信息安全等级保护备案应该怎么做？

　　1：如何选择测评机构开展测评？

　　答：选择有测评资质的测评公司，优先考虑本地测评公司。可参照中国网络安全等级保护网（http://djbh.net）的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标，关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。

　　2：如何确定业务系统属于等保几级？

　　答：可参照等级保护定级指南，从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度，取两个方面较高的等级。

　　当确定系统级别后，应开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据，可直接参照采纳行业定级标准定级。

　　3：买/用哪些安全产品能过等保？

　　答：可根据实际情况，如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。建议咨询的安全咨询服务机构定制解决方案。

　　4：现在还没做等保还来得及吗？有什么影响？

　　答：来得及。种一棵树，好的时间是十年前，是现在。可先根据定级备案要求和流程，先向公安递交定级备案文件，测评与整改预算提上日程，在经费未落实前，可以先进行系统定级、差距分析、整改计划制订等工作。

　　5：业务系统在云上，安全是云平台负责的吧？

　　答：根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。

　　也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担网络安全保护责任。

　　6：做完等级保护测评后整改周期是多久？

　　答：虽无明确规定，但测评报告一般是整改达标后才出具，除非可以接受结论为「差」的报告或不在乎分数。等保工作本身就是为了提升网络安全防护水平，尤其是测评中发现的高风险建议立刻克服困难，抓紧整改。不少单位就是因为「高风险」问题没及时整改而中招，导致单位承受了巨大的经济和声誉损失。

　　7：等级保护有哪些规范标准？

　　答：等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个：

　　GB17859-1999计算机信息系统安全保护划分准则

　　GB/T31167-2014信息安全技术云计算服务安全指南

　　GB/T31168-2014信息安全技术云计算服务安全能力要求

　　GB/T36326-2018信息技术云计算云服务运营通用要求

　　GB/T25058-2019信息安全技术网络安全等级保护实施指南

　　GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

　　GB/T28448-2019信息安全技术网络安全等级保护测评要求

　　GB/T28449-2018信息安全技术网络安全等级保护测评过程指

　　GB/T22239-2019信息安全技术网络安全等级保护基本要求

　　GB/T22240-2020信息安全技术网络安全安全等级保护定级指南

　　GB/T36958-2018信息安全技术网络安全等级保护安全管理中心技术要求

　　GM/T0054-2018信息系统密码应用基本要求

　　GB/T35273-2020信息安全技术个人信息安全规范

　　8：等级保护步骤或流程是什么样的？

　　答：根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：系统定级、系统备案、安全建设/整改、等级测评、主管/监管单位定期开展监督检查。

　　9：有哪些情况系统定级无需专家评审？

　　答：信息系统运营使用单位有上级主管部门，且对信息系统的安全保护等级有定级指导意见或审核批准的，可无需在进行等级专家评审。

　　主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。

　　具体要求建议咨询属地网安

　　10：业务系统在内/专网，还需要做等保吗？

　　答：需要。内网与专网的非涉密系统都属于等级保护范畴，内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全。

　　32：等级保护测评结论不符合是不是等级保护工作就白做了？

　　答：不是。等级保护测评结论为「差」，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。这并不代表等级保护工作白做了，你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。