了解最新等保资讯及等保政策
《网络安全法》 明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。安徽等级保护建设流程为:定级、备案、安全建设、等级测评、监督检查。
下面,等级保护标准制定的参与者,将结合等保2.0三大核心标准: 《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》以及《GBT 22240-2020信息安全技术网络安全等级保护定级指南》,为安徽各企事业单位提供信息安全等级保护办理指南,最快情况下,30天内就可拿证。
一、安徽企业如何进行等级保护定级?
1、等保定级流程
等保定级工作依照以下流程开展:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
①专家评审指定级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。
②主管部门审核指定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。
③公安机关备案审查指定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。
2、信息系统级别怎么确定?
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。信息系统级别不能由企业想当然的决定。
3、定级对象如何确定?
可参考以下内容确定定级对象:
①起到支撑和传输作用的基础信息网络是需要定级对象。
②包括网管系统的网络系统(专网、内网、外网等)都要作为定级对象。
③各单位网站要作为独立的定级对象。不过安全级别较高的网站后台的数据库管理系统,需要作为独立的定级对象。
④不同业务类别的应用系统需要分别作为独立的定级对象,不能以系统是否有数据交换或独享设备作为确定标准。
⑤确认组织需要定级的系统有专门的业务主管,以便运维部门(例如信息中心、托管方)可以协助该组织的业务门开展后续等保工作。
⑥具备信息系统的基本要素,避免将服务器、终端、网络设备等单一的系统组件作为定级对象。
4、信息系统级别的确定与审批
如果运行的信息系统是跨省或者全国统一联网的,可由主管部门统一确定保护等级。其中两点需要注意:
①全国联网系统的保护策略是由各行业统一规划、统一建设的,需要分别让行业的主管部门确定等级。
②信息系统是全国联网由各行业统一规划、分级建设的,应该由部、省、地市分别对系统等级进行确定,各行业的主管部门只对系统提出定级意见,但不应出现同类系统下级定级高于上级的情况。
③如果出现部、省、市行政级别的降低的情况,同类信息系统的安全保护等级不能降低。
5、谁对定级负责任?
企业(运营使用单位)和主管部门需要配合信息安全监管部门做好信息系统的安全工作,一旦发生安全问题,这三方都是需要承担责任的,不过企业和主管部门需要负主要责任。“谁主管谁负责、谁运维谁负责、谁使用谁负责”。
二、广州市企业如何进行等级保护备案?
根据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求(送审稿)》等规定,已运营的二级以上信息系统应当在安全保护等级确定后10日内,新建第二级以上信息系统应当在投入运行后10日内,由其运营、使用单位到所在地公安机关办理备案手续。
企业最终确定信息系统安全保护等级之后,就可以准备对应材料到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:① 信息系统安全定级报告纸质材料,一式两份;② 信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
此外,企业有多个网络系统的,可以集中一次办理等级定级备案,备案长期有效,无需每年办理公安等保定级备案。但是,如果企业的网络系统发生变更或者定级变更的,应当办理变更手续或者重新办理备案。
三、安徽企业如何进行等级保护安全建设(整改)?
等级保护安全建设即等级保护整改,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改(比如设备缺失)和管理层面整改(比如安全管理人员建设)。企业可以自己进行整改,也可以委托专业的第三方进行整改。我们为安徽企业提供专业的等保整改服务,能根据企业实际情况定制方案,尽可能为企业省钱。
四、安徽企业如何进行等级保护测评?
根据等保2.0规定,二级及以上的信息系统必须进行等级测评,且等级测评得分在70分以上、系统没有高风险项才算通过。测评和整改不同,进行测评的单位需要具备测评资质。也因此,企业需要寻找专业的测评机构来进行测评。安徽企事业单位可以参考国家网络安全等级保护工作协调小组办公室推荐测评机构名单来进行选择。
测评机构测评结束之后,会根据公安机关提供的模板出具测评报告,测评报告上面就有测评得分。测评报告主要涉及内容有:①物理安全测评;②网络安全测评、数据安全测评;③主机安全测评、数据安全测评;④应用安全测评、数据安全测评;⑤安全管理测评。主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员等。测评报告也需要提交公安机关。
最后,企业通过等级测评之后,还要接受公安机关不定期的监督检查。
上一篇:网络安全六忌讳你中招了吗
下一篇:安徽信息安全等级保护备案测评代办