信息系统如何确定自身等级?高低如何判定?

发布时间:2023-12-27 09:19:20 阅读:1887

众所周知,等级保护是我国信息安全保障的基本制度、基本策略和基本方法。

我们提到定级保护的流程,网络安全等级保护测评必须经过定级、备案、建设整改、等级测评、监督检查的步骤。

定级,作为等级保护的首要环节,是做好等级保护的第一步。那么,网络安全保护等级到底怎么定?

越高越好VS低点没事儿,都!不!对!

根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。

怎么确定网络安全保护等级?

安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。

一、备案流程

运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的,应当重新定级、重新备案。对于重新定级的,公安机关一般会建议备案单位组织专家进行重新定级评审,并报上级主管部门审批

二、备案管辖

(一)管辖原则。

备案管辖分工采取级别管辖和属地管辖相结合。

(二)中央在京单位。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。

(三)中央驻粤及省直国有单位。

隶属中央或省的驻穗国有单位的信息系统,由省公安厅网警总队受理备案。

上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。

(四)其他单位。

其他单位的信息系统由所在地地级以上市公安机关网监部门备案。

网络安全等级测评

一、测评程序

计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料:

(一)安全测评委托书;

(二)计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。

安全测评机构在收到委托材料后,应当与委托方协商制订安全测评计划,开展安全测评工作,并出具安全测评报告。

经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,委托单位应当根据测评报告的建议,完善计算机信息系统安全建设,并重新提出安全测评委托。

二、测评监督

测评机构对计算机信息系统进行使用前安全测评,应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

三、日常测评

计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:

(一)变更关键部件;

(二)安全测评时间满一年;

(三)发生危害计算机信系统安全的案件或安全事故;

(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;

(五)其他应当进行安全自查和安全测评的情形。

第三级计算机信息系统应当每年至少进行一次安全自查和安全测评,第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评,第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。

自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

四、测评争议解决

申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。公安机关公共信息网络安全监察部门应当在收到申诉材料后30个工作日内进行核查,作出异议处理决定。

系统安全建设

运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。

返回顶部
意见反馈
意见内容
您的姓名
您的电话
验证码