開展等級保護工作共分五步���,等保定級備案是網(wǎng)絡運營者開展等級保護工作的基礎和關鍵��,而等保備案則是網(wǎng)絡運營者履行等級保護義務的直接體現(xiàn)�。
在日常工作中��,我們發(fā)現(xiàn)一些單位�����、部門對網(wǎng)絡系統(tǒng)定級�����、備案工作理解尚存在偏差��。當網(wǎng)絡系統(tǒng)遭受攻擊���,重要數(shù)據(jù)被竊取破壞造成重大損失后����,才求助于公安機關�。這樣一方面給公安機關立案偵查帶來不便,另一方面則導致網(wǎng)絡運營者因未履行安全管理義務而被追責��。
為了讓大家更好的掌握備案的知識和流程��,今天就把備案的相關內容和大家分享��,并就備案過程中的常見問題給予解答��。
01丨網(wǎng)絡安全等級保護備案的依據(jù)
《中華人民共和國計算機信息系統(tǒng)安全保護條例》
《信息安全等級保護管理辦法》(公通字[2007]43號)
《信息安全等級保護備案實施細則》(公信安[2007]1360號)
02丨備案材料準備
辦理信息系統(tǒng)等級保護備案手續(xù)時�,應當填寫《信息系統(tǒng)安全等級保護備案表》和《信息系統(tǒng)安全等級保護定級報告》,第三級以上信息系統(tǒng)應當同時提供以下材料:
(1)系統(tǒng)拓撲結構及說明;
(2)系統(tǒng)安全組織機構和管理制度;
(3)系統(tǒng)安全保護設施設計實施方案或者改建實施方案;
(4)系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明;
(5)測評后符合系統(tǒng)安全保護等級的技術檢測評估報告;
(6)信息系統(tǒng)安全保護等級專家評審意見;
(7)主管部門審核批準信息系統(tǒng)安全保護等級意見�����。
03丨專家評審與主管部門審核
定級對象的運營�、使用單位應組織信息安全專家和業(yè)務專家,對初步定級結果形成定級報告的合理性進行評審��, 出具專家評審意見;
信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的���,所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意����。
04丨備案材料提交及審核
1. 備案材料提交
公安機關網(wǎng)安部門收到備案單位提交的備案材料后����,對屬于本級公安機關受理范圍且備案材料齊全的��,應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》;備案材料不齊全的�����,應當場或者在5日內一次性告知其補正內容;對不屬于本級公安機關受理范圍的���,應當書面告知備案單位到有管轄權的管安機關辦理����。
2. 備案材料審核
經審核符合等級保護要求的
,公安機關應當自收到備案材料之日起的10個工作日內���,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》一份反饋備案單位����,一份存檔��,出具由公安部統(tǒng)一監(jiān)制的《信息系統(tǒng)安全等級保護備案證明》;對不符合等級保護要求的����,公安機關網(wǎng)安部門應當在10個工作日內通知備案單位進行整改,并出具《信息系統(tǒng)安全等級保護備案審核結果通知》���。
答疑解惑
01到底幾級需要專家評審?
專家評審需要準備哪些材料?
根據(jù)《信息安全技術 網(wǎng)絡安全等級保護定級指南》要求�����,第二級以上的等級保護對象�����,備案時要組織專家評審���,提供專家評審意見�����。
正常來說�����,專家評審需邀請業(yè)內三位專家(其中包含高級測評師)�����,在專家到來前應準備好信息系統(tǒng)定級報告及備案表紙質版各三份�,另外還需準備一份PPT�,介紹自己公司情況及系統(tǒng)情況。
02去公安機關備案到底需要提交什么材料?
除了上述《備案表》和《定級報告》必備材料外�����,一般還需要營業(yè)執(zhí)照副本復印件��、法人身份證����、法人授權書、信息安全承諾書����、單位辦公地證明等。當然每個地方或區(qū)域公安機關網(wǎng)安部門要求不同��,提交材料也會有差異�����。所以在備案前�����,建議還是先找到相關公安機關網(wǎng)安部門電話咨詢�����。
03進行信息系統(tǒng)定級備案的地點?
區(qū)縣——先將資料交到區(qū)縣網(wǎng)安大隊��,再由區(qū)縣網(wǎng)安大隊轉交地級市網(wǎng)安支隊進行備案
地級——各地級市的單位將定級資料交給各自地級市的網(wǎng)安支隊
省級——省級單位將資料交給省公安網(wǎng)安總隊
04云系統(tǒng)到哪里進行系統(tǒng)定級備案?
對于云狀態(tài)下的信息系統(tǒng)比較典型����,不管是云服務商還是云租戶方的信息系統(tǒng)都可能存在注冊經營地址和運維辦公地址不一致的情況�,對于這種情況而言為了方便對系統(tǒng)進行監(jiān)管�����,系統(tǒng)應當在系統(tǒng)實際運維辦公所在地市網(wǎng)安部門進行系統(tǒng)備案�����,在云計算環(huán)境中�,應將云服務方側的云計算平臺單獨作為定級對象定級備案,云租戶側的等級保護對象作為單獨的定級對象定級備案�。
開展等級保護工作共分五步,等保定級備案是網(wǎng)絡運營者開展等級保護工作的基礎和關鍵��,而等保備案則是網(wǎng)絡運營者履行等級保護義務的直接體現(xiàn)���。
在日常工作中����,我們發(fā)現(xiàn)一些單位��、部門對網(wǎng)絡系統(tǒng)定級����、備案工作理解尚存在偏差。當網(wǎng)絡系統(tǒng)遭受攻擊��,重要數(shù)據(jù)被竊取破壞造成重大損失后��,才求助于公安機關���。這樣一方面給公安機關立案偵查帶來不便�,另一方面則導致網(wǎng)絡運營者因未履行安全管理義務而被追責�。
為了讓大家更好的掌握備案的知識和流程,今天就把備案的相關內容和大家分享����,并就備案過程中的常見問題給予解答。
01丨網(wǎng)絡安全等級保護備案的依據(jù)
《中華人民共和國計算機信息系統(tǒng)安全保護條例》
《信息安全等級保護管理辦法》(公通字[2007]43號)
《信息安全等級保護備案實施細則》(公信安[2007]1360號)
02丨備案材料準備
辦理信息系統(tǒng)等級保護備案手續(xù)時�,應當填寫《信息系統(tǒng)安全等級保護備案表》和《信息系統(tǒng)安全等級保護定級報告》,第三級以上信息系統(tǒng)應當同時提供以下材料:
(1)系統(tǒng)拓撲結構及說明;
(2)系統(tǒng)安全組織機構和管理制度;
(3)系統(tǒng)安全保護設施設計實施方案或者改建實施方案;
(4)系統(tǒng)使用的信息安全產品清單及其認證����、銷售許可證明;
(5)測評后符合系統(tǒng)安全保護等級的技術檢測評估報告;
(6)信息系統(tǒng)安全保護等級專家評審意見;
(7)主管部門審核批準信息系統(tǒng)安全保護等級意見。
03丨專家評審與主管部門審核
定級對象的運營�����、使用單位應組織信息安全專家和業(yè)務專家��,對初步定級結果形成定級報告的合理性進行評審, 出具專家評審意見;
信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的�����,所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意�。
04丨備案材料提交及審核
1. 備案材料提交
公安機關網(wǎng)安部門收到備案單位提交的備案材料后,對屬于本級公安機關受理范圍且備案材料齊全的����,應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》;備案材料不齊全的,應當場或者在5日內一次性告知其補正內容;對不屬于本級公安機關受理范圍的���,應當書面告知備案單位到有管轄權的管安機關辦理�。
2. 備案材料審核
經審核符合等級保護要求的
��,公安機關應當自收到備案材料之日起的10個工作日內���,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》一份反饋備案單位����,一份存檔���,出具由公安部統(tǒng)一監(jiān)制的《信息系統(tǒng)安全等級保護備案證明》;對不符合等級保護要求的���,公安機關網(wǎng)安部門應當在10個工作日內通知備案單位進行整改,并出具《信息系統(tǒng)安全等級保護備案審核結果通知》���。
答疑解惑
01到底幾級需要專家評審?
專家評審需要準備哪些材料?
根據(jù)《信息安全技術 網(wǎng)絡安全等級保護定級指南》要求����,第二級以上的等級保護對象��,備案時要組織專家評審�,提供專家評審意見。
正常來說����,專家評審需邀請業(yè)內三位專家(其中包含高級測評師),在專家到來前應準備好信息系統(tǒng)定級報告及備案表紙質版各三份���,另外還需準備一份PPT����,介紹自己公司情況及系統(tǒng)情況�����。
02去公安機關備案到底需要提交什么材料?
除了上述《備案表》和《定級報告》必備材料外,一般還需要營業(yè)執(zhí)照副本復印件�、法人身份證、法人授權書�、信息安全承諾書、單位辦公地證明等��。當然每個地方或區(qū)域公安機關網(wǎng)安部門要求不同��,提交材料也會有差異����。所以在備案前,建議還是先找到相關公安機關網(wǎng)安部門電話咨詢���。
03進行信息系統(tǒng)定級備案的地點?
區(qū)縣——先將資料交到區(qū)縣網(wǎng)安大隊�����,再由區(qū)縣網(wǎng)安大隊轉交地級市網(wǎng)安支隊進行備案
地級——各地級市的單位將定級資料交給各自地級市的網(wǎng)安支隊
省級——省級單位將資料交給省公安網(wǎng)安總隊
04云系統(tǒng)到哪里進行系統(tǒng)定級備案?
對于云狀態(tài)下的信息系統(tǒng)比較典型�,不管是云服務商還是云租戶方的信息系統(tǒng)都可能存在注冊經營地址和運維辦公地址不一致的情況��,對于這種情況而言為了方便對系統(tǒng)進行監(jiān)管�����,系統(tǒng)應當在系統(tǒng)實際運維辦公所在地市網(wǎng)安部門進行系統(tǒng)備案,在云計算環(huán)境中��,應將云服務方側的云計算平臺單獨作為定級對象定級備案���,云租戶側的等級保護對象作為單獨的定級對象定級備案。
聲明:本文來自信息安全工程中心
信息安全國家工程研究中心����,版權歸作者所有。文章內容僅代表作者獨立觀點�,不代表安全內參立場,轉載目的在于傳遞更多信息��。如有侵權����,請聯(lián)系刪除。
等保測評咨詢
