信息安全等級保護工作是《網絡安全法》中明確要求需要履行的網絡安全義務����。根據信息系統(tǒng)等級保護相關標準,等級保護工作總共分五個階段��,分別為:
一是定級�。信息系統(tǒng)運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的�����,應當經上級主管部門審批��?���?缡』蛉珖y(tǒng)一聯網運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級��。雖然說的是自主定級�����,但是也得根據系統(tǒng)實際情況去定級����,有行業(yè)指導文件的根據指導文件來,沒有文件的根據定級指南來���,總之一句話合理定級����,該是幾級就是幾級�,不要定的高也不要定的低�。
二是備案���。第二級以上信息系統(tǒng)定級單位到所在地所在地設區(qū)的市級以上公安機關辦理備案手續(xù)��。省級單位到省公安廳網安總隊備案��,各地市單位一般直接到市級網安支隊備案����,也有部分地市區(qū)縣單位的定級備案資料是先交到區(qū)縣公安網監(jiān)大隊的����,具體根據各地市要求來。備案的時候帶上定級資料去網安部門�,一般兩份紙質文檔,一份電子檔���,紙質的首頁加蓋單位公章��。
三是系統(tǒng)安全建設�����。信息系統(tǒng)安全保護等級確定后�����,運營使用單位按照管理規(guī)范和技術標準���,選擇管理辦法要求的信息安全產品���,建設符合等級要求的信息安全設施��,建立安全組織��,制定并落實安全管理制度����。
四是等級測評。信息系統(tǒng)建設完成后�,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統(tǒng)安全等級狀況開展等級測評�����。測評完成之后根據發(fā)現的安全問題及時進行整改���,特別是高危風險����。測評的結論分為:不符合、基本符合��、符合����。當然符合基本是不可能的,那是理想狀態(tài)��。
五是監(jiān)督檢查��。公安機關依據信息安全等級保護管理規(guī)范及《網絡安全法》相關條款���,監(jiān)督檢查運營使用單位開展等級保護工作���,定期對信息系統(tǒng)進行安全檢查。運營使用單位應當接受公安機關的安全監(jiān)督����、檢查、指導����,如實向公安機關提供有關材料����。
其中定級�����、備案工作原則上是由用戶單位自己填寫定級備案表交給公安網監(jiān)部門去進行備案工作��,但考慮到實際情況���,絕大多數情況下都是用戶單位在測評機構的協(xié)助下完成這些工作。系統(tǒng)安全建設和等級測評的工作不一定要嚴格按照這個順序開展��,可以先測評再整改����,也可以先建設再測評。具體還是根據自身實際情況來辦�。注意了:選擇一家有實力的測評機構很重要,測的好壞關系到單位信息系統(tǒng)后期整改內容���,問題發(fā)現多了提前發(fā)現了并整改了��,可以有效降低被攻擊的風險�����,提高信息安全防護能力�。
所以等級保護工作是以上一個全流程,而不只是測評工作���,測評的目的是發(fā)現問題�����,更重要的是我們在發(fā)現問題之后去持續(xù)地解決問題���,履行網絡安全義務,完善我們的信息安全建設工作�����,保障系統(tǒng)的正常服務以及數據的安全�。近期這么多違反《網絡安全法》的案例發(fā)生,我們務必重視等級保護工作�,務必重視網絡安全,合法合規(guī)地及時開展相關工作���。
根據等級保護相關管理文件����,信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后����,會對公民、法人和其他組織的合法權益造成損害�����,但不損害國家安全�、社會秩序和公共利益。
第二級�����,信息系統(tǒng)受到破壞后��,會對公民�、法人和其他組織的合法權益產生嚴重損害���,或者對社會秩序和公共利益造成損害��,但不損害國家安全�����。
第三級�����,信息系統(tǒng)受到破壞后��,會對社會秩序和公共利益造成嚴重損害��,或者對國家安全造成損害�����。
第四級�,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害��,或者對國家安全造成嚴重損害���。
第五級���,信息系統(tǒng)受到破壞后���,會對國家安全造成特別嚴重損害。
等級保護定級備案流程:
第一步:確定定級對象
各行業(yè)主管部門����、運營使用單位要組織開展對所屬信息系統(tǒng)的摸底調查,全面掌握信息系統(tǒng)的數量��、分布����、業(yè)務類型、應用或服務范圍���、系統(tǒng)結構等基本情況����,按照《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)和《信息系統(tǒng)安全等級保護定級指南》(以下簡稱《定級指南》)的要求��,確定定級對象�����。
第二步:初步確定安全保護等級
各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《定級指南》��,初步確定定級對象的安全保護等級�。
第三步:專家評審與審批
初步確定信息系統(tǒng)安全保護等級后,可以聘請專家進行評審���。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的�����,所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意�����。
第四步:備案
根據《管理辦法》�����,信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門��,應當在安全保護等級確定后30日內�����,到當地公安機關網監(jiān)部門辦理備案手續(xù)����。新建第二級以上信息系統(tǒng),應當在投入運行后30日內�����,由其運營�、使用單位到當地公安機關網監(jiān)部門辦理備案手續(xù)。
備案材料準備:
具體材料如下:
1���、《信息系統(tǒng)安全等級保護備案表》(以下簡稱《備案表》)���,紙質材料,一式兩份�。包括:《單位基本情況》(表一)、《信息系統(tǒng)情況》(表二)����、《信息系統(tǒng)定級情況》(表三)和《第三級以上信息系統(tǒng)提交材料情況》(表四)。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一��、二���、三;第三級以上信息系統(tǒng)還應當在系統(tǒng)整改����、測評完成后30日內提交《備案表》表四及其有關材料�。
《備案表》需通過“等級保護備案端軟件”填寫信息,并導出word文檔生成�。另,在填寫表三“09
系統(tǒng)定級報告”時��,需把《信息系統(tǒng)安全等級保護定級報告》上傳到“附件”再導出word文檔���。
2����、《信息系統(tǒng)安全等級保護定級報告》(以下簡稱《定級報告》)�,紙質材料,一式兩份��。每個備案的信息系統(tǒng)均需提供對應的《定級報告》�����,《定級報告》參照模版格式填寫���。
3�、備案電子數據,刻錄光盤��。每個備案的信息系統(tǒng)����,均需通過“等級保護備案端軟件”填寫信息,并保存為一個壓縮文件(壓縮文件需包含sysdata.xml��、orgdata.xml及《定級報告》3個文件)��。另��,第三級以上系統(tǒng)備案電子數據還應包括《備案表》表四所列的各項內容��。
4����、《信息安全等級保護工作小組名單表》,刻錄光盤�����。參照模版格式填寫�。
