教育行业网络安全等级保护定级备案要求,定级备案要多长时间?
2020-06-19 17:41
网络安全等级保护工作一般包括:定级备案、差距分析、整改设计、整改实施、等级测评、安全运营六个阶段,定级备案是信息系统网络安全等级保护工作的第一个阶段,单纯的定级备案工作所需要花费的时间并不多,快的话十来天就可以完成。在等级保护工作整个流程中,最花时间的是测评和整改。
那教育行业的网络安全等级保护定级备案有什么要求呢?定级备案的流程是?等保备案需要提交什么材料?
一、等保定级依据
《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)
《信息系统安全等级保护定级指南》(GB/T 22240-2008)
《信息系统安全等级保护实施指南》(GB/T 25058-2010)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《信息安全等级保护管理办法》(公通字〔2007〕43号)
《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)
《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技[2015]2号)
二、定级原理说明:如何确定系统属于哪一个级别?
信息系统(网站)的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1、受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
①公民、法人和其他组织的合法权益;
②社会秩序、公共利益;
③国家安全。
2、对客体的侵害程度
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
①造成一般损害;
②造成严重损害;
③造成特别严重损害。
定级要素与信息系统(网站)安全保护等级的关系如下图所示:
三、教育行业信息系统的定级工作流程
教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》和《教育行业信息系统安全等级保护定级工作指南(试行)》组织开展信息系统(网站)定级工作。
1、确定定级责任主体
信息系统(网站)应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统(网站)的主管部门为定级工作的责任主体,负责组织开展信息系统(网站)定级工作。
2、自主定级
信息系统(网站)主管部门对本部门信息系统进行梳理分析,进行自主定级,确定信息系统(网站)安全保护等级。对于承载复杂业务的信息系统(网站),安全保护等级可高于一般等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。
信息系统范围及对应等级,参照《教育行业信息系统安全等级保护定级工作指南(试行)》(附件1)和《信息系统定级与备案工作介绍》(附件2)相关内容,除单机版软件外,建议一般信息系统定级为“二级”。
3、定级的一般流程
信息系统(网站)安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统(网站)定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级,从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
①确定作为定级对象的信息系统;
②确定业务信息安全受到破坏时所侵害的客体;
③根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
④依据定级要素与信息系统(网站)安全保护等级的关系图表,得到业务信息安全保护等级;
⑤确定系统服务安全受到破坏时所侵害的客体;
⑥根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
⑦依据定级要素与信息系统(网站)安全保护等级的关系图表,得到系统服务安全保护等级;
⑧将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
四、教育行业信息系统的备案
教育行业的信息系统定级完成之后,需要在30日之内准备相关材料并向公安机关申请备案。申请备案的材料一般包括:《信息系统(网站)安全等级保护定级报告》、《信息系统(网站)安全等级保护定级备案表》、《网站基础信息调查表》等。
关于备案材料的提交,教育行业的主管单位或者负责人需要先将相关材料电子版提交信息化处进行初审;初审通过后,由信息化处向当地公安局网警支队提交资料;信息系统备案成功后,取得的信息系统安全保护等级备案证明原件由信息化处统一保管,并向备案单位提供扫描件。
通过审核并取得信息系统安全保护等级备案证明后,教育行业信息系统的负责人或者主管单位就可以组织开展下一步的等级保护工作。