等保2.0需了解的问题（8）

1.做完等级保护测评后整改周期是多久？

答：虽无明确规定，但测评报告一般是整改达标后才出具，除非可以接受结论为“差”的报告或不在乎分数。另外，等保工作本身就是为了提升网络安全防护水平，尤其是测评中发现的高风险建议立刻克服困难，抓紧整改。不少单位就是因为“高风险”问题没及时整改而中招，导致单位承受了巨大的经济和声誉损失。

2.等级保护有哪些规范标准？

答：等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个：

GB 17859-1999 计算机信息系统安全保护划分准则

• GB/T 31167-2014 信息安全技术 云计算服务安全指南
• GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
• GB/T 36326-2018 信息技术 云计算云服务运营通用要求
• GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南
• GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
• GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
• GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指
• GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
• GB/T 22240-2020 信息安全技术 网络安全安全等级保护定级指南
• GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
• GM/T 0054-2018 信息系统密码应用基本要求
• GB/T 35273-2020 信息安全技术 个人信息安全规范

3.等级保护步骤或流程是什么样的？

答：根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：系统定级、系统备案、安全建设/整改、等级测评、主管/监管单位定期开展监督检查。

4.有哪些情况系统定级无需专家评审？

答：信息系统运营使用单位有上级主管部门，且对信息系统的安全保护等级有定级指导意见或审核批准的，可无需在进行等级专家评审。

主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。