信息安全等級(jí)保護(hù)工作是《網(wǎng)絡(luò)安全法》中明確要求需要履行的網(wǎng)絡(luò)安全義務(wù)����。根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)����,等級(jí)保護(hù)工作總共分五個(gè)階段�,分別為:
一是定級(jí)�。信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南,自主確定信息系統(tǒng)的安全保護(hù)等級(jí)���。有上級(jí)主管部門的�����,應(yīng)當(dāng)經(jīng)上級(jí)主管部門審批�����??缡』蛉珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級(jí)�。雖然說(shuō)的是自主定級(jí),但是也得根據(jù)系統(tǒng)實(shí)際情況去定級(jí)���,有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來(lái)�����,沒(méi)有文件的根據(jù)定級(jí)指南來(lái)�����,總之一句話合理定級(jí)����,該是幾級(jí)就是幾級(jí),不要定的高也不要定的低����。
二是備案。第二級(jí)以上信息系統(tǒng)定級(jí)單位到所在地所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)�。省級(jí)單位到省公安廳網(wǎng)安總隊(duì)備案,各地市單位一般直接到市級(jí)網(wǎng)安支隊(duì)備案���,也有部分地市區(qū)縣單位的定級(jí)備案資料是先交到區(qū)縣公安網(wǎng)監(jiān)大隊(duì)的�����,具體根據(jù)各地市要求來(lái)����。備案的時(shí)候帶上定級(jí)資料去網(wǎng)安部門,一般兩份紙質(zhì)文檔����,一份電子檔,紙質(zhì)的首頁(yè)加蓋單位公章��。
三是系統(tǒng)安全建設(shè)����。信息系統(tǒng)安全保護(hù)等級(jí)確定后����,運(yùn)營(yíng)使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),選擇管理辦法要求的信息安全產(chǎn)品����,建設(shè)符合等級(jí)要求的信息安全設(shè)施,建立安全組織��,制定并落實(shí)安全管理制度����。
四是等級(jí)測(cè)評(píng)。信息系統(tǒng)建設(shè)完成后�,運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu),對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)��。測(cè)評(píng)完成之后根據(jù)發(fā)現(xiàn)的安全問(wèn)題及時(shí)進(jìn)行整改,特別是高危風(fēng)險(xiǎn)��。測(cè)評(píng)的結(jié)論分為:不符合���、基本符合���、符合。當(dāng)然符合基本是不可能的�����,那是理想狀態(tài)���。
五是監(jiān)督檢查���。公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款,監(jiān)督檢查運(yùn)營(yíng)使用單位開(kāi)展等級(jí)保護(hù)工作����,定期對(duì)信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督��、檢查、指導(dǎo)���,如實(shí)向公安機(jī)關(guān)提供有關(guān)材料����。
其中定級(jí)����、備案工作原則上是由用戶單位自己填寫定級(jí)備案表交給公安網(wǎng)監(jiān)部門去進(jìn)行備案工作��,但考慮到實(shí)際情況�����,絕大多數(shù)情況下都是用戶單位在測(cè)評(píng)機(jī)構(gòu)的協(xié)助下完成這些工作��。系統(tǒng)安全建設(shè)和等級(jí)測(cè)評(píng)的工作不一定要嚴(yán)格按照這個(gè)順序開(kāi)展���,可以先測(cè)評(píng)再整改�����,也可以先建設(shè)再測(cè)評(píng)���。具體還是根據(jù)自身實(shí)際情況來(lái)辦����。注意了:選擇一家有實(shí)力的測(cè)評(píng)機(jī)構(gòu)很重要�,測(cè)的好壞關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容,問(wèn)題發(fā)現(xiàn)多了提前發(fā)現(xiàn)了并整改了���,可以有效降低被攻擊的風(fēng)險(xiǎn)�,提高信息安全防護(hù)能力���。
所以等級(jí)保護(hù)工作是以上一個(gè)全流程����,而不只是測(cè)評(píng)工作�,測(cè)評(píng)的目的是發(fā)現(xiàn)問(wèn)題,更重要的是我們?cè)诎l(fā)現(xiàn)問(wèn)題之后去持續(xù)地解決問(wèn)題�����,履行網(wǎng)絡(luò)安全義務(wù)���,完善我們的信息安全建設(shè)工作����,保障系統(tǒng)的正常服務(wù)以及數(shù)據(jù)的安全。近期這么多違反《網(wǎng)絡(luò)安全法》的案例發(fā)生���,我們務(wù)必重視等級(jí)保護(hù)工作��,務(wù)必重視網(wǎng)絡(luò)安全��,合法合規(guī)地及時(shí)開(kāi)展相關(guān)工作��。
根據(jù)等級(jí)保護(hù)相關(guān)管理文件��,信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí)�����,信息系統(tǒng)受到破壞后,會(huì)對(duì)公民�����、法人和其他組織的合法權(quán)益造成損害��,但不損害國(guó)家安全��、社會(huì)秩序和公共利益。
第二級(jí)�,信息系統(tǒng)受到破壞后,會(huì)對(duì)公民���、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害��,或者對(duì)社會(huì)秩序和公共利益造成損害�����,但不損害國(guó)家安全��。
第三級(jí)�,信息系統(tǒng)受到破壞后��,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害�,或者對(duì)國(guó)家安全造成損害。
第四級(jí)���,信息系統(tǒng)受到破壞后���,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害�。
第五級(jí)��,信息系統(tǒng)受到破壞后�,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害����。
等級(jí)保護(hù)定級(jí)備案流程:
第一步:確定定級(jí)對(duì)象
各行業(yè)主管部門、運(yùn)營(yíng)使用單位要組織開(kāi)展對(duì)所屬信息系統(tǒng)的摸底調(diào)查�����,全面掌握信息系統(tǒng)的數(shù)量���、分布���、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍���、系統(tǒng)結(jié)構(gòu)等基本情況,按照《信息安全等級(jí)保護(hù)管理辦法》(以下簡(jiǎn)稱《管理辦法》)和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(以下簡(jiǎn)稱《定級(jí)指南》)的要求��,確定定級(jí)對(duì)象�����。
第二步:初步確定安全保護(hù)等級(jí)
各信息系統(tǒng)主管部門和運(yùn)營(yíng)使用單位要按照《管理辦法》和《定級(jí)指南》,初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)�。
第三步:專家評(píng)審與審批
初步確定信息系統(tǒng)安全保護(hù)等級(jí)后,可以聘請(qǐng)專家進(jìn)行評(píng)審��。信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)行業(yè)主管部門的���,所確定的信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)當(dāng)報(bào)上級(jí)行業(yè)主管部門審批同意��。
第四步:備案
根據(jù)《管理辦法》��,信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門����,應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)����,到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)�����,應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)����,由其運(yùn)營(yíng)��、使用單位到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)����。
備案材料準(zhǔn)備:
具體材料如下:
1��、《信息系統(tǒng)安全等級(jí)保護(hù)備案表》(以下簡(jiǎn)稱《備案表》)����,紙質(zhì)材料,一式兩份����。包括:《單位基本情況》(表一)、《信息系統(tǒng)情況》(表二)����、《信息系統(tǒng)定級(jí)情況》(表三)和《第三級(jí)以上信息系統(tǒng)提交材料情況》(表四)。第二級(jí)以上信息系統(tǒng)備案時(shí)需提交《備案表》中的表一�、二、三;第三級(jí)以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改����、測(cè)評(píng)完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料�����。
《備案表》需通過(guò)“等級(jí)保護(hù)備案端軟件”填寫信息,并導(dǎo)出word文檔生成�。另,在填寫表三“09
系統(tǒng)定級(jí)報(bào)告”時(shí)��,需把《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上傳到“附件”再導(dǎo)出word文檔���。
2�、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》(以下簡(jiǎn)稱《定級(jí)報(bào)告》)�,紙質(zhì)材料,一式兩份���。每個(gè)備案的信息系統(tǒng)均需提供對(duì)應(yīng)的《定級(jí)報(bào)告》���,《定級(jí)報(bào)告》參照模版格式填寫。
3����、備案電子數(shù)據(jù),刻錄光盤�����。每個(gè)備案的信息系統(tǒng),均需通過(guò)“等級(jí)保護(hù)備案端軟件”填寫信息��,并保存為一個(gè)壓縮文件(壓縮文件需包含sysdata.xml����、orgdata.xml及《定級(jí)報(bào)告》3個(gè)文件)。另���,第三級(jí)以上系統(tǒng)備案電子數(shù)據(jù)還應(yīng)包括《備案表》表四所列的各項(xiàng)內(nèi)容����。
4�、《信息安全等級(jí)保護(hù)工作小組名單表》,刻錄光盤���。參照模版格式填寫�����。
行業(yè)動(dòng)態(tài)
辦事指南
政策法規(guī)
常見(jiàn)問(wèn)題
