信息安全等級保護工作是《網(wǎng)絡(luò)安全法》中明確要求需要履行的網(wǎng)絡(luò)安全義務(wù)����。根據(jù)信息系統(tǒng)等級保護相關(guān)標(biāo)準(zhǔn)�����,等級保護工作總共分五個階段�,分別為:
一是定級��。信息系統(tǒng)運營使用單位按照等級保護管理辦法和定級指南�,自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的���,應(yīng)當(dāng)經(jīng)上級主管部門審批���。跨省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級�。雖然說的是自主定級,但是也得根據(jù)系統(tǒng)實際情況去定級�����,有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來�,沒有文件的根據(jù)定級指南來,總之一句話合理定級,該是幾級就是幾級�,不要定的高也不要定的低。
二是備案��。第二級以上信息系統(tǒng)定級單位到所在地所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)��。省級單位到省公安廳網(wǎng)安總隊備案�,各地市單位一般直接到市級網(wǎng)安支隊備案,也有部分地市區(qū)縣單位的定級備案資料是先交到區(qū)縣公安網(wǎng)監(jiān)大隊的���,具體根據(jù)各地市要求來�。備案的時候帶上定級資料去網(wǎng)安部門�����,一般兩份紙質(zhì)文檔�,一份電子檔,紙質(zhì)的首頁加蓋單位公章�。
三是系統(tǒng)安全建設(shè)���。信息系統(tǒng)安全保護等級確定后����,運營使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),選擇管理辦法要求的信息安全產(chǎn)品���,建設(shè)符合等級要求的信息安全設(shè)施����,建立安全組織��,制定并落實安全管理制度��。
四是等級測評����。信息系統(tǒng)建設(shè)完成后,運營使用單位選擇符合管理辦法要求的檢測機構(gòu)�,對信息系統(tǒng)安全等級狀況開展等級測評。測評完成之后根據(jù)發(fā)現(xiàn)的安全問題及時進行整改�����,特別是高危風(fēng)險�。測評的結(jié)論分為:不符合、基本符合�、符合。當(dāng)然符合基本是不可能的����,那是理想狀態(tài)�����。
五是監(jiān)督檢查���。公安機關(guān)依據(jù)信息安全等級保護管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款,監(jiān)督檢查運營使用單位開展等級保護工作����,定期對信息系統(tǒng)進行安全檢查。運營使用單位應(yīng)當(dāng)接受公安機關(guān)的安全監(jiān)督�、檢查、指導(dǎo)�����,如實向公安機關(guān)提供有關(guān)材料��。
其中定級�����、備案工作原則上是由用戶單位自己填寫定級備案表交給公安網(wǎng)監(jiān)部門去進行備案工作��,但考慮到實際情況�����,絕大多數(shù)情況下都是用戶單位在測評機構(gòu)的協(xié)助下完成這些工作����。系統(tǒng)安全建設(shè)和等級測評的工作不一定要嚴(yán)格按照這個順序開展,可以先測評再整改����,也可以先建設(shè)再測評。具體還是根據(jù)自身實際情況來辦�����。注意了:選擇一家有實力的測評機構(gòu)很重要��,測的好壞關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容�,問題發(fā)現(xiàn)多了提前發(fā)現(xiàn)了并整改了,可以有效降低被攻擊的風(fēng)險�,提高信息安全防護能力。
所以等級保護工作是以上一個全流程����,而不只是測評工作�,測評的目的是發(fā)現(xiàn)問題���,更重要的是我們在發(fā)現(xiàn)問題之后去持續(xù)地解決問題��,履行網(wǎng)絡(luò)安全義務(wù)���,完善我們的信息安全建設(shè)工作,保障系統(tǒng)的正常服務(wù)以及數(shù)據(jù)的安全���。近期這么多違反《網(wǎng)絡(luò)安全法》的案例發(fā)生�����,我們務(wù)必重視等級保護工作����,務(wù)必重視網(wǎng)絡(luò)安全�,合法合規(guī)地及時開展相關(guān)工作。
根據(jù)等級保護相關(guān)管理文件�,信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后�,會對公民、法人和其他組織的合法權(quán)益造成損害�,但不損害國家安全��、社會秩序和公共利益�����。
第二級,信息系統(tǒng)受到破壞后��,會對公民�����、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害��,或者對社會秩序和公共利益造成損害��,但不損害國家安全�。
第三級,信息系統(tǒng)受到破壞后���,會對社會秩序和公共利益造成嚴(yán)重?fù)p害�����,或者對國家安全造成損害�����。
第四級���,信息系統(tǒng)受到破壞后��,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害�,或者對國家安全造成嚴(yán)重?fù)p害�����。
第五級����,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害�。
等級保護定級備案流程:
第一步:確定定級對象
各行業(yè)主管部門、運營使用單位要組織開展對所屬信息系統(tǒng)的摸底調(diào)查�����,全面掌握信息系統(tǒng)的數(shù)量��、分布、業(yè)務(wù)類型��、應(yīng)用或服務(wù)范圍����、系統(tǒng)結(jié)構(gòu)等基本情況,按照《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)和《信息系統(tǒng)安全等級保護定級指南》(以下簡稱《定級指南》)的要求�,確定定級對象���。
第二步:初步確定安全保護等級
各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《定級指南》�����,初步確定定級對象的安全保護等級����。
第三步:專家評審與審批
初步確定信息系統(tǒng)安全保護等級后��,可以聘請專家進行評審��。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的��,所確定的信息系統(tǒng)安全保護等級應(yīng)當(dāng)報上級行業(yè)主管部門審批同意��。
第四步:備案
根據(jù)《管理辦法》�,信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門���,應(yīng)當(dāng)在安全保護等級確定后30日內(nèi),到當(dāng)?shù)毓矙C關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)���。新建第二級以上信息系統(tǒng)�����,應(yīng)當(dāng)在投入運行后30日內(nèi)�,由其運營�����、使用單位到當(dāng)?shù)毓矙C關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)���。
備案材料準(zhǔn)備:
具體材料如下:
1�����、《信息系統(tǒng)安全等級保護備案表》(以下簡稱《備案表》)�,紙質(zhì)材料���,一式兩份����。包括:《單位基本情況》(表一)、《信息系統(tǒng)情況》(表二)�、《信息系統(tǒng)定級情況》(表三)和《第三級以上信息系統(tǒng)提交材料情況》(表四)。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一��、二�����、三;第三級以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改���、測評完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。
《備案表》需通過“等級保護備案端軟件”填寫信息����,并導(dǎo)出word文檔生成。另��,在填寫表三“09
系統(tǒng)定級報告”時�����,需把《信息系統(tǒng)安全等級保護定級報告》上傳到“附件”再導(dǎo)出word文檔。
2����、《信息系統(tǒng)安全等級保護定級報告》(以下簡稱《定級報告》),紙質(zhì)材料����,一式兩份。每個備案的信息系統(tǒng)均需提供對應(yīng)的《定級報告》��,《定級報告》參照模版格式填寫�����。
3�、備案電子數(shù)據(jù),刻錄光盤�。每個備案的信息系統(tǒng),均需通過“等級保護備案端軟件”填寫信息��,并保存為一個壓縮文件(壓縮文件需包含sysdata.xml�����、orgdata.xml及《定級報告》3個文件)��。另,第三級以上系統(tǒng)備案電子數(shù)據(jù)還應(yīng)包括《備案表》表四所列的各項內(nèi)容���。
4��、《信息安全等級保護工作小組名單表》�,刻錄光盤���。參照模版格式填寫��。
