一、系统定级
请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、等保2.0定级备案流程:
确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作
甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考
《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章 定级原理及流程。(附件1)
4、等级保护对象的安全保护等级分为以下五级
a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
解 读
县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;
● 省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
现在一些地区区县虽然行政是区县,但是实际经济总量和人口已经远远大于中西部一些地级市,所以我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死搬硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统就得定到三级。定级不合理,将来不小心出了事情都是自己的事情,没必要把这样的风险全抗在自己肩膀上。另外补充一点如果行业有要求就按照行业要求来,这样办事省心省力。总结成一句话就是:信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。当然涉及到国家安全的特别是全国性的系统要定四级。
5、定级范围
包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
解 读
⑴ 对于电信网、广播电视传输网、互联网等基础信息网络。应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。
⑵ 对于工业控制系统。应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。
⑶ 对于云计算平台。则应区分为服务提供方与租户方,各自分别作为定级对象。
⑷ 对于物联网。虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。
⑸ 采用移动互联技术的网络与物联网类似。应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。
⑹ 对于大数据。除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定,相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。大数据安全保护等级不低于第三级。此外,若上述平台被确定为关键信息基础设施的,原则上其安全保护等级应不低于第三级。
6、以上信息确定好
根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。(附件2、3)
7、定级备案表和定级报告编写完成
下一步进行专家评审工作,专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,专家现场会根据甲方负责人对公司及信息系统的介绍,提出定级是否合理相关建议并形成专家评审意见表;
专家评审流程:根据要求确定专家评审名单、编辑专家评审会议程(附件4)、专家签到表(附件5)、信息系统定级专家评审意见表(附件6)、被定级单位及信息系统介绍PPT(附件7)。
专家评审现场工作流程:专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅,甲方信息安全负责人宣布会议开始,由甲方负责人介绍公司及信息系统实际情况,专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议,专家提出建议形成专家评审意见表,现场打印由专家签字,专家评审工作完成。
二.备案需要提交的材料
● 提交网安大队纸质版:按照纸质版文件夹内材料进行准备,提交时备案材料按照第三步提交网安大队纸质版文件夹内序号排列。
● 电子版压缩包要求:以“单位全称-系统名称”命名压缩包,将以下文件放入压缩包内,提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求,分辨率300dpi---jpg格式。
纸质版:
1. 信息系统安全等级保护备案表一式两份(封面单位名称处盖章)。应填写完整、无漏项,不得改动备案表版面格式。机打,不可手写,单面打印。
2. 信息系统安全等级保护定级报告一式两份(定级表格处盖章)。机打,单面打印。
3. 信息安全承诺书签字盖章。法人亲笔签字
4. 相关证件复印件各一份:工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、法人代表身份证、组织机构代码证(如三证合一,省略)。
5. 法人授权书(被授权人需携带本人身份证原件及复印近)。
6. 实际办公地的房产证或租房合同复印件。
7.主机托管合同或云主机租用合同的复印件。
8. 企业内部信息安全部门、技术部门组织架构人员登记信息表,左上角盖章(表格中确定两位24小时应急处置网络安全事件联系人)。
9.从事互联网金融的企业(如网贷P2P平台、证券交易系统等),备案时需提交纸质版《信息安全等级保护备案证明使用承诺书》法人亲笔签字,加盖单位公章。其他行业无需提交。
电子版压缩包要求:
以“单位全称-系统名称”命名压缩包,将以下文件放入压缩包内,提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求,分辨率300dpi---jpg格式。
1.备案表、定级报告和信息安全承诺书盖章扫描件
2.备案表和定级报告word版
3.XX单位XX系统-专家评审意见(原件扫描件)
4.(三级系统备案时需提交)《XX单位-信息安全工作管理制度》(word版,盖章扫面件均可)
5.(三级系统备案时需提交)XX单位系统使用的安全产品清单及认证、销售许可证明(盖章扫描件)
6.(三级系统备案时需提交)单位拓扑图及说明(盖章扫描件)
7.三级系统需提交备案表表四全部内容
8.信息安全部、技术部组织架构人员登记信息表,可编辑版
9.工商营业执照副本原件扫描件(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、组织机构代码证原件扫描件(如三、五证合一,省略)
10.法人代表身份证原件扫描件
11.备案表表一中单位负责人身份证原件扫描件
12.从事经营性公众互联网行业及有交易投资活动的信息系统的企业需要提交
三.现场备案人员要求
备案办理人员需为单位法人授权的被授权人;被授权人需携带本人身份证原件、营业执照副本原件、法人授权书原件到现场备案;被授权人,应为单位网络安全分管领导(如主管副总裁或技术部门负责人),应了解信息系统整体情况,参与日常信息系统安全运维。
四、工作提示
三级系统备案,自备案证明领取之日起,30日内提交测评报告,整改实施方案可在系统测评完成后同测评报告一同提交网安部门,并每年开展一次信息系统安全等级保护测评。