docs: 增加等保测评服务文档。

32e3352a · maliang · 44051007 · 32e3352a
隐藏空白更改
内联并排

Showing with 109 addition and 0 deletion

docs/tutorial/djbh.md docs/tutorial/djbh.md +109 -0

未找到文件。
--- a/docs/tutorial/djbh.md
+++ b/docs/tutorial/djbh.md
+## 等保测评服务
+> DCloud 可以承接全国各地的等保测评服务。我们能够避免三方测评机构对 DCloud 产品不了解而产生误报的问题，从而减少测评过程中的反复交互，提升测评效率。等保测评服务 [点此咨询](https://ask.dcloud.net.cn/explore/guidance/equal_protection)
+
+### 什么是等级保护？
+等级保护简称等保，全称网络安全等级保护，是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
+
+等级保护总共分为五个等级，系统的重要程度从1-5级逐级升高，其中包含：
+- 第一级，自主保护级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
+- 第二级，指导保护级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
+- 第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
+- 第四级，强制保护级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
+- 第五级，专控保护级：信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
+
+网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。
+
+### 为什么要做等保测评？
+#### 法律法规要求
+2017 年 6 月 1 日，《中华人民共和国网络安全法》正式实施，等保工作正式入法，等保制度已成为新时期国家网络安全的基本国策和基本制度。《中华人民共和国网络安全法》条款要求如下：第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案；第三十一条要求，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条明确了，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予处罚。
+#### 行业准入要求
+在金融、电力、广电、医疗、教育行业，主管单位明确要求企业开展等保工作。
+#### 企业系统安全的需求
+信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。
+
+### 等级保护分级说明
+|等级	|等级定义	|适用系统	|
+|--	|--	|--	|
+|**第一级**	|信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益	|不重要系统	|
+|**第二级**	|信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生**严重**损害，或者对社会秩序和公共利益造成损害，但不损害国家安全	|一般重要系统	|
+|**第三级**	|信息系统受到破坏后，会对社会秩序和公共利益造成**严重**损害，或者对国家安全造成损害	|比较重要系统	|
+|**第四级**	|信息系统受到破坏后，会对社会秩序和公共利益造成**特别严重**损害，或者对国家安全造成**严重**损害	|非常重要系统	|
+|**第五级**	|信息系统受到破坏后，会对国家安全造成**特别严重**损害	|极度重要系统	|
+
+### 如何定级？
+<table border="1">
+  <tr>
+    <th rowspan="2" style="font-size:larger; text-align: center;">业务信息安全被破坏时所侵害的客体</th>
+    <th colspan="3" style="font-size:larger; text-align: center;">对相应客体的侵害程度</th>
+  </tr>
+  <tr>
+    <th>一般损害</th>
+    <th>严重损害</th>
+    <th>特别严重损害</th>
+  </tr>
+  <tr>
+    <td>公民、法人和其他组织的合法权益</td>
+    <td>第一级</td>
+    <td>第二级</td>
+    <td>第二级</td>
+  </tr>
+  <tr>
+    <td>社会秩序、公共利益</td>
+    <td>第二级</td>
+    <td>第三级</td>
+    <td>第四级</td>
+  </tr>
+  <tr>
+    <td>国家安全</td>
+    <td>第三级</td>
+    <td>第四级</td>
+    <td>第五级</td>
+  </tr>
+</table>
+
+### DCloud等保测评服务
+依据公安部关于网络安全等级保护的有关法律法规和要求，对开发者的重要二、三、四级信息系统的网络安全等级保护状况进行评估、咨询和评测，全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性，出具安全等级测评的结论；指出该系统存在的安全问题并提出相应的整改建议，出具《网络安全等级保护测评报告》。
+
+#### 核心优势
+- 测评服务可以覆盖全国各地；
+- 对DCloud自有产品的测评流程有丰富经验，测评效率高；
+- 测评服务不局限于DCloud自有产品，传统公有云、私有云部署的信息系统都可进行测评。
+
+### 常见问题
+Q1: 等保是否是强制性的,可以不做吗？
+
+答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
+
+等级保护相关标准虽然为非强制性的推荐标准，但网络（个人与家庭网络除外）运营者必须按网络安全法开展等级保护工作。
+
+Q2: 不做等保有什么后果？
+
+答：根据《网络安全法》要求，不备案视为违法，需要承担相应法律责任与处罚。
+
+以下为《网络安全法》中相关违法处罚内容，供参考：
+
+第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。
+
+关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 
+
+Q3: 做等保要多少钱？
+
+答：等保工作费用大体包含：针对业务系统开展测评的费用，以及按等级保护要求开发、购买或部署安全防护产品成本，开展安全日常运维等人力成本。
+
+等保测评工作属于属地化管理，测评收费非全国统一价，测评费用每个省都有一个参考报价标准。依据不同属地，不同系统规模与级别，测评收费不同。[详情点此咨询](https://ask.dcloud.net.cn/explore/guidance/equal_protection)
+
+Q4: 等保测评一般多长时间能测完？
+
+答：一个二级或三级的系统整体持续周期约3个月。现场测评周期一般2周左右，具体时间还要根据信息系统数量及信息系统的规模，以及测评方与被测评方的配合情况等有所增减。安全整改（管理制度、策略配置技术整改）视系统整改成本而不同，一般情况约2周左右，出具报告时间1-2周。
+
+Q5: 等保测评多久做一次？
+
+答：关于系统测评时间有明确规定，二级信息系统每两年测评一次，三级信息系统明确规定每年测评一次，四级信息系统每半年测评一次。
+
+Q6: 拿什么证明开展过等保工作？
+
+答：备案证明和测评报告，即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。等保备案证书由公安机关颁发备案证明，测评按系统等级测评，提供测评报告，目前公安机关要求测评报告依不同等级进行年检制并上报至公安机关。
+
+Q7: 多长时间能拿到备案证明？
+
+答：全国各省网警管理有所差异，一般提交备案流程后，如资料完备（三级系统要求含测评报告），顺利通过审核后15个工作日即可拿到备案证明。
\ No newline at end of file