2007年公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布《关于开展全国重要信息系统安全等级保护定级工作的通知》。该通知为全国重要信息系统等级保护开展定级工作给出要求顶层设计。
定级范围:
1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
2.铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
3.市(地)级以上党政机关的重要网站和办公信息系统。
4.涉及国家秘密的信息系统。
如何确定定级对象?
1.具有唯一确定的安全责任单位。
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
2.具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
3.承载单一或相对独立的业务应用。
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
“网络安全等级保护”是指对网络和信息系统按照重要性等级分级别保护的网络安全保护制度,是国家网络安全保障的基本制度、基本策略、基本方法。等级保护,是网络安全等级保护工作的基本环节,其中包括定级、备案、建设整改、等级测评、监督检查五个阶段,需要用户准备材料,到当地公安网监递交备案。
网络安全定级备案工作主要流程
1.明确需要的对象
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
2.明确需要的对象定级等级
各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
3.评审与审批
初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见Zui后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
4.线上提交备案进行初测
备案单位线上进入等级保护备案预约平台,注册申请本单位账号,待公安审核,下发登录方式和账号密码。再依据登记保护测评要求开展等级保护测评工作及漏洞扫描、渗透测试等,即初测,出具差距分析报告及整改意见。
5.备案管理
公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。