在做咨詢的過(guò)程中，經(jīng)常遇到客戶問(wèn)的問(wèn)題，在這里整理一下（后期繼續(xù)補(bǔ)充）：

1、等保3.0？

答：等級(jí)保護(hù)只有等保1.0和等保2.0，且等保1.0已經(jīng)成為歷史，自2019年12月1日起正式施行等保2.0。一般默認(rèn)即等保2.0。

　　等保2.0中，信息系統(tǒng)等級(jí)分5個(gè)級(jí)別，第一級(jí)、第二級(jí)、第三級(jí)、第四級(jí)、第五級(jí)

2、我們公司能不能所有系統(tǒng)為一個(gè)整體，來(lái)做等保？

答：等級(jí)保護(hù)是以信息系統(tǒng)為整體，而不是以公司或部門(mén)。

　　比如有一個(gè)公司有10個(gè)信息系統(tǒng)，那么除去不重要的，還有5個(gè)。

　　a、有兩個(gè)信息系統(tǒng)之間存在較多的數(shù)據(jù)之間的交互，則可以以一個(gè)整體做等保；

　　b、如有較少的數(shù)據(jù)交互或不存在交互，則建議單獨(dú)定級(jí)。

3、系統(tǒng)在我們公司內(nèi)網(wǎng)，要不要做等保？

答：等級(jí)保護(hù)的范圍是全國(guó)所有非涉密系統(tǒng)，無(wú)論系統(tǒng)在內(nèi)網(wǎng)還是互聯(lián)網(wǎng)，都需要做等保。

4、有沒(méi)有標(biāo)準(zhǔn)上面說(shuō)明等保二級(jí)是二年一次，等保三級(jí)是一年一次？

答：等保二級(jí)每?jī)赡暌淮危瑳](méi)有明確的標(biāo)準(zhǔn)說(shuō)明，一般都是建議每?jī)赡曜鲆淮?/p>

　　等保三級(jí)每年都需做一次，參考見(jiàn)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))，又稱43號(hào)文

　　http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm

　　第十四條明確規(guī)定。

5、公司準(zhǔn)備上市，有沒(méi)有法律政策等要去系統(tǒng)做等保？

答：等保的范圍是全國(guó)所有非涉密系統(tǒng)，法律是不會(huì)要求你是上市公司或者其他什么的，只要你的系統(tǒng)在中國(guó)運(yùn)行，不管你在內(nèi)網(wǎng)外網(wǎng)，那么都接受監(jiān)督。

6、如果黑客攻擊我們的網(wǎng)絡(luò)，那是賊偷了我，我也是受害者，為什么還要受處罰呢？

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

如果你的信息系統(tǒng)沒(méi)做等保，那被攻擊了，造成一定影響了，首先是你沒(méi)履行網(wǎng)絡(luò)安全義務(wù)，其次是黑客犯法，兩者都將收到嚴(yán)懲。

7、有些客戶說(shuō)，我去年測(cè)評(píng)分?jǐn)?shù)都是80多，今年怎么才70多呀？

（1）、計(jì)算方式2021年改版了，以前是先給你0分，慢慢加上去，現(xiàn)在是先給你100分，慢慢往下扣分

（2）、按照權(quán)重大小扣分，權(quán)重大的，不滿足就是3倍扣，部分符合是1.5倍扣還是2倍扣了

（3）、數(shù)據(jù)單獨(dú)拉出來(lái)作為測(cè)評(píng)項(xiàng)，像數(shù)據(jù)存儲(chǔ)加密，有幾個(gè)客戶做到了呢。。這都是高權(quán)重

8、不同地區(qū)，對(duì)測(cè)評(píng)項(xiàng)中不同控制項(xiàng)，判斷高中風(fēng)險(xiǎn)值不同。

如北京、深圳，數(shù)據(jù)存儲(chǔ)加密、雙因素就是高，其他地方就不是高（暫時(shí)沒(méi)遇到，不代表僅北京、深圳），降低風(fēng)險(xiǎn)措施不算

9、云上系統(tǒng)做不做等保呢？

根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，云服務(wù)商根據(jù)提供的IaaS、PaaS、SaaS模式承擔(dān)不同的平臺(tái)安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后，云租戶與云平臺(tái)服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任。
也就是說(shuō)云平臺(tái)承擔(dān)的是云平臺(tái)的安全責(zé)任，部署在云平臺(tái)上的系統(tǒng)或數(shù)據(jù)所有者，應(yīng)對(duì)該系統(tǒng)或數(shù)據(jù)承擔(dān)網(wǎng)絡(luò)安全保護(hù)責(zé)任。

然后呢，要是數(shù)據(jù)丟失了，誰(shuí)是被損害群體呢，肯定是使用的人，所以等保還是要做的，IAAS和PaaS好做，Saas也要做，在某些地區(qū)，需要拿到服務(wù)器root或者協(xié)調(diào)服務(wù)商來(lái)配合等保，部分地區(qū)是直接引用SaaS版測(cè)評(píng)報(bào)告即可

大家對(duì)等保有什么疑問(wèn)，歡迎評(píng)論區(qū)提問(wèn)。。。