等级保护的五个规定动作分别是定级、备案、建设整改、安全测评、监督检查,定级与备案属于等级保护前两个动作,定级过程中又涉及到评审,所以再分则可以理解第一个大阶段包含定级、评审与备案三个工作项。如下图,最上一层所示。
等级保护遵循“三同步”原则,现在《网络安全法》规定的“三同步”为“同步规划、同步建设、同步使用”,基本上在规划之初就应该考虑等级保护工作如何开展,也就是等级保护工作与规划同步开展。
今天我们结合《网络安全等级保护实施指南》探讨一下等级保护定级与备案阶段工作流程。
依据上图,我们将定级与备案工作分成四个阶段。
需要输入的包括行业介绍文档、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(以下简称“《定级指南》”,主要过程是行业/领域定级工作,最终需要输出包括行业/领域的业务总体描述文件、行业/领域定级指导意见、行业/领域定级工作部署文件。在这个阶段,从输入来看基本上是网络所有者、运营者所在的行业主管部门根据自己所处行业和领域特点结合《定级指南》出具行业性定级指导性文件。
这个阶段涉及的子活动有识别、分析行业/领域重要性,识别行业/领域的主要业务,定级指导,定级工作部署等,这些子活动基本上以行业主管部门负责。
这个阶段的工作主要是行业主管部门和安全服务机构共同完成。
作为网络网络运营、使用单位则需要了解有哪些关于等级保护定级的行业/领域性文件。作为测评机构测评师,大多都会关注这块工作,网络运营、使用单位可以咨询测评机构或与测评机构一起努力查找相关文件。
第二阶段:
到第二阶段,进入等级保护对象分析,需要输入上阶段输出的行业/领域定级指导意见、定级部署文件等,结合网络网络运营、使用单位自身单位情况说明的文档、等级保护对象的立项、建设和管理文档再加上《定级指南》,经过等级保护对象分析输出等级保护对象总体描述文件、等级保护对象详细描述文件。
这个阶段的工作是网络网络运营、使用单位与网络安全服务机构来完成。
这个阶段涉及识别、分析行业/领域重要性、主要业务、定级指导、定级工作部署等。
第三阶段:
到第三个阶段结合行业/领域定级指导意见、等级保护对象总体描述文件、等级保护对象详细描述文件完成安全保护等级确定,在这个阶段输出主管部门审核意见、等级保护对象安全保等级定级报告。
这个阶段的工作是网络网络运营、使用单位与网络安全服务机构来完成。
这个阶段涉及对象重要性分析,其子活动有识别单位的基本信息,识别单位的等级保护对象基本信息,识别等级保护对象的管理框架,识别等级保护对象的网络及设备部署,识别等级保护对象的业务特性,识别等级保护对象处理的信息资产,识别用户范围和用户类型,等级保护对象描述。其中等级保护对象的描述应该包含但不限于等级保护对象概述、重要性分析、边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理信息资产、用户的范围和用户类型、管理框架等。
定级对象确定子活动包括划分方法的选择、等级保护对象划分、定级对象详细描述。一个描述准确的大型等级保护对象中应包含且不限于相对独立的定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型。
第四阶段:
最后是第四个阶段需要输入上个阶段输出的定级报告以及主管部门审核意见、等级保护对象安全总体方案、安全详细设计方案、安全等测评报告,去公安机关进行定级结果备案,输出备案材料和备案证明。
这个阶段的工作是网络网络运营、使用单位、行业主管部门与网络安全服务机构来共同完成。
这个阶段涉及的子活动有定级对象安全保护等级初步确定、定级结果评审、定级结果评审、批准。形成定级报告应包含但不限于单位信息化现状概述、管理模式、定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用、定级对象列表、安全保护等级以及保护要求组合等。
定级结果备案需要对备案材料进行整理,填写备案表等材料,备案材料提交以及后期补充测评报告等工作。公安机关接收备案材料初级备案证明。这样,等级保护定级与备案工作算是完结,接着将进入建设阶段,下篇再一起探讨。
等级保护不同阶段参与方是不同的,但是作为网络运营、使用单位是自始至终都要参与进来的,而公安监督检查也是贯穿始终的。只是监管角度和方式不同而已,对网络安全服务机构有依法对安全服务机构的管理要求,对行业主管部门有依法对行业主管部门的管理要求,对网络运营、使用单位有依法对网络运营、使用单位的手段。而只有各司其职,各尽其责按照相关国家法律法规及标准去建设网络,才能做到最佳的合规。
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019