等保2.0需了解的问题（11）

1.“等保”与“商密”的评估结果有什么区别？

答：网络安全等级保护评估结论为优、良、中、差；商密的测评结论有符合、部分符合、不符合；等级测评和商密都引入了风险分析，依据资产、威胁、脆弱性进行赋值，并计算风险值进行判定，风险结论有高、中、低；关键信息基础设施保护基于风险评估的方法，重在分析安全风险可能引起的安全事件及总体安全状况。当网络和信息系统存在高风险时，等级测评和商密的结论均为不符合（差）。

2.“等保”和“网络安全法”什么关系？

答：等级保护工作是国家网络安全的基础性工作，是“网络安全法”要求我们履行的一项安全责任。“网络安全法”是网络安全领域的基本法，从国家层面对等级保护工作的法律认可，网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。

3.哪些企业和单位应该开展等保工作？

答：根据 GB/T 22239-2019的相关规定：

划重点：

（1）中国境内运营的；

（2）政府、事业单位、对外提供服务的企业；

（3）除信息系统外，还包括：基础网络、云平台、大数据、物联网、工控系统和移动互联。

也就是说，基本涵盖了企业的对外提供服务的业务系统和产品。

4.购买了符合等保要求的安全设备就能有效抵御网络风险？

答：设备只是工具，是否能抵御风险，还有看怎么用！不少单位花钱买了安全设备，但缺乏技术人员支持，或者安全意识淡薄，安全产品不仅起不到安全作用，反而会影响业务连续性。

5.做完等级测评就没有安全问题了？

答：很多人认为，完成等保测评就万事大吉了。其实，不然。等保测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但是，安全是一个动态而非静止的过程，不是通过一次测评，就可以一劳永逸的。

企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此，要通过等级保护测评工作开展，以“一个中心、三重防护”好“三化六防”等为指导，不断提升网络攻防能力。

6.“等保”与“商密”的监管单位分别是什么？

答：等保是属于公安机关的网安部门开展监督管理工作；商密是密码管理局开展监督管理工作。