• 所有问题

    • 信息系统安全等级保护定级工作是一项什么样的工作?需要做哪些工作?

    如题,谢谢!

    举报该问题
    推荐答案   2020-09-01

    你好,我国实行网络安全等级保护制度,网络运营单位都要按要求落实等级保护工作。什么是等级保护呢?简而言之,就是对信息和信息载体按照重要性等级分级别进行保护。就我国目前的情况而言,信息和信息载体的保护等级分为五个级别,从一到五级别逐渐升高。网络运营单位的信息和信息载体属于哪一个等级,就要按照这个等级的要求来做等级保护工作。

    等级保护需要做哪些工作呢?

    一般来说,等级保护工作包含定级、备案、安全建设、等级测评、监督检查五个环节,下面我将依照等保2.0标准,对三级等保办理流程做详细解读:

    1、系统定级

    等保办理的第一步是确定企业信息系统的安全保护等级。根据等保2.0定级指南,云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统属于强制定级备案的范畴。其他团体,比如公益组织和中小私营企业,原则上也要进行定级备案。

    同时,根据相关规定,定级对象具有以下三大基本特征:

    ①具有确定的主要安全责任主体;

    ②承载相对独立的业务应用;

    ③包含相互关联的多个资源。

    如果企业的系统有以上特征,那么就算系统再小,也需要进行定级备案。简而言之,互联网上的系统差不多都要进行定级备案。

    那么,等保定级究竟怎么定呢?根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。

    定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

    2、系统备案

    根据《网络安全法》规定:

    ①已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

    ②新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

    ③隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。

    ④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。

    企业最终确定保护对象的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。

    3、安全建设(整改)

    等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。

    等级保护整改没有什么资质要求,只要公司可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改。

    整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。

    技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。

    4、等级测评

    等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

    根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。

    二级及以上的信息系统都要做等级测评,且等级测评得分要在70分以上,并且没有高风险项才算通过。等级测评结束后,测评机构会出具测评报告。企业需要把测评报告提交给公安机关,才算真正落实了等级保护工作。

    5、监督检查

    企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。

    温馨提示:答案为网友推荐,仅供参考
    其他回答
    第1个回答  2009-09-12
    等级保护中要求各单位首先要对自己的信息安全级别进行定级。
    分为5种级别,自己单位是什么级别,要根据自己单位的情况、同行业其他公司的情况、上级主管部门的意见。
    需要做的工作是去公安部门备案,领取备案表,表上有具体要求,介绍自己单位信息安全的情况等等。填完之后交给公安部门报备即可。

    未来会按照你定级的标准,国家会强制性要求你对信息安全的建设。所以定级尽量往低了定,但实际上主管部门都会给出要求的。本回答被提问者采纳
    第2个回答  2019-12-06

    信息安全等级保护的办理流程:

    一步:定级;(根据企业的系统评定办理级别)

    二步:修改;(对系统经行大致的修改系统)

    三步:评测;(评测商对系统评测,得分)

    四步:备案;(在当地的网安部门备案)

    五步:维护。(定期对系统经行维护)

    提示:大致的流程如上述所说,也有先备案,后评测的,根据当地的规定来办理。

    相似回答
    信息安全等级保护工作内容答:信息安全等级保护工作是一项细致且分阶段进行的任务主要涵盖五个关键环节:定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查。山东省软件评测中心作为公安部授权的权威测评机构,致力于为企业和机构提供免费的专业服务,帮助他们理解和实施信息安全等级保护要求。等级测评是信息安全等级保护的核心环...
    等保测评怎么做?答:第一步,定级 系统定级是等保工作的第一步,我们都知道,等级保护基本要求一共分为五个级别,如果不确定系统等级,就无法选择哪种等级要求进行等保工作。定级过程包括:“确定定级对象 —> 初步确定等级 —> 专家评审 —> 主管部门审核 —> 公安机关备案审查 —> 最终确定等级” 这种线性的定级流程,...
    等级保护工作包含哪5个工作环节答:等级保护工作包含定级、备案、等级测评、建设整改、监督和检查五个工作环节。1、定级:网络运营者根据《网络安全等级保护定级指南》(GA/T1389)拟定网络的安全等级,组织召开专家评审会,对初步定级结果的合理性进行审批,出具专家评审意见,将初步定级结果上报行业主管部门进行审核。2、备案:网络运营者根据网...
    等保的全称是什么?答:5. 系统定级是确定系统的安全保护等级需要进行业务、资产、安全技术和安全管理的调研,并准备定级报告。6. 系统备案是将定级报告和备案表提交给当地公安网监进行备案。7. 建设整改是按照定级要求和标准对信息系统进行整改加固。8. 等级测评是测评机构对信息系统进行等级测评,形成测评报告。9. 合规监督...
    什么是信息系统安全等级保护?答:3. 信息安全等级保护工作的主要环节和要求 主要环节:定级、备案、安全建设整改、等级测评和安全检查。基本要求:各单位、各部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评的要求开展等级保护的定级、备案、整改、测评等工作。公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查...
    信息系统等级保护要做什么答:其中三级是国家对非银行机构的最高级认证,属于“监管级别”,由国家信息安全监管部门进行监督、检查,认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面,主要包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类,要求十分严格,这也是目前网贷行业获得三级信息...
    大家正在搜
    信息系统安全等级保护定级要素哪些信息系统需要做等级保护信息系统安全保护等级定级指南信息系统安全等级保护定级报告信息安全保护等级的定级要素信息系统等级保护定级信息系统等级保护自主定级信息系统等级保护定级备案信息安全等级保护定级指南
    相关问题
    等级保护定级标准是什么?
    等级保护测评流程是什么,对公司人员要求是什么
    如何进行信息系统安全等级保护备案?
    信息安全等级保护测评机构是做什么的?
    系统安全等级保护定级 一级如何报备?
    信息系统安全等级保护测评流程是什么?
    等级保护工作开展的基本流程是什么?
    如何进行信息系统安全等级保护备案?