|
很多人以为等级保护工作指的就是等保测评这一项工作,这是一个大大的误区!要知道,等级保护工作不是一件事,而是由五件事组成的一个完整工作流程。根据信息系统等级保护相关标准,等保工作总共分五个阶段,分别如下—— 第一步 定级 信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级。 第二步 备案
进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 第三步 系统安全建设 信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。 第四步 等级测评 信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然,理想状态的“符合”基本是不可能达到的。 第五步 监督检查 公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。 其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作,但考虑到实际情况,多数用户单位都是在相关服务机构的协助下完成这些工作。下面,再来详解一下等保备案的具体流程—— 申请备案要提交哪些材料? 备案材料受理: 备案时应当提交《信息系统安全等级保护备案表》(一式两份)。第二级以上信息系统备案时需提交《备案表》表一、表二、表三。第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。按照《信息安全等级保护管理办法》“第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料: (一)系统拓扑结构及说明; (二)系统安全组织机构和管理制度; (三)系统安全保护设施设计实施方案或者改建实施方案; (四)系统使用的信息安全产品清单及其认证、销售许可证明; (五)测评后符合系统安全保护等级的技术检测评估报告; (六)信息系统安全保护等级专家评审意见; (七)主管部门审核批准信息系统安全保护等级的意见。” 备案申请后还有哪些步骤?
1. 备案材料审核 接收备案材料后,应当对下列内容进行审核:备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致,网络系统所定安全保护等级是否准确。 收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在5日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的管安机关办理。 2. 审核通过 经审核符合等级保护要求的 ,公安机关应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关网安部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。 备案材料经审核合格的,公安机关出具《信息系统安全等级保护备案证明》。《备案证明》由公安部统一监制。 公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。 备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。 注:不同地区管理流程设置存在一定差异,具体请以当地管理部门要求为准 国际知名电子邮件安全专家Softnext守内安的邮件归档、邮件网关,对邮件进行加密、归档、审计管理,防病毒,层层过滤邮件威胁,降低企业被入侵风险。 |
名表回收网手机版
