等保行业知识问题

一．等保行业知识1.什么是信息安全等级保护？答：根据《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。2.信息安全等级保护的实施原则是什么？根据《信息系统安全等级保护实施指南》精神，山东省软件测评中心信息系统安全等级保护实施过程中，在工作手册上明确了以下基本原则：○1自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。○2重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。○3同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。○4动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。3.信息安全等级保护的技术要求是什么？等级保护检查项分两大类，共10项技术要求：1.物理安全2.网络安全3.主机安全4.应用安全管理要求：1.安全管理制度2.安全管理机构3.人员安全管理4.系统建设管理5.系统运维管理4.信息安全测评是什么？信息安全等级保护测评工作是等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动.等级测评体系建设主要内容包括测评机构的建设和规范管理，测评人员和测评活动的规范管理等。信息安全等级保护测评工作是信息安全等级保护工作的重要环节，是专门机构针对信息系统开展的一种专业性、服务性的检测活动。等级测评工作涉及的信息系统范围广、敏感性强，参与的测评机构及测评人员复杂，如果缺乏对测评机构和测评人员的管理，则难以保证等级测评的客观、公正和安全，甚至会给重要信息系统安全造成新的风险和隐患，危害国家安全和社会稳定。为加强对测评机构及测评人员管理，稳步推进等级测评机构建设，规范等级测评活动，提高测评机构、人员的技术能力和水平，在国家信息安全等级保护协调小组的领导下，全国组织开展信息安全等级保护等级测评体系建设工作，以保障等级保护工作的顺利开展。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，山东省软件评测中心作为公安部授权的第三方测评机构，为企事业单位提供免费专业的信息安全等级测评咨询服务。5．信息安全等级保护测评机构是做什么的？信息安全等级保护测评机构（简称“等保测评机构”）依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。工作要求：从事等级测评工作的机构及其人员应当遵守国家有关法律法规，依据国家有关技术标准和本规范的相关规定，开展客观、公正、安全的测评服务，不得从事危害国家安全、社会秩序、公共利益以及被测单位利益的活动。6.信息系统安全等级保护测评流程是什么？信息系统安全等级保护测评准备活动的工作流程：信息系统安全等级保护测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见下图：7.等级保护和分级保护有什么区别？涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。分保是针对涉密网来说，等保是针对非涉密网来说。并且分保是由国家保密局发起的，推广带有强制性的。等保是公安部门发起的，执行力相对分保要弱一点。8.信息安全等级保护的政策标准依据？中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）（“第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”）计算机信息系统安全保护等级划分准则（GB17859-1999）（“第一级：用户自主保护级；第二级：系统审计保护级；第四级：结构化保护级；第五级：访问验证保护级”）国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）关于信息安全等级保护工作的实施意见（公通字[2004]66号）信息安全等级保护管理办法（公通字[2007]43号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技[2008]2071号）关于进一步推进中央企业信息安全等级保护工作的通知水利网络与信息安全体系建设基本技术要求（2010年3月）证券期货业信息系统安全等级保护基本要求(试行)（JR/T0060-2010）山西省计算机信息系统安全保护条例（2009年1月）广东省计算机信息系统安全保护条例（2008年4月）宁夏回族自治区计算机信息系统安全保护条例（2009年10月）徐州市计算机信息系统安全保护条例（2009年1月）9.中国信息保护等级保护能力是什么？保护的对象是那些？能力就是保护信息系统达到相应等级的安全，是依照《信息安全等级保护基本要求》这个标准，按照相应等级需要达到的安全要求进行保护，保护对象就是信息系统。10.信息安全等级保护各级别的区别？等级保护共分为五级，1级防护水平最低，5级最高。一般企业多定一级和二级居多（二级自测评，备案即可），核心系统三级（三级由外部测评机构每年测评并备案）。国企和大型企业的重要系统才会定级为四级（如铁路局售票系统），但是很少。安全级别越来越高是肯定的。但是不管是几级的系统，它所要求防护的5大方面都是一样的，只是这5大方面的要求细节，会按照安全级别的不同，具体要求不同，级别越高，防护措施要求越严格。11.等级保护测评如何打分？分为单项测评结果、单元测评结果和整体测评结果三部分，最终的结果是整体测评结果不存在打分，是符合情况判断，只有符合、部分符合和不符合三种情况，这三种情况出现在单项测评和单元测评结果中，最终的测评结果只有符合、基本符合和不符合三种情况。最终测评结果的来源是单项测评和单元测评结果中不符合项在进行整体分析后，如果存在可能导致高风险的不符合项，则最终测评结果为不符合，如果没有高风险不符合项则为基本符合，如果没有任何不符合项最终测评结果则为符合！12.等级保护工作开展的基本流程是什么?先要协助企业进行信息系统定级，写完定级报告和备案表以后送市网监去备案，备案完以后才能正式开展工作。商谈日程签保密协议，接下来根据系统级别编写测评指导书准备器材安排工作，准备好以后就根据测评指导书去现场进行测评，测评完成后根据结果编写成测评报告。部分企业会要求协助整改，根据实际情况。产品知识。13.等级保护明确重点，突出重点，保护重点如何解释？1、明确国家或各领域重要信息系统，即第三级及以上信息系统；2、突出第三级及以上信息系统重要安全风险，进行重点整改防护及监管；3、保护重点就是重点针对第三级及以上系统进行重点防护及资金等更方面支撑；4、这三句话重点想表明及实现国家对信息安全防护应有相应的侧重点，重点防护涉及到国家安全及社会民生稳定的重要信息系统，做到重点投入，避免重复建设及无限投入的情况发生，这也是国家实施等级保护的重要目的！14.信息安全等级保护二级的认证（等保二级）的流程？有五个步骤，定级、备案、整改、测评、检查针对要测评的系统，到网安要定级报告模板和备案表，编制定级报告，填写备案表，然后交网安部门，这就是定级备案两个动作。根据等级保护基本要求的2级要求项，对系统进行整改，让系统能符合这些要求。这是整改。委托公安部认可的等级保护测评机构进行测评，出具测评报告，交网安。15.信息安全等级保护测评工具？等保这个和风险评估类似，都是搞人工测评，访谈、渗透、测试为主，工具类只能做为一个周期性的，日常运维使用。完整的等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。16.公安部信息安全等级保护评估中心是干什么的？公安部信息安全等级保护评估中心(以下简称为评估中心)成立于2003年7月28日，是依托公安部第三研究所，由国家信息安全主管部门为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构。评估中心的主要任务：一是按照国家信息安全等级保护的要求，依据信息安全等级保护的相关标准和规范，为国家管理部门在推进信息安全等级保护工作过程中的监督、检查、指导等行政执法工作提供专业技术支持；二是对国家基础网络和重点信息系统的安全保护状况进行权威测评并提出改进建议；三是作为国家实行信息安全等级保护制度的骨干技术支撑单位，负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。评估中心作为依照国家标准（CNAL/AC01:2005）和国家信息安全主管部门授权建立的专业技术机构，相继获得了中国实验室国家认可委员会（CNAL）的实验室认可证书（L0653）及中国国家认证认可监督管理委员会颁发的计量认证合格证书（L2407）。17.信息系统安全等级保护定级工作是一项什么样的工作？需要做哪些工作？等级保护中要求各单位首先要对自己的信息安全级别进行定级。分为5种级别，自己单位是什么级别，要根据自己单位的情况、同行业其他公司的情况、上级主管部门的意见。需要做的工作是去公安部门备案，领取备案表，表上有具体要求，介绍自己单位信息安全的情况等等。填完之后交给公安部门报备即可。未来会按照你定级的标准，国家会强制性要求你对信息安全的建设。所以定级尽量往低了定，实际上主管部门都会给出要求的。18.信息系统的信息安全等级保护的测评是必须的吗？有没有专门的出台了法律法规监管细则规范了这件事？根据《信息安全等级保护管理办法》：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并对秘密级、机密级信息系统