信息安全等級保護定級及備案流程
信息安全等級保護是我國信息安全保障的一項基本制度,是國家通過制定統一的信息安全等級保護管理規範和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。
參考規章制度
◆ 《信息安全等級保護管理辦法》公通字[2007]43號http://www.djbh.net/webdev/file/webFiles/File/zcbz/201226163721.pdf
◆ 《信息安全技術 信息系統安全等級保護定級指南》GB/T 22240—2008http://www.djbh.net/webdev/file/webFiles/File/jsbz/2012323103010.pdf
◆ 《信息安全等級保護備案實施細則》公信安[2007]1360號http://www.djbh.net/webdev/file/webFiles/File/djba/201221595343.pdf
定級流程
《信息安全等級保護管理辦法》第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
第三章 等級保護的實施與管理 第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審覈批準。
跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。
對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
確定定級對象
各行業主管部門、運營使用單位要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分佈、業務類型、應用或服務範圍、系統結構等基本情況,按照 《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。
《信息安全技術 信息系統安全等級保護定級指南》
5.2 確定定級對象 一個單位內運行的信息系統可能比較龐大,為了體現重要部分重點保護,有效控制信息安全建設成本,優化信息安全資源配置的等級保護原則,可將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。 作為定級對象的信息系統應具有如下基本特徵:
a) 具有唯一確定的安全責任單位。作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任,則這個下級單位可以成為信息系統的安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。
b) 具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如伺服器、終端、網路設備等作為定級對象。
c) 承載單一或相對獨立的業務應用。定級對象承載「單一」的業務應用是指該業務應用的業務流程獨立,且與其他業務應用沒有數據交換,且獨享所有信息處理設備。定級對象承載「相對獨立」的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有少量的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網路傳輸設備。
確定信息系統級別
各信息系統主管部門和運營使用單位要按照《管理辦法》和《定級指南》,初步確定定級對象的安全保護等級。
確定系統服務等級
系統服務安全是指確保信息系統可以及時、有效地提供服務,以完成預定的業務目標。系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域範圍、用戶人數或業務量等不同方面確定。
個人理解,一旦信息系統的服務內容可被其他系統或手工替代,系統服務等級可稍微降級計算。
確定業務信息等級
業務信息安全是指確保信息系統內信息的保密性、完整性和可用性等。業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。
確定信息系統級別
SAG的級別,其中S為業務信息等級,A為系統服務等級,G取兩者中大的。
專家評審與審批
《信息安全等級保護管理辦法》
第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審覈批準。跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
初步確定信息系統安全保護等級後,可以聘請專家進行評審。信息系統運營使用單位有上級行業主管部門的,所確定的信息系統安全保護等級應當報上級行業主管部門審批同意。
專家評審
《信息安全等級保護管理辦法》
第十條 對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
《信息安全等級保護備案實施細則》
第十二條 公安機關公共信息網路安全監察部門對定級不準的備案單位,在通知整改的同時,應當建議備案單位組織專家 進行重新定級評審,並報上級主管部門審批。 備案單位仍然堅持原定等級的,公安機關公共信息網路安全監察部門可以受理其備案,但應當書面告知其承擔由此引發的責任和後果,經上級公安機關公共信息網路安全監察部門同意後, 同時通報備案單位上級主管部門。
主管單位審批
沒有主管單位的,或者感覺系統就是自己用不需要主管單位批准的完全可以省略這一步。目前大部分的主管單位其實不想摻合各下屬單位定級備案,怕負責任吧。
完善定級備案材料
主要是定級保護和備案表, 《信息安全等級保護管理辦法》 第十六條 辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
◆ 系統拓撲結構及說明;
◆ 系統安全組織機構和管理制度;
◆ 系統安全保護設施設計實施方案或者改建實施方案;
◆ 系統使用的信息安全產品清單及其認證、銷售許可證明;
◆ 測評後符合系統安全保護等級的技術檢測評估報告;
◆ 信息系統安全保護等級專家評審意見;
◆ 主管部門審覈批準信息系統安全保護等級的意見。
備案流程
《信息安全等級保護管理辦法》 第十五條 已運營(運行)或新建的第二級以上信息系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
《信息安全等級保護備案實施細則》
第六條 信息系統運營、使用單位或者其主管部門(以下簡 稱「備案單位」)應當在信息系統安全保護等級確定後30日內,到公 安機關公共信息網路安全監察部門辦理備案手續。辦理備案手續 時,應當首先到公安機關指定的網址下載並填寫備案表,準備好 備案文件,然後到指定的地點備案。
第七條 備案時應當提交《信息系統安全等級保護備案表》 (以下簡稱《備案表》)(一式兩份)及其電子文檔。第二級以上 信息系統備案時需提交《備案表》中的表一、二、三;第三級以 上信息系統還應當在系統整改、測評完成後30日內提交《備案表》 表四及其有關材料。
第八條 公安機關公共信息網路安全監察部門收到備案單位 提交的備案材料後,對屬於本級公安機關受理範圍且備案材料齊 全的,應當向備案單位出具《信息系統安全等級保護備案材料接 收回執》;備案材料不齊全的,應噹噹場或者在五日內一次性告知 其補正內容;對不屬於本級公安機關受理範圍的,應當書面告知 備案單位到有管轄權的公安機關辦理。
確定並聯絡所屬公安機關
《信息安全等級保護備案實施細則》
第三條 地市級以上公安機關公共信息網路安全監察部門受 理本轄區內備案單位的備案。隸屬於省級的備案單位,其跨地(市) 聯網運行的信息系統,由省級公安機關公共信息網路安全監察部 門受理備案。
第四條 隸屬於中央的在京單位,其跨省或者全國統一聯網 運行並由主管部門統一定級的信息系統,由公安部公共信息網路 安全監察局受理備案,其他信息系統由北京市公安局公共信息網 絡安全監察部門受理備案。
隸屬於中央的非在京單位的信息系統,由當地省級公安機關 公共信息網路安全監察部門(或其指定的地市級公安機關公共信 息網路安全監察部門)受理備案。
跨省或者全國統一聯網運行並由主管部門統一定級的信息系 統在各地運行、應用的分支系統(包括由上級主管部門定級,在 當地有應用的信息系統),由所在地地市級以上公安機關公共信息網路安全監察部門受理備案。
確定備案材料
《信息安全等級保護管理辦法》
第十六條 辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評後符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審覈批準信息系統安全保護等級的意見。
到屬地公安機關備案
《信息安全等級保護管理辦法》
第十七條 信息系統備案後,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明;發現不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發現定級不準的,應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統等級後,應當按照本辦法向公安機關重新備案。
注意幾點
到底幾級需要專家評審?
按《信息安全等級保護管理辦法》第十條 對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。 按《信息安全等級保護管理辦法》 第十六條 第三級以上信息系統備案時應提供信息系統安全保護等級專家評審意見。
所以,如果你們一次備案的系統都是二級的系統,那麼可以不用專家評審,如果裡麪包含三級及以上系統,那麼還是要專家評審的。請一次專家好幾百,建議讓專家把二級、三級的系統都評審了。
專家評審時準備什麼材料?
規範一點的專家評審,評審時需要給專家看寫好的各系統定級保護、備案表,同時請信息部門或業務部門對每個系統進行介紹及說明定級思路。由專家一個系統一個系統或一批系統一批系統的給出建議。建議包括級別準不準,報告和備案表寫的對不對,好不好。
不規範的,就給專家一個定級意向(就是定級報告的後半部分),專家就判斷定級準不準就行。但專家是要給予系統介紹來判斷定級準不準的,所有系統介紹還是要有。
專家在現場還是會問一個系統的信息數據的敏感性,使用範圍等,因此有必要請業務部門參會。
去公安備案到底要拿什麼材料?
除了定級保護和備案表,你還有證明你是你。即企業法人證明或營業執照副本複印件、辦理人身份證複印件、企業委託辦理人辦理備案事項的委託書,部分公安機關還要一個企業的信息安全承諾書。
所以去備案前到相關公安機關網站找到對應辦事點的電話,先打電話問一下。
定三級還是二級?
按《信息安全等級保護管理辦法》第十四條 信息系統建設完成後,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。
信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查,第四級信息系統應當每半年至少進行一次自查,第五級信息系統應當依據特殊安全需求進行自查。經測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
所以三級系統需要每年有一次第三方測評報告和內部自查報告。目前公安部讓企事業單位上報關鍵信息基礎設施也是原則上要等保三級的,以後三級系統的相關監督檢查會更嚴格。
但是定級還是要根據定級指南的。以上只是說說。
推薦閱讀: