-응? 보험 2.0 이후 모두 전문가 등급, 즉 현지 공안망 감찰부가 보험을 등록할 때 등급을 매기는 평가다. 일반적으로 다음 원칙을 따릅니다.
A: 기본 요구 사항 항목 GBT 22239, 평가 항목 GBT 28448; 을 참조하십시오. 평등 보험의 지표; 원칙적으로 구성 및 자체 조정을 통해 달성할 수 있는 기본 요구 사항 및 평가 프로젝트는 추가 하드웨어 및 소프트웨어를 구매하여 보상할 필요가 없습니다. 자원의 자체 조정을 통해 너무 비싸다면 가장 빠르고 일반적인 방법은 타사 소프트웨어, 하드웨어 및 서비스를 구매하여 수요를 충족시키는 것입니다.
A: 등급 보호의 범위는 국내의 모든 비공개 시스템을 포괄하며, 모든 시스템은 인트라넷이나 인터넷에서 보안이 필요합니다.
A: 수준 보호는 회사나 부서가 아닌 정보 시스템 전체를 기반으로 합니다.
-응? 예를 들어 한 회사에 10 개의 정보 시스템이 있다면 중요하지 않은 것 외에 다섯 개가 더 있다.
A, 두 정보 시스템 간의 데이터 상호 작용이 비교적 많기 때문에 전반적으로 보장할 수 있습니다.
B. 데이터 상호 작용이 거의 없거나 없는 경우 별도로 점수를 매기는 것이 좋습니다.
A: 2 차 보험은 2 년마다 개최됩니다. 명확한 표준 설명은 없지만 일반적으로 2 년에 한 번 하는 것이 좋습니다.
3 급 보험은 일 년에 한 번 해야 한다. "정보안전등급보호관리방법" (공통자 [2007]43 호), 일명 43 번 문제 14 조 참조 .....
/ztk/hlwxx/02/09/document/533639/533639.htm
-응? 국가는 사이버 보안 등급 보호 제도를 실시한다. 네트워크 운영자는 네트워크 보안 수준 보호 시스템의 요구 사항에 따라 네트워크 보안 의무를 이행하고 간섭, 파괴 또는 무단 액세스로부터 네트워크를 보호하고 네트워크 데이터가 유출, 도난 또는 변조되는 것을 방지해야 합니다.
-응? 만약 너의 정보 시스템이 보장되지 않는다면, 공격당할 것이고, 일정한 영향이 있을 것이다. 하나는 사이버 보안 의무를 다하지 못하고, 다른 하나는 해커가 법을 어겼다는 것이고, 둘 다 엄중한 처벌을 받게 될 것이다.
-응? 핵심 정보 인프라, 즉' 관보' 는 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정무, 국방과학기술공업 등 중요한 업종과 분야, 그리고 파괴, 기능 상실, 데이터 유출 등 국가 안보, 국민생, 공익을 심각하게 위태롭게 할 수 있는 기타 중요한 분야입니다
-응? 등급 보호와 핵심 정보 인프라 보호의 차이점은' 세관 보호' 가 네트워크 보안 수준 보호 체계를 기반으로 중점 보호를 실시한다는 점이다. 중화 인민 공화국 네트워크 보안법 제 3 장 제 2 절은 주요 정보 인프라의 범위와 보호의 주요 내용을 포함한 주요 정보 인프라의 운영 보안을 규정하고 있습니다.
-응? 현재 세관 보호의 기본 요구 사항, 평가 가이드, 고위험 사례가 완료되었으며 관련 작업이 시작되었습니다. 평등보험의 관객 범위는 세관보험보다 더 넓다. 보통 균등보건설의 주체를 해야 하고, 하고 싶은 것은 꼭 해야 하는 것은 아니다. 세관 보험 건설은 중요한 업종과 분야를 겨냥한 평등보험을 기초로 한다.
-응? 중화 인민 공화국 네트워크 보안법 제 21 조는 네트워크 운영자가 네트워크 보안 수준 보호 시스템의 요구 사항에 따라 관련 보안 의무를 이행해야한다고 규정하고 있습니다. 한편 제 76 조는 네트워크 운영자를 네트워크 소유자, 관리자 및 네트워크 서비스 공급자로 정의합니다.
-응? 계층 적 보호는 중국의 네트워크 보안을 보장하기위한 기본 조치입니다. 현재 각 부서는 해당 업종과 보호 대상의 중요도, 네트워크 보안법 및 관련 부서의 요구 사항에 따라' 동기화 계획, 동시 건설, 동시 사용' 원칙에 따라 등급을 보호해야 한다.
-응? 2 차 또는 3 차 시스템의 총 기간은 1-2 개월입니다.
-응? 현장 평가 주기는 일반적으로 1 주 정도이며, 구체적인 시간은 정보 시스템의 수와 규모, 평가자와 피평가자의 협력 상황에 따라 증감된다.
-응? 소규모 안전정류 (관리체계와 정책구성의 기술정류) 은 2 ~ 3 주, 에스컬레이션시간은 1-2 주입니다.
-응? 현재 각 성 또는 시의 상황에 따라 평가 실시 기한에 대한 별도의 규정이 남아 있다. 일반적으로 평가 보고서는 평가 계약이 체결된 날로부터 3-6 개월 후에 제출해야 합니다.
-응? 등급 보호 작업은 띠화 관리에 속하며 평가비는 전국적으로 일정하지 않다. 각 지방마다 평가비에 대한 참조 견적 기준이 있다. 전체 평가 비용은 비즈니스 시스템의 크기와 확장 기능 테스트 포함 여부에 따라 달라집니다.
예를 들어, 한 지방의 참조 견적은 2 차 시스템 평가비 5 만 원, 3 급 시스템 평가비 9 만 원입니다.
-응? 등급 보호는 인증 메커니즘 대신 기록 평가 메커니즘을 사용하며 소위 아웃소싱은 없습니다. 서비스 제공업체가 패키지화한 제품과 서비스 팩을 맹목적으로 채택하는 것은 종종 가장 비용 효율적인 솔루션이 아닙니다. 네트워크 운영자는 실제 보안 요구 사항과 동등한 보안 평가 예상 점수를 결합하여 전문 제 3 자 보안 컨설팅 서비스 기관에 건설 작업을 문의할 수 있습니다.
-응? 평가 후 합격증이 없다. 등급 보호는 인증 메커니즘 대신 기록 평가 메커니즘을 사용합니다. 현지 네트워크 보안 기록이 완료되면 정보 시스템 보안 수준 보호 기록 인증서를 받을 수 있으며, 평가가 완료되면 법적 효력이 있는 "평가 보고서" (최소한 평가 기관의 공식 도장 및 평가 인감 포함) 를 받게 됩니다.
-응? 중국 각 성의 인터넷 경찰 관리에는 차이가 있다. 보통 서류 제출 과정을 거친 후 자료가 완비되면 심사 후 15 일 (영업일 기준) 이내에 서류증명서를 받을 수 있습니다.
-응? 등급 보호 2.0 평가 결과에는 점수 및 결론 평가가 포함됩니다. 점수 100%, 합격선 70; 결론 평가는 우수, 양호, 중, 차이 4 등급으로 나뉜다.
-응? 서로 다른 회사는 두 개의 독립된 법인으로서 고유한 서류 주체를 정의해야 하며 하나의 체계로 간주해서는 안 된다. 같은 회사의 비즈니스 시스템은 하나의 시스템으로 간주될 수 있으며, 실제로 개조된 경우 포털, 배경, 비즈니스 연계, 중요성 등이 GB/T 22240-2020 정보 시스템 보안 네트워크 보안 등급 지정 가이드의 요구 사항을 충족합니다.
-응? 평가 자격을 갖춘 평가 회사를 선택하고 현지 평가 회사를 우선적으로 선택하다. 중국 네트워크 보안 등급 보호망 (djbh.net) 이 발표한' 국가 네트워크 보안 등급 보호 평가 기관 추천 카탈로그'
-응? 등급 보호는 광범위하게 관련되어 있으며, 많은 관련 안전 기준, 규범, 가이드라인은 아직 편성되거나 개정되고 있다. 일반 사양 및 표준에는 다음이 포함되지만 이에 국한되지는 않습니다.
-응? 아니오. 등급 보호 평가의 결론은' 불량' 으로, 정보 시스템의 위험이 높거나 전체 보안이 좋지 않아 해당 기준에 맞지 않음을 의미합니다. 그렇다고 등급 보호 작업이 헛수고라는 뜻은 아니다. 부적절한 평가 보고서가 있다 해도 주관기관은 올해 당신 부서의 등급 보호 작업을 시작했다는 것을 인정하지만, 현재 많은 문제가 있어 해당 기준에 맞지 않으므로 서둘러 시정해야 합니다.
-응? 일반적으로 서류증명과 평가 보고서이며, 평가 보고서에는 평가 기관의 공식 도장과 평가 전용장이 찍혀 있어야 한다.
-응? 할 수 있습니다. 비즈니스 클라우드에는 IaaS, PaaS, SaaS, IDC 호스팅 등 다양한 특성을 가진 공용 클라우드, 사설 클라우드, 사설 클라우드 등 다양한 클라우드가 있습니다. 보안 책임 경계가 바뀌었지만 네트워크 운영자의 보안 책임은 이전되지 않습니다. "누가 운영하고 누가 책임지고 누가 사용하고 누가 책임지고 누가 책임지는가" 라는 원칙에 따라, 우리는 등급보호의 사이버 보안 책임을 져야 한다.
-응? 많은 사람들은 보험공판을 마치면 만사대길이라고 생각한다. 사실 그렇지 않습니다. 동등한 안전의 평가 기준은 기준선의 요구 사항일 뿐이다. 등급 보호 시스템을 평가, 정비 및 구현함으로써 대부분의 안전 위험을 방지할 수 있습니다. 그러나 안전은 정적이 아닌 역동적인 과정이며, 한 번의 평가로 영원히 일할 수 있는 것은 아니다.
-응? 기업은 동등한 안전의 안전요구 사항을 이행하고 각종 안전관리 규칙과 제도를 엄격히 시행함으로써 기본적으로 시스템의 안전하고 안정적인 운영을 실현할 수 있다. 그래도 100% 로 시스템 보안을 보장할 수는 없습니다. 따라서' 1 개 센터, 3 개 보호' 와' 3 화 6 방지' 를 지도해 네트워크 공방 능력을 지속적으로 개선할 필요가 있다.
-응? 우선, 정기적으로 보험을 평가하는 것은 지속적인 과정이다. 기회주의는 올해가 지나도 내년 후년은 여전히 평가해야 한다.
-응? 둘째, 직접 구매를 요구하지 않고 관련 서비스 증명서를 제공하면 되고, 임대 계약도 가능합니다.
-응? 먼저 타사 하드웨어 및 소프트웨어 구입을 명시적으로 요구하지 않았으며 타사 하드웨어 및 소프트웨어는 보상 조치로 사용되었습니다. 애플리케이션 시스템 자체가 동등한 보호 요구 사항을 충족하지 못하는 경우, 애플리케이션 시스템의 부족을 보완하고 애플리케이션 시스템이 등급 보호 평가 프로젝트의 관련 요구 사항을 충족하도록 보상 조치를 취할 수 있습니다.
취약성 검사: 기본적으로 모든 수준의 보안에 대해 취약성 검사를 수행하는 것이 좋습니다.
침투 테스트 3 급 보장은 반드시 해야 하고, 2 급 보장은 강제하지 않지만, 처음 하는 것이 좋습니다.
기본 검증: 보험은 필요하지 않지만 정류에 편리합니다. 평가 전에 기준선 검증 작업을 잘하면 정비가 훨씬 편리할 것이다.
가장 빠른 일주일, 현지 인터넷 감찰부의 심사 진도에 따라 결정된다.