等保2.0需了解的问题（10）

1.业务系统在内/专网，还需要做等保吗？

答：需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全。

2.等级保护测评结论不符合是不是等级保护工作就白做了？

答：不是。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。

3.拿什么证明开展过等级保护工作？

答：一般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专用章。

4.系统在云上，还要做等保吗？

答：要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。

是否要通过测评这个需根据系统的重要程度，依据国家标准和相关部门要求来确定。

5.等保的测评内容有哪些？

答：通用要求包含：技术要求（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心）；管理要求（安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理）；云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。

6.“商密”测评的具体流程是什么？

答：商用密码应用安全评估的工作流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。

7.“等保”与“商密”的评估对象有什么区别？

答：等级保护对象基本覆盖了全部的网络和信息系统，第三级以上的网络安全等级保护对象（部分）同时为关基和密评的评估对象；商密对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。