等级保护常见问题及简答

　　等级保护目前有两套标准体系，分别是等保1.0和等保2.0，由于相关的标准在不断完善，因此下面的内容有一些内容也许需要补充和修改。因此，在进行等保测评时，需要按照当地最新的标准来开展。以下内容仅供参考，便于大家粗略了解等级保护。

　　问题1：什么是等级保护、有什么用?

　　【简答】

　　是我国实施信息安全管理的一项法定制度，1994年147号令、2003年27号文件、2004年66号文件都有明确规定，信息系统安全实施等级化保护和等级化管理。

　　等级化管理是一种普遍适用的管理方法，是适用于我国当前实际的一种有效的信息安全管理方法。

　　开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。

　　问题2：信息安全等级保护制度的意义与作用?

　　【简答】

　　实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平。实施信息安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调，为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本。

　　优化信息安全资源配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全。

　　明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理，推动信息安全产业的发展，逐步探索出一条适应我国社会主义市场经济发展的信息安全模式。

　　问题3：等级保护与分级保护各分为几个等级，对应关系是什么?

　　【简答】

　　等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。

　　分级保护分3个级别：秘密级、机密级(机密增强级)、绝密级。

　　分级保护与等级保护对应关系：秘密级对应三级、机密级对应四级、绝密级对应五级。

　　问题4：等级保护的重要信息系统(8+2)有哪些?

　　【简答】

　　电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

　　铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、×××、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

　　市(地)级以上党政机关的重要网站和办公信息系统。

　　涉及国家秘密的信息系统。

　　问题5：等级保护的主管部门是谁?

　　【简答】

　　公安机关是等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导，国家保密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、指导，国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调，涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责。

　　问题6：国家密码管理部门在等级保护/分级保护工作中的职责是什么?

　　【简答】

　　国家密码管理部门负责等级保护/分级保护工作中有关保密工作和密码工作的监督、检查、指导。

　　问题7：等级保护的政策依据是哪个文件?

　　【简答】

　　《×××计算机信息系统安全保护条例》(×××147号令，1994年);

　　《×××关于加强信息安全保障工作的意见》(中办发[2003]27号);

　　《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);

　　《信息安全等级保护管理办法》(公通字[2007]43号);

　　《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号);

　　《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)。

　　问题8：公安机关对等级保护的管理模式是什么，等级保护定级到哪里备案?

　　【简答】

　　公安机关负责受理备案并进行备案管理。信息系统备案后，公安机关对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的，通知备案单位予以纠正。发现定级不准的，通知运营使用单位或其主管部门重新审核确定。

　　已运营(运行)的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

　　新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

　　注：北京市各部委上报北京测评中心备案。

　　问题9：等级保护是否是强制性的，可以不做吗?

　　【简答】

　　国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

　　2级以上信息系统运营、使用单位依据《信息安全等级保护管理办法》和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

　　备案后3级系统每年进行一次监督检查，4级每半年进行一次监督检查。

　　问题10：等级保护的主要标准有哪些，是否已发布为正式的国家标准?

　　【简答】

　　《信息系统安全等级保护基本要求》(GB/T22239-2008);

　　《信息系统安全等级保护定级指南》(GB/T22240-2008);

　　《信息系统安全等级保护实施指南》(GB/T25058-2010 );

　　《信息系统安全等级保护测评要求》(GB/T28448-2012 );

　　《信息系统安全等级保护测评过程指南》(GB/T28449-2012 );

　　《信息安全等级保护实施指南》(GB/T25058-2010 );

　　《计算机信息系统安全保护等级划分准则》(GB 17859-1999)。

　　问题11：哪些单位可以做等级保护的测评?

　　【简答】

　　第三级以上信息系统等级保护测评机构应符合下列条件：

　　在×××境内注册成立(港澳台地区除外);

　　由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

　　从事相关检测评估工作两年以上，无违法记录;

　　工作人员仅限于中国公民;

　　法人及主要业务、技术人员无犯罪记录;

　　使用的技术装备、设施应当符合本办法对信息安全产品的要求;

　　具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

　　对国家安全、社会秩序、公共利益不构成威胁。

　　问题12：做了等级测评之后，是否会给发合格证书?

　　【简答】

　　目前，公安机关只对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全等级保护备案证明，发现不符合有关标准的，通知备案单位予以纠正，发现定级不准的，通知备案单位重新审核确定。没有发测评合格证书。

　　问题13：是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内?

　　【简答】

　　等级保护涉及所有行业，只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)。

　　问题14：等级保护检查的责任单位是谁?

　　【简答】

　　是公安机关，在检查中需要穿警服及佩带有效证件，协同技术支持单位到单位检查。同时鼓励各行业开展自查。

　　相关了解更多等保相关问题，可以在线咨询等保顾问哦，万方安全等级保护顾问将根据您的所在地区、测评对象、定级级别为您提供个性化的回答，为您解惑答疑。