等保咨詢服務的實際實施方是誰？

本服務是由(you)天翼(yi)云授權的第(di)三方專業安(an)全服務提(ti)供商(shang)提(ti)供的，天翼(yi)云將對其提(ti)供技術指導及服務質量監督。

不同服務模式下等保技術測評要求？

從云(yun)(yun)上用(yong)戶等保2.0技(ji)術(shu)測評(ping)項可以(yi)看出(chu)，如果用(yong)戶是(shi)自建云(yun)(yun)平(ping)臺或傳統(tong)(tong)IDC托(tuo)管(guan)，那(nei)么等保中的所(suo)有(you)技(ji)術(shu)條款(kuan)都(dou)要(yao)(yao)(yao)進行測評(ping)。如果是(shi)laaS用(yong)戶，只需(xu)(xu)關注涉(she)及(ji)(ji)(ji)自身(shen)虛擬(ni)基(ji)礎環境和業(ye)務應(ying)用(yong)系(xi)統(tong)(tong)安全的83項技(ji)術(shu)指(zhi)標(biao)，不需(xu)(xu)關注物理機(ji)房環境和云(yun)(yun)平(ping)臺網絡等內容，測評(ping)條款(kuan)數約是(shi)自建云(yun)(yun)平(ping)臺的62.4%。如果是(shi)PaaS用(yong)戶則需(xu)(xu)要(yao)(yao)(yao)測評(ping)內容更少，只需(xu)(xu)要(yao)(yao)(yao)關注涉(she)及(ji)(ji)(ji)產品配置(zhi)以(yi)及(ji)(ji)(ji)自身(shen)業(ye)務應(ying)用(yong)系(xi)統(tong)(tong)安全的49項技(ji)術(shu)指(zhi)標(biao)，測評(ping)范圍是(shi)自建云(yun)(yun)平(ping)臺的36.8%。對于SaaS用(yong)戶來說，只需(xu)(xu)要(yao)(yao)(yao)關注涉(she)及(ji)(ji)(ji)應(ying)用(yong)安全配置(zhi)以(yi)及(ji)(ji)(ji)業(ye)務數據保護的45項技(ji)術(shu)指(zhi)標(biao)，需(xu)(xu)要(yao)(yao)(yao)投(tou)入的人力和經費成本也最少。

綜(zong)合來講，云(yun)時代因服(fu)務模(mo)式不同帶來的云(yun)上(shang)用(yong)戶合規責任的變化，使得(de)公(gong)共(gong)云(yun)用(yong)戶比自建(jian)云(yun)平臺或(huo)傳統IDC用(yong)戶在等保2.0中投(tou)入的合規成本大幅降低(di)，并且(qie)在PaaS和SaaS服(fu)務模(mo)式下優勢更為(wei)突出，可以讓用(yong)戶將更多精力聚焦自身的業務應用(yong)系統和數據安全保護上(shang)。

如果一次測評沒通過，還可以繼續提供整改服務么？

將會繼(ji)續(xu)提供整改服(fu)務。

在下單后一(yi)年的期限內，本服務將持續(xu)提供，直到客戶通過等保測評或者(zhe)一(yi)年期限已滿。

內網是否需要做等級測評？

需要。所有(you)非涉密(mi)系(xi)統都(dou)屬于等級保(bao)護范疇，和系(xi)統在外網(wang)還(huan)是內網(wang)沒有(you)關系(xi)。

而且(qie)，在內網的系(xi)統往往其網絡安全技術措施相(xiang)對(dui)薄弱，甚(shen)至(zhi)不少(shao)系(xi)統長期“帶(dai)病運(yun)行”，對(dui)等級測評的需(xu)求同樣甚(shen)至(zhi)更(geng)加緊迫。

等級保護測評多久做一次？

根據(ju)《網絡安全(quan)等(deng)級(ji)(ji)保護條例(li)》（征求意(yi)見稿）第二十三條規定：第三級(ji)(ji)以上網絡的運營者應當每年開展一次網絡安全(quan)等(deng)級(ji)(ji)測評。二級(ji)(ji)信息(xi)系(xi)統建議每兩年開展一次測評，部(bu)分行業是(shi)明確要(yao)求每兩年開展一次測評。

如何選擇等級保護備案所在地？

建議根據被測(ce)(ce)(ce)評業(ye)務系(xi)統的(de)經營(ying)主(zhu)體與法人注冊地(di)優先(xian)向(xiang)當地(di)公安網警(jing)（公共信息(xi)網絡安全監察局）備案(an)(an)并(bing)找本地(di)測(ce)(ce)(ce)評機構測(ce)(ce)(ce)評。或可(ke)選擇IT運(yun)維(wei)團(tuan)隊所在地(di)進行(xing)備案(an)(an)與測(ce)(ce)(ce)評。與業(ye)務系(xi)統在云上的(de)資源物(wu)理(li)節(jie)點(dian)的(de)地(di)點(dian)無關。

系統在云上，還要做等保嗎？

要(yao)做(zuo)。業務(wu)上(shang)云(yun)有多種情況(kuang)，如在公有云(yun)、私有云(yun)、專有云(yun)等(deng)不同屬性(xing)的(de)云(yun)上(shang)，并采用(yong)IaaS、PaaS、SaaS、IDC托(tuo)管等(deng)不同服務(wu)，雖然安全(quan)責任邊界發(fa)生了變化(hua)，但(dan)網絡運營者的(de)安全(quan)責任不會轉移。

因此，根據(ju)“誰(shui)運營誰(shui)負(fu)責(ze)、誰(shui)使用誰(shui)負(fu)責(ze)、誰(shui)主管誰(shui)負(fu)責(ze)”的(de)原則，應承擔網(wang)絡安(an)全責(ze)任進行(xing)等(deng)級保護工作。

是否系統定級越低越好？

不是。可根據實際業務系統的(de)情況參(can)照定級標準進行定級，采用(yong)“定級過(guo)低不允(yun)許、定級過(guo)高不可取”的(de)原則。

當出現網絡安全事件進行追責(ze)的(de)時候(hou)，如因系(xi)統(tong)定(ding)級(ji)過低，需承擔系(xi)統(tong)定(ding)級(ji)不合(he)理、安全責(ze)任沒有履行到(dao)位的(de)風險。

如何什么證明開展過等級保護工作？

一般情況，可以(yi)通過(guo)提供(gong)備案證明(ming)和(he)測(ce)評(ping)報告來證明(ming)開展過(guo)等級保護工作，測(ce)評(ping)報告應加蓋(gai)測(ce)評(ping)機構公章和(he)測(ce)評(ping)專用(yong)章。

如何確定業務系統屬于等保幾級？

可參照(zhao)等級(ji)保(bao)護定級(ji)指南，從業務(wu)系(xi)(xi)統(tong)安(an)全和(he)系(xi)(xi)統(tong)服務(wu)安(an)全兩(liang)個方面(mian)評(ping)價當業務(wu)系(xi)(xi)統(tong)被破壞(huai)時對客(ke)體(ti)的(de)影響程度，取兩(liang)個方面(mian)較(jiao)高(gao)的(de)等級(ji)。

當確定(ding)系統級(ji)別后，應開展專家評審對(dui)系統定(ding)級(ji)合(he)理(li)性(xing)進行審核。如有行業(ye)主管部門(men)制訂的定(ding)級(ji)依(yi)據，可直接參照采(cai)納行業(ye)定(ding)級(ji)標準定(ding)級(ji)。

等保2.0政策之物聯網的安全需求包括哪些?

物(wu)聯(lian)網(wang)安(an)(an)全擴(kuo)展要求(qiu)是針(zhen)對感(gan)知層提出的特殊安(an)(an)全要求(qiu)，與(yu)安(an)(an)全通用要求(qiu)一起構成針(zhen)對物(wu)聯(lian)網(wang)的完整安(an)(an)全要求(qiu)。主要內容包括“感(gan)知節(jie)(jie)點的物(wu)理(li)防護”、“感(gan)知節(jie)(jie)點設備(bei)安(an)(an)全”、“網(wang)關節(jie)(jie)點設備(bei)安(an)(an)全”、“感(gan)知節(jie)(jie)點的管理(li)”和“數據融(rong)合(he)處理(li)”等。