2025年常见等保问题问答
依据公安部公网安〔2025〕2391号、1846号等文件要求进行整理,内容仅供参考,请以最新相关要求为准。
1. 为什么做等保?
答:
- 降低信息安全风险,提高信息系统的安全防护能力;
- 满足《网络安全法》《数据安全法》等法律法规要求;
- 履行网络运营者的安全保护义务,避免因未落实等保要求被处罚;
- 通过整改重大风险隐患,提升系统抵御攻击的能力。
2. “等保”与“分保”有什么区别?
答:
维度 等级保护(等保) 分级保护(分保) 监管部门 公安部门 国家保密局 适用对象 非涉密系统(如公共服务、企业平台) 涉及国家秘密的系统 等级划分 一级至五级 秘密级、机密级、绝密级
3. 公安机关会检查等保落实情况吗?
答:
- 会。公安机关对第三级以上系统每年至少开展一次安全检查,重点督查高风险问题和重大风险隐患整改情况。
4. 等保测评几年做一次?
答:
- 三级系统:每年一次;
- 四级系统:每年一次;
- 二级系统:建议每两年一次(部分行业强制要求,如电力行业);
- 五级系统:每年一次(参考关保要求)。
5. 如何确定系统安全防护等级?
答:
根据《GB/T 22240-2020 定级指南》:
- 从业务信息安全和系统服务安全两个维度评估;
- 按受侵害的客体(国家安全/社会秩序/公共利益/公民权益)及危害程度定级;
- 需组织专家评审并报主管部门审核。
6. 系统在内网还需要做等保吗?
答:
- 需要。所有非涉密系统(无论内网或外网)均属等保范畴。内网系统同样面临安全风险(如勒索病毒、内部威胁),必须落实等级保护要求。
7. 系统在云上,安全责任如何划分?
答:
- 云平台:负责基础设施安全(如物理环境、虚拟化隔离);
- 租户:负责业务系统及数据安全(如访问控制、数据加密);
- 特别要求:云数据出境需通过审批,且云计算基础设施必须位于境内。
8. 等保测评结论如何判定?
答:
2025年新规采用三级结论制(取消分数制):
符合率 重大风险隐患 结论 ≥90% 无 符合 ≥90% 有 基本符合 60%-90% 不限 基本符合 <60% 不限 不符合 注:重大风险隐患可由单个高风险问题或多个中低风险叠加形成。
9. 什么是重大风险隐患?
答:
指可能引发系统性安全风险的问题,例如:
- 数据明文存储或违规出境;
- 未部署恶意代码防护措施;
- 云计算平台未隔离多租户数据;
判定需综合相关性、严重性、高发性原则。
10. 第五级系统有哪些特殊要求?
答:
- 定义:影响国家安全或国计民生的系统(如能源管理、金融核心交易);
- 备案:需至省级公安机关网安部门备案;
- 测评:参考《GA/T 2182—2024 关保测评要求》,每年测评一次。
11. 备案流程及地点如何选择?
答:
- 时限:系统上线后30日内备案;
- 地点:
- 以安全管理机构所在地优先(非注册地或运维地);
- 跨省系统由省级公安机关或其指定地市受理;
- 有效期:《网络安全等级保护备案证明》有效期为三年。2025年 1月 1日前备案的,有效期自 2025年 1月 1日起算。完成等级测评后有效期自动延长一年。期满需要延期的,应当于期满前三个月内向受理备案的公安机关申请延期。
12. 等保测评后是否需高额整改?
答:
- 不一定。整改可按需开展:
- 低成本措施:调整安全策略(如强化口令复杂度)、完善管理制度;
- 高成本措施:添置安全设备(如防火墙、入侵检测系统);
- 优先修复高风险项(如空口令、未加密传输)。
13. 等保测评是否发放证书?
答:
- 否。等保采用备案与测评机制,非认证制度。通过后可获得:
- 《信息系统安全等级保护备案证明》;
- 加盖测评机构公章的测评报告。
14. 保护工作方案是什么?
答:
- 适用对象:三级及以上系统运营者;
- 内容要求:包括资产清单、重大风险隐患分析、整改计划;
- 提交时限:每年6月30日前报送属地公安机关。
15. 不做等保是否会被处罚?
答:
- 是。《网络安全法》第21条、第59条规定,未落实等保义务的单位将面临警告、罚款或停业整顿。
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。