等保20常見的40個問題

Q1：什么是等級保護？

答：等級保護制度是我國網絡安全的基本制度。等級保護

是指對國家重要信息、法人和其他組織及公民的專有信息以及

公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行

安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理,

對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

Q2：什么是等級保護2.0?

答：“等級保護2.0”或“等保2.0”是一個約定俗成的說

法，指按新的等級保護標準規(guī)范開展工作的統(tǒng)稱。通常認為是

《中華人民共和國網絡安全法》頒布實行后提出，以2019年12

月1日，《GB/T22239-2019信息安全技術網絡安全等級保護

基本要求》正式實施為象征性標志。

Q3：“等?！迸c“分?！庇惺裁磪^(qū)別？

答：指等級保護與分級保護，主要不同在監(jiān)管部門、適用

對象、分類等級等方面。

監(jiān)管部門不一樣，等級保護由公安部門監(jiān)管，分級保護由

國家保密局監(jiān)管。

適用對象不一樣，等級保護適用非涉密系統(tǒng)，分級保護適

用于涉及國家密秘系統(tǒng)。

等級分類不同，等級保護分5個級別：一級（自主保護）、

二級（指導保護）、三級（監(jiān)督保護）、四級（強制保護）、五級（專

控保護）；分級保護分3個級別：秘密級、機密級、絕密級。

Q4：“等?！迸c“關保”有什么區(qū)別？

答：指等級保護與關鍵信息基礎設施保護，，，關保，，是在

網絡安全等級保護制度的基礎上，實行重點保護。《中華人民

共和國網絡安全法》第三章第二節(jié)規(guī)定了關鍵信息基礎設施的

運行安全，包括關鍵信息基礎設施的范圍、保護的主要內容等C

目前“關?！钡幕疽蟆y評指南、高風險判例等均已

基本完成，相關試點工作已啟動。

Q5：什么是等級保護測評？

答：指經認定的專業(yè)第三方測評機構依據國家信息安全等

級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國

家秘密網絡安全等級保護狀況進行檢測評估的活動。

Q6：等級保護是否是強制性的，可以不做嗎？

答：《中華人民共和國網絡安全法》第二十一條規(guī)定網絡

運營者應當按照網絡安全等級保護制度的要求，履行相關的安

全保護義務。同時第七十六條定義了網絡運營者是指網絡的所

有者、管理者和網絡服務提供者。

等級保護工作是保障我國網絡安全的基本動作，目前各單

位需按照所在行業(yè)及保護對象重要程度，依據網絡安全法及相

關部門要求，按照“同步規(guī)劃、同步建設、同步使用”的原則，

開展等級保護工作。

Q7：做等級保護要多少錢？

答：開展等級保護工作主要包含：規(guī)劃費用、建設或整改

費用、運維費用、測評費用等，具體費用因各單位現狀、保護

對象承載業(yè)務功能、重要程度、所在地區(qū)等差異較大C

為避免過度保護或疏于防范的情況，減少資源浪費等，建

議聘請或咨詢專業(yè)的等級保護服務機構，制定科學合理的方案。

Q8：等級保護測評一般多長時間能測完？

答：一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月。

現場測評周期一般1周左右，具體時間還要根據信息系統(tǒng)

數量及信息系統(tǒng)的規(guī)模，以及測評方與被測評方的配合情況等

有所增減。

小規(guī)模安全整改（管理制度、策略配置技術整改）2-3周,

出具報告時間1-2周。

目前各地根據各自省份或城市的情況，還存在單獨規(guī)定測

評實施周期的情況，一般是簽訂測評合同之日起3-6個月必須

出具測評報告。

Q9：等級保護測評多久做一次?

答：根據《信息安全等級保護管理辦法》公通字200743號

十四條：第三級以上網絡的運營者應當每年開展一次網絡安全

等級測評。二級信息系統(tǒng)建議每兩年開展一次測評，部分行業(yè)

是明確要求每兩年開展一次測評。

Q10：是否系統(tǒng)定級越低越好？

答：不是。應根據實際業(yè)務系統(tǒng)的情況參照定級標準進行

定級，采用“定級過低不允許、定級過高不可取”的原則。當

出現網絡安全事件進行追責的時候，如因系統(tǒng)定級過低，需承

擔系統(tǒng)定級不合理、安全責任沒有履行到位的風險。

QU：定級備案了是否就被監(jiān)管了？

答：沒有定級備案并不代表不會被監(jiān)管。通過自評估達到

二級及以上的保護對象，均應盡快組織專家開展定級評審工作,

并到屬地網安進行備案。定級備案后監(jiān)管部門會及時發(fā)布針對

性的安全預警，并根據情況實地指導網絡安全工作，有利于網

絡運營者提升網絡安全風險的應對能力，保障單位的聲譽，減

少經濟損失。

Q12：等級保護工作就是做個測評嗎？

答：等級保護工作包括定級、備案、測評、建設整改、監(jiān)

督審查，測評只是其中一項。測評不是等保工作的結束，重要

的是通過測評查漏補缺，不斷改進提升安全防護能力，降低安

全風險。

Q13：等級保護測評做一次要多少錢？

答：等級保護工作屬于屬地化管理，測評收費非全國統(tǒng)一

價，測評費用每個省都有一個參考報價標準。因業(yè)務系統(tǒng)規(guī)模

大小及是否涉及擴展功能測試不同總體測評費用也有所差異。

如某省的參考報價為：二級系統(tǒng)測評費5萬，三級系統(tǒng)測

評費9萬。

Q14：等保測評后就要花很多錢做整改嗎？

答：不一定。整改工作可根據網絡運營者市測評結果分數

的期望和現有安全防護措施的實際效果是否能保障業(yè)務抵抗風

險的需求按需開展。整改內容也有很多不同方向，除安全設備

或服務外，安全管理制度、安全策略調整的整改成本并不高，

同樣也能快速提升安全保障能力。

Q15：過等保要花多少錢？能包過嗎？

答：等級保護采用備案與測評機制而非認證機制，不存在

包過的說法，盲目采納服務商包過的產品與服務套餐往往不是

最高性價比的方案。網絡運營者可結合自身實際安全需求與等

保測評預期得分，咨詢專業(yè)的第三方安全咨詢服務機構來開展

等建設工作。

Q16：做了等級測評之后，是否會給發(fā)合格證書？

答：測評后無合格證書。等級保護采用備案與測評機制而

非認證機制，在屬地網安備案后可獲得《信息系統(tǒng)安全等級保

護備案證明》，測評工作完成后會收到具有法律效率的“測評

報告（至少要加蓋測評機構公章和測評專用章）”。

Q17：如何快速理解等保2.0測評結果？

答：等級保護2.0測評結果包括得分與結論評價；得分為

百分制，及格線為70分；結論評價分為優(yōu)、良、中、差四個等

級。

綜臺得分風險級別結論評價

[90,100]無風險或存在低危風險優(yōu)

180,1OOJ存在中危岡險良

[80,90]存在低危岡險良

[70,80]無高危風隨中

10,70]無高危風險差

[0,100]有高危岡隨差

Q18：多長時間能拿到備案證明？

答：全國各省網警管理有所差異，一般提交備案流程后，

如資料完備，順利通過審核后15個工作日即可拿到備案證明。

Q19：不同公司的業(yè)務系統(tǒng)整合后是否可以算一個系統(tǒng)?

答：不同公司作為兩個獨立承擔法律的主體單位，必須明

確唯一的備案主體，不能算一個系統(tǒng)。同一單位的業(yè)務系統(tǒng)，

如確實經過改造，入口、后臺、業(yè)務關聯性、重要程度等符合

《GB/T22240-2020信息系統(tǒng)安全網絡安全等級保護定級指南》

要求可以算作一個系統(tǒng)。

Q20：如何判定屬于移動安全擴展要求？

答：當業(yè)務系統(tǒng)要滿足具有專用APP、通過特定網絡連接、

具備專用移動終端時參照移動互聯擴展要求c

Q21：如何選擇等級保護備案所在地？

答：《信息安全等級保護管理辦法》規(guī)定，等級保護的主

體單位為信息系統(tǒng)的運營、使用單位。備案主體一般可以理解

為，出現網絡安全事件后，第一責任單位是誰，誰就是備案主

體。要注意讓承建單位或運維單位成為備案主體的錯誤方式。

大部分情況下，在單位所在地屬地（縣級及以上）網安進行定

級備案。如運維所在地和注冊地不一致，一般以運維所在地備

案。當然也有一些特殊行業(yè)的要求，比如一些涉及到金融安全

的行業(yè)，比如互聯網金融系統(tǒng)、支付系統(tǒng)需要屬地化管理，這

些系統(tǒng)需要在注冊地辦理定級備案手續(xù)，以滿足本地的監(jiān)管要

求。

Q22：如何選擇測評機構開展測評?

答：選擇有測評資質的測評公司，優(yōu)先考慮本地測評公司。

可參照中國網絡安全等級保護網(http:〃)的《全國

網絡安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,

同時關注該網站公布的國家網絡安全等級保護工作協調小組辦

公室的不定期整改公告中是否涉及相關測評公司。

Q23：如何確定業(yè)務系統(tǒng)屬于等保幾級？

答：可參照等級保護定級指南，從業(yè)務系統(tǒng)安全和系統(tǒng)服

務安全兩個方面評價當業(yè)務系統(tǒng)被破壞時對客體的影響程度，

取兩個方面較高的等級。

對客體的侵害程叟

受侵害的客體產M換害樗別嚴重投者

公艮、法人加其他組稅的合法權益算一級第二經第二或

社會鐵字、公共利益籌二級第三級第四級

國家安全第三級第四級第五級

當確定系統(tǒng)級別后，應開展專家評審對系統(tǒng)定級合理性進

行審核。如有行業(yè)主管部門制訂的定級依據，可直接參照采納

行業(yè)定級標準定級。

Q24：買/用哪些安全產品能過等保？

答：可根據實際情況，如考慮等保測評結果分數與等級、

業(yè)務系統(tǒng)風險與防護要求等綜合考慮安全通信網絡防護、安全

區(qū)域邊界防護、安全計算環(huán)境防護、安全管理中心、安全建設

與運維等投入。建議咨詢專業(yè)的安全咨詢服務機構定制解決方

案。

Q25：現在還沒做等保還來得及嗎？有什么影響？

答：來得及。種一棵樹，最好的時間是十年前，其次是現

在?？上雀鶕墏浒敢蠛土鞒蹋认蚬策f交定級備案文

件，測評與整改預算提上日程，在經費未落實前，可以先進行

系統(tǒng)定級、差距分析、整改計劃制訂等工作。

Q26：業(yè)務系統(tǒng)在云上，安全是云平臺負責的吧？

答：根據《信息安全技術網絡安全等級保護基本要求》

(GB/T22239-2019)附錄D,云服務商根據提供的laaS、PaaS>

SaaS模式承擔不同的平臺安全責任。業(yè)務系統(tǒng)上云后，云租戶

與云平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全

責任。

也就是說云平臺承擔的是云平臺的安全責任，部署在云平

臺上的系統(tǒng)或數據所有者，應對該系統(tǒng)或數據承擔網絡安全保

護責任。

Q27：做完等級保護測評后整改周期是多久？

答：雖無明確規(guī)定，但測評報告一般是整改達標后才出具，

除非可以接受結論為“差”的報告或不在乎分數。另外，等保

工作本身就是為了提升網絡安全防護水平，尤其是測評中發(fā)現

的高風險建議立刻克服困難，抓緊整改。不少單位就是因為“高

風險”問題沒及時整改而中招，導致單位承受了巨大的經濟和

聲譽損失。

Q28：等級保護有哪些規(guī)范標準？

答：等級保護涉及面廣，相關的安全標準、規(guī)范、指南還有很多

正在編制或修訂中。常用的規(guī)范標準包括但不限于如下幾個：

GB17859-1999計算機信息系統(tǒng)安全保護劃分準則

GB/T31167-2014信息安全技術云計算服務安全指南

GB/T31168-2014信息安全技術云計算服務安全能力要

求

GB/T36326-2018信息技術云計算云服務運營通用要求

GB/T25058-2019信息安全技術網絡安全等級保護實施

指南

GB/T25070-2019信息安全技術網絡安全等級保護安全

設計技術要求

GB/T28448-2019信息安全技術網絡安全等級保護測評

要求

GB/T28449-2018信息安全技術網絡安全等級保護測評

過程指

GB/T22239-2019信息安全技術網絡安全等級保護基本

要求

GB/T22240-2020信息安全技術網絡安全安全等級保護定

級指南

GB/T36958-2018信息安全技術網絡安全等級保護安全

管理中心技術要求

GM/T0054-2018信息系統(tǒng)密碼應用基本要求

GB/T35273-2020信息安全技術個人信息安全規(guī)范

?

Q29：等級保護步驟或流程是什么樣的？

答：根據信息系統(tǒng)等級保護相關標準，等級保護工作總共

分五個階段，分別為：系統(tǒng)定級、系統(tǒng)備案、安全建設/整改、

等級測評、主管/監(jiān)管單位定期開展監(jiān)督檢查。

Q30：有哪些情況系統(tǒng)定級無需專家評審？

答：信息系統(tǒng)運營使用單位有上級主管部門，且對信息系

統(tǒng)的安全保護等級有定級指導意見或審核批準的，可無需在進

行等級專家評審。

主管部門一般指行業(yè)的上級主管部門或監(jiān)管部門。如果是

跨地域聯網運營使用的信息系統(tǒng)，則必須由上級主管部門審批,

確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。

具體要求建議咨詢屬地網安

Q31：業(yè)務系統(tǒng)在內/專網，還需要做等保嗎？

答：需要。內網與專網的非涉密系統(tǒng)都屬于等級保護范疇，

雖然內/專網相對于互聯網，業(yè)務系統(tǒng)的用戶比較明確或可控，

但內網不代表安全。

Q32：等級保護測評結論不符合是不是等級保護工作就白做

了？

答：不是。等級保護測評結論為“差”，表示目前該信息

系統(tǒng)存在高危風險或整體安全性較差，沒有達到相應標準要求。

但是這并不代表等級保護工作白做了，即使你拿著不符合的測

評報告，主管單位也是承認你們單位今年的等級保護工作已經

開展過了，只是目前的問題較多，沒達到相應的標準，需要抓

緊整改。

Q33：拿什么證明開展過等級保護工作？

答：一般情況是備案證明和測評報告，測評報告應加蓋測

評機構公章和測評專用章。

Q34：系統(tǒng)在云上，還要做等保嗎？

答：要做。業(yè)務上云有多種情況，如在公有云、私有云、

專有云等不同屬性的云上，并采用laaS.PaaS、SaaS、IDC托

管等不同服務，雖然安全責任邊界發(fā)生了變化，但網絡運營者

的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、

誰主管誰負責”的原則，應承擔網絡安全責任進行等級保護工

作。

是否要通過測評這個需根據系統(tǒng)的重要程度，依據國家標

準和相關部門要求來確定。

Q35.等保的測評內容有哪些？

答：通用要求包含：技術要求（安全物理環(huán)境、安全通信

網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心）；管理

要求（安全管理制度、安全管理機構、安全人員管理、安全建

設管理、安全運維管理）；云計算、物聯網、移動互聯、工控、

大數據擴展標準以及行業(yè)標準。

Q36.《等?！泛汀毒W絡安全法》什么關系？

答：等級保護工作是國家網絡安全的基礎性工作，是《網

絡安全法》要求我們履行的一項安全責任。《網絡安全法》是

網絡安全領域的基本法，從國家層面對等級保護工作的法律認

可，網絡安全法中明確的提到信息安全的建設要遵照等級保護

標準來建設。

Q37.哪些企業(yè)和單位應該開展等保工作？

答：根據GB/T22239-2019的相關規(guī)定:

5.1等級保護對象

等級保護時彖是指網絡安全等級保護I：作中的時彖，通常是指由計算機或者其他信息終網及相關設

■綃龍的揚照?東的周則用即并行WCL、"信、化殆、號換、處理的條紂.1T1：包才他制;信息|

1絡:云計算平?臺;系盛焉據應了平臺/嬴、贏網、工業(yè)控制系”和贏移動互聯與術3系統(tǒng):

等。等級保護對象根據其在國家安全、經濟建設、社會生”中的苑要程度,「遭到破壞后對國家還用

會秩序、公共利益以及公民、法人和其他組織的合法權益M危害程度等,由低到島被劃分為五個安全保

護等級。

劃重點：

（1）中國境內運營的

（2）政府、事業(yè)