等级保护百问百答一之等级测评篇01

1.什么是等级保护？

2.什么是等级保护2.0？

3.“等级保护”与“分级保护”有什么区别？
指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。
监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。
适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。
等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。

4.等级保护测评一般多长时间能测完？
如果双方配合度比较高的情况下，一个二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右，具体时间还要根据信息系统数量及信息系统的规模，以及测评方与被测评方的配合情况等有所增减。其中小规模安全整改（管理制度、策略配置技术整改）2-3周，出具报告时间1-2周。如果双方配合度，测评完成时长无法估算。

5.等级保护测评多久做一次？
根据《信息安全等级保护管理办法》公通字200743号十四条：第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统暂时未要求，建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

6.等级保护工作就是做个测评吗？
等级保护工作包括定级、备案、测评、建设整改、监督审查，测评只是其中一项。测评不是等级保护工作的结束，重要的是通过测评查漏补缺，不断改进提升安全防护能力，降低安全风险。

7.等级保护测评后就要花很多钱做整改吗？
不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向，除安全设备或服务外，安全管理制度、安全策略调整的整改成本并不高，同样也能快速提升安全保障能力。

8.测评机构限定购买、使用指定的网络安全产品吗？
不能。根据《网络安全等级保护测评机构管理办法》，测评机构严禁限定被测单位购买、使用指定网络安全产品。
 

9.过等级保护要花多少钱？能包过吗？
等级保护采用备案与测评机制而非认证机制，不存在包过的说法，盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等级保护测评预期得分，咨询专业的第三方安全咨询服务机构来开展等建设工作。
 

10.做了等级测评之后，是否会给发合格证书？
测评后无合格证书。等级保护采用备案与测评机制而非认证机制，在属地网安备案后可获得《信息系统安全等级保护备案证明》，测评工作完成后会收到具有法律效率的“测评报告（至少要加盖测评机构公章和测评专用章）