网站等级保护定级备案流程
2021-01-06 16:43
网站等级保护包括定级、备案、测评、整改、监督检查等几个流程,而定级作为网站等级保护的第一步,虽然基础,其重要性却不容忽视。毕竟,如果定级不准确,申办单位可能会面临两种情况:第一,公安机关审核不通过,打回重新定级,浪费时间;第二,定级太高,导致测评的项目更多,测评费用也更贵。
网站等级保护合理定级,企业需要这样做:
首先,企业需要对等级保护五个级别有所了解。信息系统安全保护级别一共有五个,从一到五逐渐升高,每一个级别的介绍如下:
1.第一级,自主保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
2.第二级,指导保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
3.第三级,监督保护级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
4.第四级,强制保护级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
5.第五级,专控保护级:信息系统受到破坏后,会对国家安全造成特别严重损害。一般适用于国家重要领域、重要部门中的极端重要系统。
大部分网站都属于第二级或者第三级,申办单位按要求进行定级备案即可。
其次,企业需要遵循定级流程来进行定级。等保2.0时代,定级流程是这样的:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
1.确定定级对象:作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源。只要具备这三个特征,企业就应该将其作为定级对象。
2.初步确定等级:这一步由企业来做,企业可参考定级指南。
3.专家评审:指定级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。
4.主管部门审核:指定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。
5.公安机关备案审查:指定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。
需要特别注意的是,就公安机关备案审查这一步,企业需要提交相应的材料,备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:① 信息系统安全定级报告纸质材料,一式两份;② 信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
最后,公安机关不对备案收取任何费用,也就是说如果企业自己准备备案的话,不需要任何费用。但如果企业初次做等保,或者想省心一点,请第三方机构代办备案的话,就需要支付一定的服务费。