等级保护百问百答一之等级测评篇02

11.如何快速理解等级保护2.0测评结果？
等级保护2.0测评结果包括得分与结论评价；得分为百分制，及格线为70分；结论评价分为优、良、中、差四个等级。

12.现在还没做等级保护还来得及吗？有什么影响？
来得及。种一棵树，最好的时间是十年前，其次是现在。可先根据定级备案要求和流程，先向公安递交定级备案文件，测评与整改预算提上日程，在经费未落实前，可以先进行系统定级、差距分析、整改计划制订等工作。

13.业务系统在云上，安全是云平台负责的吧？
根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担网络安全保护责任。

14.做完等级保护测评后整改周期是多久？
虽无明确规定，但测评报告一般是整改达标后才出具，除非可以接受结论为“差”的报告或不在乎分数。另外，等级保护工作本身就是为了提升网络安全防护水平，尤其是测评中发现的高风险建议立刻克服困难，抓紧整改。不少单位就是因为“高风险”问题没及时整改而中招，导致单位承受了巨大的经济和声誉损失。

15.业务系统在内/专网，还需要做等级保护吗？
需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全，而且现在纯粹的物理内网很少了，大部分或多或少都与互联网有些连接。内网一旦中毒，扩散很快，而且很难清除，因为很多技术措施都没有，几乎在裸奔状态，一旦中毒很容易就跨了。

16.等级保护测评结论不符合是不是等级保护工作就白做了？
不是。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。

17.拿什么证明开展过等级保护工作？
一般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专用章。

18.等级保护的测评内容有哪些？
通用要求包含：技术要求（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心）；管理要求（安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理）；云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。

19.等级保护和《网络安全法》什么关系？
等级保护工作是国家网络安全的基础性工作，是《网络安全法》要求我们履行的一项安全责任。《网络安全法》是网络安全领域的基本法，从国家层面对等级保护工作的法律认可，网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。

20.购买了符合等级保护要求的安全设备就能有效抵御网络风险？
设备只是工具，是否能抵御风险，还有看怎么用！不少单位花钱买了安全设备，但缺乏技术人员支持，或者安全意识淡薄，安全产品不仅起不到安全作用，反而会影响业务连续性。

21.做完等级测评就没有安全问题了？
很多人认为，完成等级保护测评就万事大吉了。其实，不然。等级保护测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但是，安全是一个动态而非静止的过程，不是通过一次测评，就可以一劳永逸的。
企业通过落实等级保护安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此，要通过等级保护测评工作开展，以“一个中心、三重防护”好“三化六防”等为指导，不断提升网络攻防能力。

22.业务系统在云上，安全是云平台负责的吧？
根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。
也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担网络安全保护责任。

23.不做等级保护没关系，只要不出事就行？
一些用户以为做不做等级保护不要紧，关揵的是不要出网络安全事件，只要不出事都没问题。《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（五）法律、行政法规规定的其他义务。不做等级保护就属于第五个行为，国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等级保护及时去做，不要等。

24.给我们单位整体做一个等级保护测评？
背景：一些用户或者同行搞不清等级保护到底是个什么情况，以为是按照整个单位去做，天真地认为一个单位做一个等级保护测评就可以。
等级保护测评是按照信息系统来的，以一个信息系统为测评整体，并不是按照一个单位去做的。