在《信息安全等级保护管理办法》(以下简称“管理办法”)中,第三章等级保护的实施与管理的第九条要求信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。当然,如今《网络安全等级保护实施指南》已经代替《信息系统安全等级保护实施指南》,但《管理办法》这条要求可以理解成并未改变,只是需要与时俱进,参考新版标准。那么进入《网络安全等级保护实施指南》,我们看到安全等级保护工作实施的基本流程图,第一部分就是等级保护定级与备案,然后依次是总体安全规划、安全设计与实施、安全运行与维护、定级对象终止,这么一个生命周期。
01丨网络安全等级保护备案的依据
《中华人民共和国计算机信息系统安全保护条例》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全等级保护备案实施细则》(公信安[2007]1360号)
02丨备案材料准备
办理信息系统等级保护备案手续时,应当填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,第三级以上信息系统应当同时提供以下材料:
(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;
(3)系统安全保护设施设计实施方案或者改建实施方案;
(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;
(6)信息系统安全保护等级专家评审意见;
(7)主管部门审核批准信息系统安全保护等级意见。
03丨专家评审与主管部门审核
定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果形成定级报告的合理性进行评审, 出具专家评审意见;
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
04丨备案材料提交及审核
1. 备案材料提交
公安机关网安部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当场或者在5日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的管安机关办理。
2. 备案材料审核
经审核符合等级保护要求的 ,公安机关应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档,出具由公安部统一监制的《信息系统安全等级保护备案证明》;对不符合等级保护要求的,公安机关网安部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
回顾定级工作大致时间线
1.行业/领域主管部门出具行业指导意见——依据的是行业介绍文档、《定级指南》;
2.等级保护对象分析——依据的是单位情况说明文档、等级保护对象的立项、建设和管理文档,行业/领域定级指导意见等;
3.定级对象确定——依据的是行业/领域定级指导意见,行业/领域定级工作部署文件,等级保护对象总体描述文件,《定级指南》等;
4.定级、审核和批准——依据的是行业/领域定级指导意见、等级保护对象总体描述文件、定级对象详细描述文件;
5.形成定级报告——依据的是定级对象详细描述文件、专家评审意见、定级结果。
以上定级工作流程,是一个理想化的定级工作开展参考,在各地开展定级工作中,自然会出现大同小异的地方,但不影响等级保护工作的整体推进。定级工作是落实等级保护制度的开始,而好的开始恰恰正是成功的一半!
业务介绍:
商务合作:16710818528(微信同号)
建筑资质链接
===========================