信息安全等級(jí)保護(hù)定級(jí)備案流程
作者:天磊咨詢
發(fā)表日期:2021-01-07
來源:天磊咨詢
信息安全級(jí)別保護(hù)是一項(xiàng)網(wǎng)絡(luò)安全義務(wù),需要按照《網(wǎng)絡(luò)安全法》的規(guī)定履行。根據(jù)信息系統(tǒng)等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn),等級(jí)保護(hù)工作分為五個(gè)階段,即:
第一,定級(jí)。信息系統(tǒng)運(yùn)營使用單位應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)管理辦法和分級(jí)指南,自主確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門的,須經(jīng)上級(jí)主管部門批準(zhǔn)。跨省或全國統(tǒng)一網(wǎng)絡(luò)運(yùn)行的信息系統(tǒng)可由主管部門確定安全防護(hù)等級(jí)。
雖然是自行評(píng)分,但必須根據(jù)系統(tǒng)的實(shí)際情況進(jìn)行評(píng)分。如有行業(yè)指導(dǎo)文件,按指導(dǎo)文件執(zhí)行,如無文件,按評(píng)分指南執(zhí)行。總之,分級(jí)是合理的,哪個(gè)級(jí)別就是哪個(gè)級(jí)別,不要把高定低了。
第二,備案。二級(jí)以上信息系統(tǒng)分級(jí)單位到所在地市級(jí)以上公安機(jī)關(guān)辦理辦理備案手續(xù)。省屬單位去省公安廳網(wǎng)安總隊(duì)備案,各地市單位一般直接去市級(jí)網(wǎng)安支隊(duì)備案,部分市市區(qū)縣單位的定級(jí)備案材料先報(bào)區(qū)縣公安大隊(duì),具體按各地市要求。歸檔時(shí),將定級(jí)材料帶到網(wǎng)安部門,通常是兩份紙質(zhì)文件和一份電子文件,紙質(zhì)首頁加蓋單位公章。
第三,系統(tǒng)安全建設(shè)。信息系統(tǒng)安全防護(hù)等級(jí)確定后,運(yùn)營使用單位應(yīng)當(dāng)選擇管理措施要求的信息安全產(chǎn)品,建設(shè)符合等級(jí)要求的信息安全設(shè)施,建立安全組織,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)制定和實(shí)施安全管理制度。
第四,等級(jí)評(píng)價(jià)。信息系統(tǒng)建設(shè)完成后,運(yùn)營使用單位應(yīng)當(dāng)選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu),對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行等級(jí)評(píng)估。評(píng)價(jià)完成后,應(yīng)根據(jù)發(fā)現(xiàn)的安全問題,特別是高的危險(xiǎn)風(fēng)險(xiǎn),及時(shí)進(jìn)行整改。評(píng)價(jià)結(jié)論分為:不符合、基本符合和符合。當(dāng)然也不可能達(dá)到基本要求。是一種理想狀態(tài)。
第五,監(jiān)督檢查。公安機(jī)關(guān)應(yīng)當(dāng)按照信息安全等級(jí)保護(hù)管理標(biāo)準(zhǔn)和《網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定,對(duì)運(yùn)營使用單位開展等級(jí)保護(hù)工作進(jìn)行監(jiān)督檢查,并對(duì)信息系統(tǒng)進(jìn)行定期安全檢查。經(jīng)營單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查和指導(dǎo),并如實(shí)向公安機(jī)關(guān)提供相關(guān)材料。
原則上由使用單位填寫分級(jí)備案表,提交公安部門備案。然而,考慮到實(shí)際情況,在大多數(shù)情況下,用戶單元在評(píng)估機(jī)構(gòu)的協(xié)助下完成這些任務(wù)。系統(tǒng)安全建設(shè)和等級(jí)評(píng)定工作不必嚴(yán)格按此順序進(jìn)行。可以先評(píng)估再整改,也可以先建再評(píng)估。具體還是根據(jù)自己的實(shí)際情況來做。
注意:選擇一個(gè)強(qiáng)大的評(píng)價(jià)機(jī)構(gòu)非常重要,評(píng)價(jià)的好壞關(guān)系到單位信息系統(tǒng)后期整改的內(nèi)容。發(fā)現(xiàn)許多問題并提前整改,可以有效降低被攻擊的風(fēng)險(xiǎn),提高高信息安全防護(hù)能力所以,等級(jí)保護(hù)工作是以上的全過程,而不僅僅是評(píng)估工作。評(píng)價(jià)的目的是發(fā)現(xiàn)問題。更重要的是,我們將在發(fā)現(xiàn)問題后不斷解決問題,履行我們的網(wǎng)絡(luò)安全義務(wù),完善我們的信息安全建設(shè)工作,確保系統(tǒng)的正常服務(wù)和數(shù)據(jù)的安全。最近違反《網(wǎng)絡(luò)安全法》的案件這么多,一定要重視等級(jí)保護(hù)工作,重視網(wǎng)絡(luò)安全,以合法合規(guī)的方式及時(shí)開展相關(guān)工作。
根據(jù)與等級(jí)保護(hù)相關(guān)的管理文件,信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五個(gè)等級(jí):
第一,信息系統(tǒng)受損,會(huì)損害公民、法人和其他組織的合法權(quán)益,但不會(huì)損害國家安全、社會(huì)秩序和公共利益。
二是信息系統(tǒng)受損,會(huì)嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益,或者損害社會(huì)秩序和公共利益,但不會(huì)損害國家安全的第三層次。
第四,如果信息系統(tǒng)遭到破壞,將對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重的損害,或者對(duì)國家安全造成嚴(yán)重?fù)p害。
第五,如果信息系統(tǒng)遭到破壞,將對(duì)國家安全造成特別嚴(yán)重的損害。
等級(jí)保護(hù)分級(jí)和歸檔流程:
步驟一:確定分級(jí)對(duì)象
各行業(yè)主管部門和運(yùn)營使用單位應(yīng)組織對(duì)其信息系統(tǒng)進(jìn)行深入調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本信息。并根據(jù)《信息安全等級(jí)保護(hù)管理辦法》(以下簡稱《管理辦法》)和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(以下簡稱《定級(jí)指南》)的要求確定評(píng)分對(duì)象。
步驟二:初步確定安全防護(hù)等級(jí)
各信息系統(tǒng)主管部門和運(yùn)營單位應(yīng)根據(jù)《管理辦法》和《定級(jí)指南》初步確定分級(jí)對(duì)象的安全防護(hù)等級(jí)。
步驟三:專家審查和批準(zhǔn)
初步確定信息系統(tǒng)安全防護(hù)等級(jí)后,可以聘請(qǐng)專家進(jìn)行評(píng)審。信息系統(tǒng)運(yùn)營使用單位有上級(jí)行業(yè)部門的,確定的信息系統(tǒng)安全防護(hù)等級(jí)應(yīng)當(dāng)報(bào)上級(jí)行業(yè)部門審批。
步驟四:備案
根據(jù)《管理辦法》,信息系統(tǒng)安全防護(hù)等級(jí)在二級(jí)以上的信息系統(tǒng)運(yùn)營使用單位或主管部門,應(yīng)在安全防護(hù)等級(jí)確定后30日內(nèi)到當(dāng)?shù)毓矙C(jī)關(guān)辦理辦理備案手續(xù)。新建二級(jí)以上信息系統(tǒng)應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由運(yùn)行使用單位向當(dāng)?shù)毓矙C(jī)關(guān)辦理部門備案。
收藏
取消收藏
400-668-6638