等保测评常见问题

在做咨询的过程中，经常遇到客户问的问题，在这里整理一下（后期继续补充）：

1、等保3.0？

答：等级保护只有等保1.0和等保2.0，且等保1.0已经成为历史，自2019年12月1日起正式施行等保2.0。一般默认即等保2.0。

　　等保2.0中，信息系统等级分5个级别，第一级、第二级、第三级、第四级、第五级

2、我们公司能不能所有系统为一个整体，来做等保？

答：等级保护是以信息系统为整体，而不是以公司或部门。

　　比如有一个公司有10个信息系统，那么除去不重要的，还有5个。

　　a、有两个信息系统之间存在较多的数据之间的交互，则可以以一个整体做等保；

　　b、如有较少的数据交互或不存在交互，则建议单独定级。

3、系统在我们公司内网，要不要做等保？

答：等级保护的范围是全国所有非涉密系统，无论系统在内网还是互联网，都需要做等保。

4、有没有标准上面说明等保二级是二年一次，等保三级是一年一次？

答：等保二级每两年一次，没有明确的标准说明，一般都是建议每两年做一次

　　等保三级每年都需做一次，参考见《信息安全等级保护管理办法》(公通字[2007]43号)，又称43号文

　　http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm

　　第十四条明确规定。

5、公司准备上市，有没有法律政策等要去系统做等保？

答：等保的范围是全国所有非涉密系统，法律是不会要求你是上市公司或者其他什么的，只要你的系统在中国运行，不管你在内网外网，那么都接受监督。

6、如果黑客攻击我们的网络，那是贼偷了我，我也是受害者，为什么还要受处罚呢？

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

如果你的信息系统没做等保，那被攻击了，造成一定影响了，首先是你没履行网络安全义务，其次是黑客犯法，两者都将收到严惩。

7、有些客户说，我去年测评分数都是80多，今年怎么才70多呀？

（1）、计算方式2021年改版了，以前是先给你0分，慢慢加上去，现在是先给你100分，慢慢往下扣分

（2）、按照权重大小扣分，权重大的，不满足就是3倍扣，部分符合是1.5倍扣还是2倍扣了

（3）、数据单独拉出来作为测评项，像数据存储加密，有几个客户做到了呢。。这都是高权重

8、不同地区，对测评项中不同控制项，判断高中风险值不同。

如北京、深圳，数据存储加密、双因素就是高，其他地方就不是高（暂时没遇到，不代表仅北京、深圳），降低风险措施不算

9、云上系统做不做等保呢？

根据《信息安全技术 网络安全等级保护基本要求》，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。
也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担网络安全保护责任。

然后呢，要是数据丢失了，谁是被损害群体呢，肯定是使用的人，所以等保还是要做的，IAAS和PaaS好做，Saas也要做，在某些地区，需要拿到服务器root或者协调服务商来配合等保，部分地区是直接引用SaaS版测评报告即可

大家对等保有什么疑问，欢迎评论区提问。。。