网民问:什么是等级保护?
回答:网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
网民问:我们为什么要做等保?
回答:等保可以从三个方面了解,首先需要适应国家法律要求:国家法律法规及行业监管政策都要求开展等级保护工作。如《网络安全法》和《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
其次是适应客户要求:信息系统运营单位在向外部客户提供业务服务时,通过等保测评,能向客户及利益相关方展示信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
后还要适应自身安全要求:信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
网民问:哪些行业需要开展等级保护工作?
回答:简单来说,政府机关里像各大部委、各省级政府机关、各地市级政府机关、各事业单位等;金融行业里金融监管机构、各大银行、证券、保险公司等;电信行业的各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;还有能源行业的电力公司、石油公司、烟草公司;除此之外还有企业单位的大中型企业、央企、上市公司等,后还有其它有信息系统定级需求的行业与单位。
网民问:去哪里进行信息系统的定级备案工作?
回答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
系统定级资料填写完成之后打印两份,首页盖章,电子档准备一份,带着这些资料去当地公安网安部门进行系统备案,至于到底是哪个网安请根据各地的要求,省、市、区县都有可能。
网民问:等保测评周期,信息系统的测评多久需要测一次?
回答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。
网民问:等级保护三级测评流程有哪些?
回答:先去当地的公关申请三级的定级备案,备案审核通过要开展等级保护三评,测评结果一般为符合,基本符合,不符合,一般情况下初次测评就符合的几率不大,一般都要开展相关整改,然后再进行复评,然后出具测评报告,接着测评机构会被报告提交给监管审核部门,审核通过后就可以出具备案证明了。如果贵公司有IT技术人员和信息安全人员,一般在整改部分可以自己做,等级保护测评是需要第三方测评(找有等级保护测评资质的机构或者公司,比如我所在的时代新威,不仅是国家等保办批准的网络安全等级保护测评机构,也是国内唯一拥有IT审计资质双证企业。18年的行业沉淀,给客户不止合规,更有性的网络安全保障。)
网民问:等保备案流程是怎样的?
回答:一般情况下等保备案流程是分为确定定级对象、初步确定安全保护等级、专家评审与审批、备案4步,各行业主管部门、运营使用单位首先要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,确定定级对象。其次各信息系统主管部门和运营使用单位要按照《信息安全技术网络安全等级保护定级指南》,初步确定定级对象的安全保护等级。初步确定信息系统安全保护等级后,可以聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
后根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后30日内,到当地公安机关网监部门办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到当地公安机关网监部门办理备案手续。