開展等級保護工作共分五步�,等保定級備案是網絡運營者開展等級保護工作的基礎和關鍵,而等保備案則是網絡運營者履行等級保護義務的直接體現���。
在日常工作中��,我們發(fā)現一些單位����、部門對網絡系統(tǒng)定級、備案工作理解尚存在偏差�。當網絡系統(tǒng)遭受攻擊,重要數據被竊取破壞造成重大損失后����,才求助于公安機關��。這樣一方面給公安機關立案偵查帶來不便����,另一方面則導致網絡運營者因未履行安全管理義務而被追責��。
為了讓大家更好的掌握備案的知識和流程���,今天就把備案的相關內容和大家分享��,并就備案過程中的常見問題給予解答����。
01丨網絡安全等級保護備案的依據
《中華人民共和國計算機信息系統(tǒng)安全保護條例》
《信息安全等級保護管理辦法》(公通字[2007]43號)
《信息安全等級保護備案實施細則》(公信安[2007]1360號)
02丨備案材料準備
辦理信息系統(tǒng)等級保護備案手續(xù)時��,應當填寫《信息系統(tǒng)安全等級保護備案表》和《信息系統(tǒng)安全等級保護定級報告》��,第三級以上信息系統(tǒng)應當同時提供以下材料:
(1)系統(tǒng)拓撲結構及說明;
(2)系統(tǒng)安全組織機構和管理制度;
(3)系統(tǒng)安全保護設施設計實施方案或者改建實施方案;
(4)系統(tǒng)使用的信息安全產品清單及其認證���、銷售許可證明;
(5)測評后符合系統(tǒng)安全保護等級的技術檢測評估報告;
(6)信息系統(tǒng)安全保護等級專家評審意見;
(7)主管部門審核批準信息系統(tǒng)安全保護等級意見���。
03丨專家評審與主管部門審核
定級對象的運營�、使用單位應組織信息安全專家和業(yè)務專家���,對初步定級結果形成定級報告的合理性進行評審���, 出具專家評審意見;
信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的,所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意��。
04丨備案材料提交及審核
1. 備案材料提交
公安機關網安部門收到備案單位提交的備案材料后���,對屬于本級公安機關受理范圍且備案材料齊全的,應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》;備案材料不齊全的��,應當場或者在5日內一次性告知其補正內容;對不屬于本級公安機關受理范圍的��,應當書面告知備案單位到有管轄權的管安機關辦理�。
2. 備案材料審核
經審核符合等級保護要求的
,公安機關應當自收到備案材料之日起的10個工作日內�,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》一份反饋備案單位,一份存檔�����,出具由公安部統(tǒng)一監(jiān)制的《信息系統(tǒng)安全等級保護備案證明》;對不符合等級保護要求的,公安機關網安部門應當在10個工作日內通知備案單位進行整改����,并出具《信息系統(tǒng)安全等級保護備案審核結果通知》。
答疑解惑
01到底幾級需要專家評審?
專家評審需要準備哪些材料?
根據《信息安全技術 網絡安全等級保護定級指南》要求�,第二級以上的等級保護對象,備案時要組織專家評審��,提供專家評審意見�。
正常來說,專家評審需邀請業(yè)內三位專家(其中包含高級測評師)���,在專家到來前應準備好信息系統(tǒng)定級報告及備案表紙質版各三份�,另外還需準備一份PPT����,介紹自己公司情況及系統(tǒng)情況。
02去公安機關備案到底需要提交什么材料?
除了上述《備案表》和《定級報告》必備材料外�����,一般還需要營業(yè)執(zhí)照副本復印件�、法人身份證、法人授權書�����、信息安全承諾書、單位辦公地證明等��。當然每個地方或區(qū)域公安機關網安部門要求不同�����,提交材料也會有差異���。所以在備案前�,建議還是先找到相關公安機關網安部門電話咨詢���。
03進行信息系統(tǒng)定級備案的地點?
區(qū)縣——先將資料交到區(qū)縣網安大隊����,再由區(qū)縣網安大隊轉交地級市網安支隊進行備案
地級——各地級市的單位將定級資料交給各自地級市的網安支隊
省級——省級單位將資料交給省公安網安總隊
04云系統(tǒng)到哪里進行系統(tǒng)定級備案?
對于云狀態(tài)下的信息系統(tǒng)比較典型�,不管是云服務商還是云租戶方的信息系統(tǒng)都可能存在注冊經營地址和運維辦公地址不一致的情況����,對于這種情況而言為了方便對系統(tǒng)進行監(jiān)管,系統(tǒng)應當在系統(tǒng)實際運維辦公所在地市網安部門進行系統(tǒng)備案��,在云計算環(huán)境中,應將云服務方側的云計算平臺單獨作為定級對象定級備案�,云租戶側的等級保護對象作為單獨的定級對象定級備案。
開展等級保護工作共分五步�,等保定級備案是網絡運營者開展等級保護工作的基礎和關鍵,而等保備案則是網絡運營者履行等級保護義務的直接體現�。
在日常工作中,我們發(fā)現一些單位����、部門對網絡系統(tǒng)定級、備案工作理解尚存在偏差�。當網絡系統(tǒng)遭受攻擊,重要數據被竊取破壞造成重大損失后�����,才求助于公安機關���。這樣一方面給公安機關立案偵查帶來不便��,另一方面則導致網絡運營者因未履行安全管理義務而被追責����。
為了讓大家更好的掌握備案的知識和流程���,今天就把備案的相關內容和大家分享�,并就備案過程中的常見問題給予解答。
01丨網絡安全等級保護備案的依據
《中華人民共和國計算機信息系統(tǒng)安全保護條例》
《信息安全等級保護管理辦法》(公通字[2007]43號)
《信息安全等級保護備案實施細則》(公信安[2007]1360號)
02丨備案材料準備
辦理信息系統(tǒng)等級保護備案手續(xù)時�����,應當填寫《信息系統(tǒng)安全等級保護備案表》和《信息系統(tǒng)安全等級保護定級報告》�����,第三級以上信息系統(tǒng)應當同時提供以下材料:
(1)系統(tǒng)拓撲結構及說明;
(2)系統(tǒng)安全組織機構和管理制度;
(3)系統(tǒng)安全保護設施設計實施方案或者改建實施方案;
(4)系統(tǒng)使用的信息安全產品清單及其認證����、銷售許可證明;
(5)測評后符合系統(tǒng)安全保護等級的技術檢測評估報告;
(6)信息系統(tǒng)安全保護等級專家評審意見;
(7)主管部門審核批準信息系統(tǒng)安全保護等級意見。
03丨專家評審與主管部門審核
定級對象的運營��、使用單位應組織信息安全專家和業(yè)務專家��,對初步定級結果形成定級報告的合理性進行評審�, 出具專家評審意見;
信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的����,所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意。
04丨備案材料提交及審核
1. 備案材料提交
公安機關網安部門收到備案單位提交的備案材料后���,對屬于本級公安機關受理范圍且備案材料齊全的�,應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》;備案材料不齊全的,應當場或者在5日內一次性告知其補正內容;對不屬于本級公安機關受理范圍的�����,應當書面告知備案單位到有管轄權的管安機關辦理�����。
2. 備案材料審核
經審核符合等級保護要求的
�����,公安機關應當自收到備案材料之日起的10個工作日內�����,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》一份反饋備案單位����,一份存檔,出具由公安部統(tǒng)一監(jiān)制的《信息系統(tǒng)安全等級保護備案證明》;對不符合等級保護要求的���,公安機關網安部門應當在10個工作日內通知備案單位進行整改���,并出具《信息系統(tǒng)安全等級保護備案審核結果通知》���。
答疑解惑
01到底幾級需要專家評審?
專家評審需要準備哪些材料?
根據《信息安全技術 網絡安全等級保護定級指南》要求,第二級以上的等級保護對象����,備案時要組織專家評審,提供專家評審意見����。
正常來說,專家評審需邀請業(yè)內三位專家(其中包含高級測評師)�����,在專家到來前應準備好信息系統(tǒng)定級報告及備案表紙質版各三份�����,另外還需準備一份PPT���,介紹自己公司情況及系統(tǒng)情況���。
02去公安機關備案到底需要提交什么材料?
除了上述《備案表》和《定級報告》必備材料外,一般還需要營業(yè)執(zhí)照副本復印件�����、法人身份證��、法人授權書�、信息安全承諾書、單位辦公地證明等��。當然每個地方或區(qū)域公安機關網安部門要求不同��,提交材料也會有差異�。所以在備案前,建議還是先找到相關公安機關網安部門電話咨詢�。
03進行信息系統(tǒng)定級備案的地點?
區(qū)縣——先將資料交到區(qū)縣網安大隊,再由區(qū)縣網安大隊轉交地級市網安支隊進行備案
地級——各地級市的單位將定級資料交給各自地級市的網安支隊
省級——省級單位將資料交給省公安網安總隊
04云系統(tǒng)到哪里進行系統(tǒng)定級備案?
對于云狀態(tài)下的信息系統(tǒng)比較典型�����,不管是云服務商還是云租戶方的信息系統(tǒng)都可能存在注冊經營地址和運維辦公地址不一致的情況�,對于這種情況而言為了方便對系統(tǒng)進行監(jiān)管,系統(tǒng)應當在系統(tǒng)實際運維辦公所在地市網安部門進行系統(tǒng)備案��,在云計算環(huán)境中����,應將云服務方側的云計算平臺單獨作為定級對象定級備案��,云租戶側的等級保護對象作為單獨的定級對象定級備案��。
聲明:本文來自信息安全工程中心
信息安全國家工程研究中心�,版權歸作者所有�。文章內容僅代表作者獨立觀點,不代表安全內參立場�,轉載目的在于傳遞更多信息。如有侵權��,請聯系刪除�。
等保測評咨詢
