化管理，测评收费非全国统一价，测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。

19.等保测评后就要花很多钱做整改吗？

答：不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向，除安全设备或服务外，安全管理制度、安全策略调整的整改成本并不高，同样也能快速提升安全保障能力。

20.过等保要花多少钱？能包过吗？

答：等级保护采用备案与测评机制而非认证机制，不存在包过的说法，盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分，咨询专业的第三方安全咨询服务机构来开展等建设工作。

21.做了等级测评之后，是否会给发合格证书？

答：测评后无合格证书。等级保护采用备案与测评机制而非认证机制，在属地网安备案后可获得《信息系统安全等级保护备案证明》，测评工作完成后会收到具有法律效率的“测评报告（至少要加盖测评机构公章和测评专用章）”。

22.如何快速理解等保2.0测评结果？

答：等级保护2.0测评结果包括得分与结论评价；得分为百分制，及格线为70分；结论评价分为优、良、中、差四个等级。

23.多长时间能拿到备案证明？

答：全国各省网警管理有所差异，一般提交备案流程后，如资料完备，顺利通过审核后15个工作日即可拿到备案证明。

24.不同公司的业务系统整合后是否可以算一个系统？

答：不同公司作为两个独立承担法律的主体单位，必须明确唯一的备案主体，不能算一个系统。同一单位的业务系统，如确实经过改造，入口、后台、业务关联性、重要程度等符合《GB/T-信息系统安全网络安全等级保护定级指南》要求可以算作一个系统。

25.如何判定属于移动安全扩展要求？

答：当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。

26.如何选择等级保护备案所在地？

答：《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为，出现网络安全事件后，第一责任单位是谁，谁就是备案主体。要注意让承建单位或运维单位成为备案主体的错误方式。大部分情况下，在单位所在地属地（县级及以上）网安进行定级备案。如运维所在地和注册地不一致，一般以运维所在地备案。当然也有一些特殊行业的要求，比如一些涉及到金融安全的行业，比如互联网金融系统、支付系统需要属地化管理，这些系统需要在注册地办理定级备案手续，以满足本地的监管要求。

27.如何选择测评机构开展测评？

答：选择有测评资质的测评公司，优先考虑本地测评公司。可参照中国网络安全等级保护网（