网络安全等级保护定级备案流程包括:确定定级对象、确定信息系统级别、确定系统服务等级、确定业务信息等级、确定信息系统级别、专家评审与审批、主管单位审批。
1、确定定级对象
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求确定定级对象。
2、确定信息系统级别
各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》,初步确定定级对象的安全保护等级。
3、确定系统服务等级
系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。
4、确定业务信息等级
业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
5、确定信息系统级别
SAG的级别,其中S为业务信息等级,A为系统服务等级,G取两者中大的。
6、专家评审与审批
《信息安全等级保护管理办法》第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
初步确定信息系统安全保护等级后,可以聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
7、主管单位审批
没有主管单位的,或者感觉系统就是自己用不需要主管单位批准的完全可以省略这一步。目前大部分的主管单位其实不想掺合各下属单位定级备案,怕负责任吧。
2. 网上提交备案材料后,公安机关网监部门对定级准确、材料齐全的定级备案材料,印发《信息系统安全等级保护备案证明》。
为什么要备案?
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。《信息安全等级保护管理办法》(公通字[2007]43号)第十五条规定,已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
谁需要备案?
一般备案的主体是法人单位和非法人组织。如果您单位自己有信息系统在运营和使用,那您单位的这个系统就需要备案,如果您将开发的系统卖给了客户使用,那这个客户就要将系统进行备案登记。
哪些系统需要备案?
法律法规规定的哪些文字就不说啦,不好理解。用大白话简单概括一下就是:您单位的这个系统如果崩了,数据没了、丢了,会对你们的工作开展造成实质影响的,就应该备案。如果使用的是第三方提供的“云”服务,即只有账号密码可以登录系统进行使用,则这个系统不需要备案。典型不用备案的系统如:微信公众号。
不备案的后果
违法!《网络安全法》第五十九条规定,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
法律依据:
《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《网络安全法》第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
2. 网上提交备案材料后,公安机关网监部门对定级准确、材料齐全的定级备案材料,印发《信息系统安全等级保护备案证明》。
为什么要备案?
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。《信息安全等级保护管理办法》(公通字[2007]43号)第十五条规定,已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
谁需要备案?
一般备案的主体是法人单位和非法人组织。如果您单位自己有信息系统在运营和使用,那您单位的这个系统就需要备案,如果您将开发的系统卖给了客户使用,那这个客户就要将系统进行备案登记。
哪些系统需要备案?
法律法规规定的哪些文字就不说啦,不好理解。用大白话简单概括一下就是:您单位的这个系统如果崩了,数据没了、丢了,会对你们的工作开展造成实质影响的,就应该备案。如果使用的是第三方提供的“云”服务,即只有账号密码可以登录系统进行使用,则这个系统不需要备案。典型不用备案的系统如:微信公众号。
不备案的后果
违法!《网络安全法》第五十九条规定,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
法律依据:
《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《网络安全法》第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。