信息安全等级保护定级备案流程
作者:企业百科
发表日期:2021-01-07
来源:企业百科
信息安全级别保护是一项网络安全义务,需要按照《网络安全法》的规定履行。根据信息系统等级保护的相关标准,等级保护工作分为五个阶段,即:
第一,定级。信息系统运营使用单位应当根据等级保护管理办法和分级指南,自主确定信息系统的安全保护等级。有上级主管部门的,须经上级主管部门批准。跨省或全国统一网络运行的信息系统可由主管部门确定安全防护等级。
虽然是自行评分,但必须根据系统的实际情况进行评分。如有行业指导文件,按指导文件执行,如无文件,按评分指南执行。总之,分级是合理的,哪个级别就是哪个级别,不要把高定低了。
第二,备案。二级以上信息系统分级单位到所在地市级以上公安机关办理办理备案手续。省属单位去省公安厅网安总队备案,各地市单位一般直接去市级网安支队备案,部分市市区县单位的定级备案材料先报区县公安大队,具体按各地市要求。归档时,将定级材料带到网安部门,通常是两份纸质文件和一份电子文件,纸质首页加盖单位公章。
第三,系统安全建设。信息系统安全防护等级确定后,运营使用单位应当选择管理措施要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,按照管理规范和技术标准制定和实施安全管理制度。
第四,等级评价。信息系统建设完成后,运营使用单位应当选择符合管理办法要求的检测机构,对信息系统的安全等级进行等级评估。评价完成后,应根据发现的安全问题,特别是高的危险风险,及时进行整改。评价结论分为:不符合、基本符合和符合。当然也不可能达到基本要求。是一种理想状态。
第五,监督检查。公安机关应当按照信息安全等级保护管理标准和《网络安全法》的有关规定,对运营使用单位开展等级保护工作进行监督检查,并对信息系统进行定期安全检查。经营单位应当接受公安机关的安全监督、检查和指导,并如实向公安机关提供相关材料。
原则上由使用单位填写分级备案表,提交公安部门备案。然而,考虑到实际情况,在大多数情况下,用户单元在评估机构的协助下完成这些任务。系统安全建设和等级评定工作不必严格按此顺序进行。可以先评估再整改,也可以先建再评估。具体还是根据自己的实际情况来做。
注意:选择一个强大的评价机构非常重要,评价的好坏关系到单位信息系统后期整改的内容。发现许多问题并提前整改,可以有效降低被攻击的风险,提高高信息安全防护能力所以,等级保护工作是以上的全过程,而不仅仅是评估工作。评价的目的是发现问题。更重要的是,我们将在发现问题后不断解决问题,履行我们的网络安全义务,完善我们的信息安全建设工作,确保系统的正常服务和数据的安全。最近违反《网络安全法》的案件这么多,一定要重视等级保护工作,重视网络安全,以合法合规的方式及时开展相关工作。
根据与等级保护相关的管理文件,信息系统的安全保护等级分为以下五个等级:
第一,信息系统受损,会损害公民、法人和其他组织的合法权益,但不会损害国家安全、社会秩序和公共利益。
二是信息系统受损,会严重损害公民、法人和其他组织的合法权益,或者损害社会秩序和公共利益,但不会损害国家安全的第三层次。
第四,如果信息系统遭到破坏,将对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。
第五,如果信息系统遭到破坏,将对国家安全造成特别严重的损害。
等级保护分级和归档流程:
步骤一:确定分级对象
各行业主管部门和运营使用单位应组织对其信息系统进行深入调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本信息。并根据《信息安全等级保护管理办法》(以下简称《管理办法》)和《信息系统安全等级保护定级指南》(以下简称《定级指南》)的要求确定评分对象。
步骤二:初步确定安全防护等级
各信息系统主管部门和运营单位应根据《管理办法》和《定级指南》初步确定分级对象的安全防护等级。
步骤三:专家审查和批准
初步确定信息系统安全防护等级后,可以聘请专家进行评审。信息系统运营使用单位有上级行业部门的,确定的信息系统安全防护等级应当报上级行业部门审批。
步骤四:备案
根据《管理办法》,信息系统安全防护等级在二级以上的信息系统运营使用单位或主管部门,应在安全防护等级确定后30日内到当地公安机关办理办理备案手续。新建二级以上信息系统应当在投入运行后30日内,由运行使用单位向当地公安机关办理部门备案。
收藏
取消收藏
152-7180-5527