等级保护2.0系列问答(二)
发布时间 2019-05-15第6问:网络安全等级保护工作流程?
等保2.0时代,落实等级保护制度的五个规定基本动作:定级、备案、建设整改、等级测评、监督检查。
第7问:网络安全等级保护规定动作是否一定按顺序执行?
通常情况下,落实等级保护工作要按照系统定级、系统备案、建设整改、系统测评、监督检查的顺利执行。但是,如果网络安全等级保护相关的经费没有落实到位的情况下,可以先进行系统定级、系统备案,先做差距分析,形成建设整改方案和计划,待经费到位之后再进行安全建设的集成实施、等级测评等工作。
在特殊情况下,有些单位先进行了网络安全等级保护建设(差距分析、整改方案设计)等工作,而未进行定级、备案工作。此时,网络运营者在等级测评工作开展之前,应完成定级备案工作,形成定级报告、获得备案证明等工作。
第8问:网络安全等级保护通用要求与扩展要求之间的关系?
网络安全等级保护基本要求分为安全通用要求和安全扩展要求,其中安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。
安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或者特定的应用场景实现安全扩展要求。
第9问:网络安全等级保护与网络安全法的关系?
《网络安全法》是推进网络安全等级保护工作开展的法律依据,《网络安全法》第二十一条规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求履行相关安全保护义务;第五十九条规定不履行第二十一条规定的网络安全保护义务,相关单位及主要负责人员将受到处罚。
网络安全等级保护制度是《网络安全法》的有效抓手,网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。等保2.0系列标准的制定、完善落地对于保障和促进国家信息化发展、提升国家网络安全保护能力、维护国家网络空间安全具有重要意义。
第10问:等级保护与分级保护的区别?
等级保护与分级保护不同之处主要体现在以下几点:
1) 牵头部门不同
等级保护主要由公安部门牵头,分级保护主要由保密工作管理部门牵头。
2) 适用对象不同
等级保护适用非涉密信息系统,分级保护适用于涉及国家秘密系统。
3) 等级分类不同
等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
4) 依据标准不同
等级保护主要依据GB/T 22239、GB/T22240、GB/T 25070、GB/T 28448等核心标准为依据,分级保护主要依据BMB17、BMB20、BMB22、BMB23等核心标准为依据。
相关链接:
京公网安备11010802024551号