一、等保工作基本環(huán)節(jié)
1��、組織開展調(diào)查摸底
2、合理確定保護等級
3����、有效進行專家評審
4、依法履行備案手續(xù)
5��、開展安全建設(shè)整改
6��、組織系統(tǒng)安全測評
7�����、加強日常測評自查
8、加強安全監(jiān)督檢查
注:實際工作中5,6順序交換后開展工作��,以利于系統(tǒng)運營使用單位準確把握整改內(nèi)容�。
二���、主要環(huán)節(jié)及工作流程說明
1����、定級及專家評審
(1)等級劃分
計算機信息系統(tǒng)安全保護等級根據(jù)計算機信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度�����,計算機信息系統(tǒng)受到破壞后對國家安全�、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定����,分為五級:
第一級����,信息系統(tǒng)受到破壞后�,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益��。
第二級���,信息系統(tǒng)受到破壞后��,會對公民���、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害�����,或者對社會秩序和公共利益造成損害,但不損害國家安全����。
第三級,信息系統(tǒng)受到破壞后�,會對社會秩序和公共利益造成嚴重損害����,或者對國家安全造成損害�。
第四級,信息系統(tǒng)受到破壞后����,會對社會秩序和公共利益造成特別嚴重損害����,或者對國家安全造成嚴重損害��。
第五級�����,信息系統(tǒng)受到破壞后��,會對國家安全造成特別嚴重損害。
(2)����、定級程序
信息系統(tǒng)運營����、使用單位應當依據(jù)《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級�����?����?缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級���。
對擬確定為第四級以上信息系統(tǒng)的�����,運營�����、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。對擬確定為四級以下信息系統(tǒng)的����,運營���、使用單位或者主管部門應當請組織地區(qū)的等保專家委員會專家評審��。
(3)、定級注意事項
一級信息系統(tǒng):適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)�、縣級某些單位中不重要的信息系統(tǒng)�。小型個體��、私營企業(yè)中的信息系統(tǒng)���。中小學中的信息系統(tǒng)���。
二級信息系統(tǒng):適用于地市級以上國家機關(guān)��、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)��。例如小的局域網(wǎng)��,非涉及秘密、敏感信息的辦公系統(tǒng)等。
三級信息系統(tǒng):適用于地市級以上國家機關(guān)�、企業(yè)���、事業(yè)單位內(nèi)部重要的信息系統(tǒng)�;重要領(lǐng)域�、重要部門跨省、跨市或全國(省)聯(lián)網(wǎng)運行的信息系統(tǒng);跨省或全國聯(lián)網(wǎng)運行重要信息系統(tǒng)在省�、地市的分支系統(tǒng)��;各部委官方網(wǎng)站;跨省(市)聯(lián)接的信息網(wǎng)絡等����。
四級信息系統(tǒng):適用于重要領(lǐng)域����、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)�。例如全國鐵路、民航、電力等調(diào)度系統(tǒng),銀行、證券�����、保險����、稅務�、海關(guān)等部門中的核心系統(tǒng)���。
2�、備案
(1)新建第二級以上信息系統(tǒng),應當在投入運行后30日內(nèi)�����,由其運營��、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
(2)備案時限:信息系統(tǒng)運營、使用單位或者其主管部門(以下簡稱“備案單位”)應當在信息系統(tǒng)設(shè)計階段確定信息系統(tǒng)安全保護等級���,并在安全保護等級確定后30日內(nèi),到公安機關(guān)網(wǎng)安部門辦理備案手續(xù)。
(3)備案申請:辦理備案手續(xù)�,應當?shù)焦矙C關(guān)指定網(wǎng)址下載信息安全等級保護備案軟件��,利用該軟件填寫生成《信息系統(tǒng)安全等級保護備案表》(簡稱《備案表》,下同)表一、表二、表三紙質(zhì)WORD格式文檔一式兩份和電子數(shù)據(jù)(RAR格式)���,并準備好相關(guān)附件(一式兩份),向公安機關(guān)網(wǎng)安部門提出備案申請。第三級以上信息系統(tǒng)應當同時提供以下材料:
A.系統(tǒng)拓撲結(jié)構(gòu)及說明�����;
B.系統(tǒng)安全組織機構(gòu)和管理制度���;
C.系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案�;
D.系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明���;
E.測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;
F.信息系統(tǒng)安全保護等級專家評審意見�;
(4) 備案審核:公安機關(guān)網(wǎng)安部門收到申請材料后���,應當在10個工作日內(nèi)進行審查����。對符合要求的����,公安機關(guān)網(wǎng)安部門應當在《備案表》加蓋等保專用章并將其中一份反饋備案單位,并出具《信息系統(tǒng)安全等級保護備案證明》(以下簡稱《備案證明》)?���!秱浒缸C明》由公安部統(tǒng)一監(jiān)制。對不符合要求的����,公安網(wǎng)安部門應當出具《信息系統(tǒng)安全等級保護備案審核結(jié)果通知》����,通知備案單位進行整改�����。其中�����,對定級不準的備案單位,在通知整改的同時��,應當建議備案單位重新定級����。
(5)變更備案:《備案表》所載事項發(fā)生變更,備案單位應當自變更之日起30日內(nèi)重新填寫《備案表》報公安機關(guān)網(wǎng)安部門備案�����。其中���,變更事項涉及《備案證明》的�����,公機關(guān)網(wǎng)安部門應當重新頒布《備案證明》����。
(6) 重新備案:運營����、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應當按照本辦法向公安機關(guān)重新備案��。
3�、安全建設(shè)和整改
計算機信息系統(tǒng)規(guī)劃、設(shè)計�、建設(shè)和維護應當同步落實相應的安全措施���。運營�����、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準,使用符合國家有關(guān)規(guī)定�����,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品����,開展信息系統(tǒng)安全建設(shè)或者改建工作。
在信息系統(tǒng)建設(shè)過程中��,運營��、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)�����、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準,參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)���、《信息安全技術(shù) 網(wǎng)絡基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)��、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)����、《信息安全技術(shù) 服務器技術(shù)要求》��、《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施��。
運營、使用單位應當參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)�、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)����、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范�,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。
4�����、信息系統(tǒng)安全等級測評
信息系統(tǒng)建設(shè)完成后��,二級以上的信息系統(tǒng)的運營使用單位應當選擇符合國家規(guī)定的測評機構(gòu)進行測評合格方可投入使用����。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應當進行測評�����。經(jīng)測評�,信息系統(tǒng)安全狀況未達到安全保護等級要求的��,運營使用單位應當制定方案進行整改���。
(1)�、測評程序
計算機信息系統(tǒng)運營�、使用單位委托安全測評機構(gòu)測評�����,應當提交下列資料:
A:安全測評委托書��;
B:計算機信息系統(tǒng)應用需求�、系統(tǒng)結(jié)構(gòu)拓撲及說明����、系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護設(shè)施設(shè)計實施方案或者改建實施方案��、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單�。
安全測評機構(gòu)在收到委托材料后,應當與委托方協(xié)商制訂安全測評計劃,開展安全測評工作��,并出具安全測評報告��。
經(jīng)測評�����,計算機信息系統(tǒng)安全狀況未達到國家有關(guān)規(guī)定和標準的要求的,委托單位應當根據(jù)測評報告的建議,完善計算機信息系統(tǒng)安全建設(shè),并重新提出安全測評委托����。
(2)�、測評監(jiān)督
測評機構(gòu)對計算機信息系統(tǒng)進行使用前安全測評���,應當預先報告地級以上市公安機關(guān)網(wǎng)安部門�。安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關(guān)網(wǎng)安部門�����。
(3)��、日常測評
計算機信息系統(tǒng)投入使用后,存在下列情形之一的����,應當進行安全自查��,同時委托安全測評機構(gòu)進行安全測評:
(一)變更關(guān)鍵部件;
(二)安全測評時間滿一年���;
(三)發(fā)生危害計算機信系統(tǒng)安全的案件或安全事故;
(四)公安機關(guān)網(wǎng)安部門根據(jù)應急處置工作的需要認為應當進行安全測評�����;
(五)其他應當進行安全自查和安全測評的情形����。
計算機信息系統(tǒng)確定為第二級保護等級的,應當每兩年至少進行一次系統(tǒng)安全等級測評�����,第三級計算機信息系統(tǒng)應當每年至少進行一次安全自查和安全測評�,第四級計算機信息系統(tǒng)應當每半年至少進行一次安全自查和安全測評,第五級計算機信息系統(tǒng)應當依據(jù)特殊安全要求進行安全自查和安全測評�����。
