信息安全等級保護定級備案流程
作者:天磊咨詢
發(fā)表日期:2021-01-07
來源:天磊咨詢
信息安全級別保護是一項網(wǎng)絡安全義務,需要按照《網(wǎng)絡安全法》的規(guī)定履行。根據(jù)信息系統(tǒng)等級保護的相關標準,等級保護工作分為五個階段,即:
第一,定級。信息系統(tǒng)運營使用單位應當根據(jù)等級保護管理辦法和分級指南,自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的,須經(jīng)上級主管部門批準。跨省或全國統(tǒng)一網(wǎng)絡運行的信息系統(tǒng)可由主管部門確定安全防護等級。
雖然是自行評分,但必須根據(jù)系統(tǒng)的實際情況進行評分。如有行業(yè)指導文件,按指導文件執(zhí)行,如無文件,按評分指南執(zhí)行。總之,分級是合理的,哪個級別就是哪個級別,不要把高定低了。
第二,備案。二級以上信息系統(tǒng)分級單位到所在地市級以上公安機關辦理辦理備案手續(xù)。省屬單位去省公安廳網(wǎng)安總隊備案,各地市單位一般直接去市級網(wǎng)安支隊備案,部分市市區(qū)縣單位的定級備案材料先報區(qū)縣公安大隊,具體按各地市要求。歸檔時,將定級材料帶到網(wǎng)安部門,通常是兩份紙質(zhì)文件和一份電子文件,紙質(zhì)首頁加蓋單位公章。
第三,系統(tǒng)安全建設。信息系統(tǒng)安全防護等級確定后,運營使用單位應當選擇管理措施要求的信息安全產(chǎn)品,建設符合等級要求的信息安全設施,建立安全組織,按照管理規(guī)范和技術標準制定和實施安全管理制度。
第四,等級評價。信息系統(tǒng)建設完成后,運營使用單位應當選擇符合管理辦法要求的檢測機構,對信息系統(tǒng)的安全等級進行等級評估。評價完成后,應根據(jù)發(fā)現(xiàn)的安全問題,特別是高的危險風險,及時進行整改。評價結論分為:不符合、基本符合和符合。當然也不可能達到基本要求。是一種理想狀態(tài)。
第五,監(jiān)督檢查。公安機關應當按照信息安全等級保護管理標準和《網(wǎng)絡安全法》的有關規(guī)定,對運營使用單位開展等級保護工作進行監(jiān)督檢查,并對信息系統(tǒng)進行定期安全檢查。經(jīng)營單位應當接受公安機關的安全監(jiān)督、檢查和指導,并如實向公安機關提供相關材料。
原則上由使用單位填寫分級備案表,提交公安部門備案。然而,考慮到實際情況,在大多數(shù)情況下,用戶單元在評估機構的協(xié)助下完成這些任務。系統(tǒng)安全建設和等級評定工作不必嚴格按此順序進行。可以先評估再整改,也可以先建再評估。具體還是根據(jù)自己的實際情況來做。
注意:選擇一個強大的評價機構非常重要,評價的好壞關系到單位信息系統(tǒng)后期整改的內(nèi)容。發(fā)現(xiàn)許多問題并提前整改,可以有效降低被攻擊的風險,提高高信息安全防護能力所以,等級保護工作是以上的全過程,而不僅僅是評估工作。評價的目的是發(fā)現(xiàn)問題。更重要的是,我們將在發(fā)現(xiàn)問題后不斷解決問題,履行我們的網(wǎng)絡安全義務,完善我們的信息安全建設工作,確保系統(tǒng)的正常服務和數(shù)據(jù)的安全。最近違反《網(wǎng)絡安全法》的案件這么多,一定要重視等級保護工作,重視網(wǎng)絡安全,以合法合規(guī)的方式及時開展相關工作。
根據(jù)與等級保護相關的管理文件,信息系統(tǒng)的安全保護等級分為以下五個等級:
第一,信息系統(tǒng)受損,會損害公民、法人和其他組織的合法權益,但不會損害國家安全、社會秩序和公共利益。
二是信息系統(tǒng)受損,會嚴重損害公民、法人和其他組織的合法權益,或者損害社會秩序和公共利益,但不會損害國家安全的第三層次。
第四,如果信息系統(tǒng)遭到破壞,將對社會秩序和公共利益造成特別嚴重的損害,或者對國家安全造成嚴重損害。
第五,如果信息系統(tǒng)遭到破壞,將對國家安全造成特別嚴重的損害。
等級保護分級和歸檔流程:
步驟一:確定分級對象
各行業(yè)主管部門和運營使用單位應組織對其信息系統(tǒng)進行深入調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本信息。并根據(jù)《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)和《信息系統(tǒng)安全等級保護定級指南》(以下簡稱《定級指南》)的要求確定評分對象。
步驟二:初步確定安全防護等級
各信息系統(tǒng)主管部門和運營單位應根據(jù)《管理辦法》和《定級指南》初步確定分級對象的安全防護等級。
步驟三:專家審查和批準
初步確定信息系統(tǒng)安全防護等級后,可以聘請專家進行評審。信息系統(tǒng)運營使用單位有上級行業(yè)部門的,確定的信息系統(tǒng)安全防護等級應當報上級行業(yè)部門審批。
步驟四:備案
根據(jù)《管理辦法》,信息系統(tǒng)安全防護等級在二級以上的信息系統(tǒng)運營使用單位或主管部門,應在安全防護等級確定后30日內(nèi)到當?shù)毓矙C關辦理辦理備案手續(xù)。新建二級以上信息系統(tǒng)應當在投入運行后30日內(nèi),由運行使用單位向當?shù)毓矙C關辦理部門備案。
收藏
取消收藏
400-668-6638