等保客户常见问答

1.什么是等级保护2.0？

“等级保护2.0”或“等保2.0”是⼀个约定俗成的说法，指按新的等级保护标准规范开展⼯作的统称。通常认为是《中华⼈⺠共和国⽹络安全法》颁布实⾏后提出，以2019年12⽉1⽇，《GB/T22239-2019信息安全技术 ⽹络安全等级保护基本要求》正式实施为象征性标志。

2.“等保”与“分保”有什么区别？

指等级保护与分级保护，主要不同在监管部⻔、适⽤对象、分类等级等⽅⾯。
监管部⻔不⼀样，等级保护由公安部⻔监管，分级保护由国家保密局监管。
适⽤对象不⼀样，等级保护适⽤⾮涉密系统，分级保护适⽤于涉及国家秘密系统。
等级分类不同，等级保护分5个级别：⼀级(⾃主保护)、⼆级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护) 分级保 护分3个级别：秘密级、机密级、绝密级。

3.“等保”与“关保”有什么区别？

指等级保护与关键信息基础设施保护，“关保”是在⽹络安全等级保护制度的基础上，实⾏重点保护。《中华⼈⺠共和国⽹络安全法》第三章第⼆节规定了关键信息基础设施的运⾏安全，包括关键信息基础设施的范围、保护的主要内容等。
⽬前“关保”的基本要求、测评指南、⾼⻛险判例等均已基本完成，相关试点⼯作已启动。

4.什么是等级保护测评？

指经认定的专业第三⽅测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对⾮涉及国家秘密⽹络 安全等级保护状况进⾏检测评估的活动。

5.等级保护是否是强制性的,可以不做吗？

《中华⼈⺠共和国⽹络安全法》第⼆⼗⼀条规定⽹络运营者应当按照⽹络安全等级保护制度的要求，履⾏相关的安全保护义务。同时第七⼗六条定义了⽹络运营者是指⽹络的所有者、管理者和⽹络服务提供者；等级保护⼯作是保障我国⽹络安全的基本动作，⽬前各单位需按照所在⾏业及保护对象重要程度，依据⽹络安全法及相关部⻔要求，按照“同步规划、同步建设、同步使⽤”的原则，开展等级保护⼯作。

6.做等级保护要多少钱？

开展等级保护⼯作主要包含：规划费⽤、建设或整改费⽤、运维费⽤、测评费⽤等，具体费⽤因各单位现状、保护对象承载业务功能、重要程度、所在地区等差异较⼤。为避免过度保护或疏于防范的情况，减少资源浪费等，建议聘请或咨询专业的等级保护测评机构，制定科学合理的⽅案。

7.等级保护测评⼀般多⻓时间能测完？

⼀个⼆级或三级的系统整体持续周期1-2个⽉。现场测评周期⼀般1周左右，具体时还要根据信息系统数量及信息系统的规模，以及测评⽅与被测评⽅的配合情况等有所增减。⼩规模安全整改（管理制度、策略配置技术整改）2-3周，出具报告时间1-2周。
⽬前各地根据各⾃省份或城市的情况，还存在单独规定测评实施周期的情况，⼀般是签订测评合同之⽇起3-6个⽉必须出具测评报告。

8.等级保护测评多久做⼀次？

根据《⽹络安全等级保护条例》第⼆⼗三条规定：第三级以上⽹络的运营者应当每年开展⼀次⽹络安全等级测评。⼆级信息系统建议每两年开展⼀次测评。

9.是否系统定级越低越好？

不是。应根据实际业务系统的情况参照定级标准进⾏定级，采⽤“定级过低不允许、定级过⾼不可取”的原则。当出现⽹络安全事件进⾏追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履⾏到位的⻛险。

10.定级备案了是否就被监管了？

没有定级备案并不代表不会被监管。通过⾃评估达到⼆级及以上的保护对象，均应尽快组织专家开展定级评审⼯作，并到属地⽹安进⾏备案。定级备案后监管部⻔会及时发布针对性的安全预警，并根据情况实地指导⽹络安全⼯作，有利于⽹络运营者提升⽹络安全⻛险的应对能⼒，保障单位的声誉，减少经济损失。

11.等级保护⼯作就是做个测评吗？

等级保护⼯作包括定级、备案、测评、建设整改、监督审查，测评只是其中⼀项。测评不是等保⼯作的结束，重要的是通过测评查漏补缺，不断改进提升安全防护能⼒，降低安全⻛险。

12.等级保护测评做⼀次要多少钱？

等级保护⼯作属于属地化管理，测评收费⾮全国统⼀价，测评费⽤每个省都有⼀个参考报价标准。因业务系统规模⼤⼩及是否涉及扩展功能测试不同总体测评费⽤也有所差异。如某省的参考报价为：⼆级系统测评费5万，三级系统测评费9万。

13.等保测评后就要花很多钱做整改吗？

不⼀定。整改⼯作可根据⽹络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗⻛险的需求按需开展。整改内容也有很多不同⽅向，除安全设备或服务外，安全管理制度、安全策略调整的整改成本并不高，同样也能快速提升安全保障能⼒。

14.过等保要花多少钱？能包过吗？

等级保护采⽤备案与测评机制⽽⾮认证机制，不存在包过的说法，盲⽬采纳服务商包过的产品与服务套餐往往不是最⾼性价⽐的⽅案。⽹络运营者可结合⾃身实际安全需求与等保测评预期得分，咨询专业的第三⽅安全咨询服务机构来开展等建设⼯作。

15.做了等级测评之后，是否会给发合格证书？

测评后⽆合格证书。等级保护采⽤备案与测评机制⽽⾮认证机制，在属地⽹安备案后可获得《信息系统安全等级保护备案证明》，测评⼯作完成后会收到具有法律效率的“测评报告（⾄少要加盖测评机构公章和测评专⽤章，新增防伪码要求）”。

16：如何快速理解等保2.0测评结果？

等级保护2.0测评结果包括得分与结论评价；得分为百分制，及格线为70分；结论评价分为优、良、中、差四个等级。

17.不同公司的业务系统整合后是否可以算⼀个系统？

不同公司作为两个独⽴承担法律的主体单位，必须明确唯⼀的备案主体，不能算⼀个系统。同⼀单位的业务系统，如确实经过改造，入口、后台、业务关联性、重要程度等符合《GB/T22240-2020信息系统安全网络安全等级保护定级指南》要求可以算作⼀个系统。

18.如何判定属于移动安全扩展要求？

当业务系统要满⾜具有专用APP、通过特定⽹络连接、具备专用移动终端时参照移动互联扩展要求。

19.业务系统在云上，安全是云平台负责的吧？

根据《信息安全技术⽹络安全等级保护基本要求》（GB/T22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担⽹络安全保护责任。

20.做完等级保护测评后整改周期是多久？

虽无明确规定。但测评报告⼀般是整改达标后才出具，除非可以接受结论为“差”的报告或不在乎分数。另外，等保⼯作本身就是为了提升网络安全防护水平，尤其是测评中发现的高风险建议立刻克服困难，抓紧整改。不少单位就是因为“高风险”问题没及时整改而中招，导致单位承受了巨⼤的经济和声誉损失。

22.业务系统在内/专网，还需要做等保吗？

需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的⽤户比较明确或可控，但内网不代表安全。

23.等级保护测评结论不符合是不是等级保护⼯作就白做了？

不是。等级保护测评结论为“差”，表示⽬前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护⼯作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护⼯作已经开展过了，只是⽬前的问题较多，没达到相应的标准，需要抓紧整改。

24.拿什么证明开展过等级保护⼯作？

⼀般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专⽤章。

25.系统在云上，还要做等保吗？

要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采⽤IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发⽣了变化，但⽹络运营者的安全责任不会转移。根据“谁运营谁负责、谁使⽤谁负责、谁主管谁负责”的原则，应承担⽹络安全责任进⾏等级保护⼯作。

26.购买了符合等保要求的安全设备就能有效抵御⽹络⻛险？

设备只是⼯具，是否能抵御⻛险，还有看怎么⽤！不少单位花钱买了安全设备，但缺乏技术⼈员⽀持，或者安全意识淡薄，安全产品不仅起不到安全作⽤，反⽽会影响业务连续性。

27.做完等级测评就没有安全问题了？

很多⼈认为，完成等保测评就万事⼤吉了。其实，不然。等保测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避⼤部分的安全⻛险。但是，安全是⼀个动态⽽⾮静⽌的过程，不是通过⼀次测评，就可以⼀劳永逸的。企业通过落实等保安全要求，并严格执⾏各项安全管理的规章制度，基本能做到系统的安全稳定运⾏。但依然不能百分百保证系统的安全性。因此，要通过等级保护测评⼯作开展，以“⼀个中⼼、三重防护”好“三化六防”等为指导，不断提升⽹络攻防能⼒。

28.哪些⾏业需要做等保？（各⾏各业都需要）

政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等。
金融行业：金融监管机构、各⼤银行、证券、保险公司等。
医疗行业：医院、疫病控制中心、计划⽣育机构、医疗卫⽣研究机构等。
教育行业：高校、职校、普教等。
电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。
能源行业：电力公司、石油公司等。
企业单位：大中型企业、央企、上市公司等。
其他单位：有信息系统定级需求的⾏业与单位。