信息安全等级保护工作流程
系统定级。信息系统运营使用单位按照《信息系统信息安全等级保护定级指南》,确定信息系统安全等级。有主管部门的,报主管部门审核批准。在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告。 系统备案。已运行的系统在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建的系统,在通过立项申请后30日内办理。 材料不齐 定级不准 公安机关审核 材料齐、定级准颁发证书。公安机关颁发系统等级保护备案证书。 分析安全需求。对照等保有关规定和标准分析系统安全建设整改需求,可委托安全服务机构、等保技术支持 单位分析。对于整改项目,还可委托测评机构通过等保测评、风险评估等方法分析整改需求。 建设整改。根据需求制订建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,满足系统等级需求产品,开展信息系统安全建设整改。 不合格 等保测评。选择第三方测 评机构进行测评。其中对 合格 于新建系统可在试运行阶段进行测评。 提交报告。系统运营、使用单位向地级以上市公安机关报测评报告。项目验收文档中也须含有测评报告。 合格 等保测评。定期选择第三 方测评机构进行测评。三 级系统每年至少一次,四级系统每半年至少一次。 不合格 一、定级
一、等级划分
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序
信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项
第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等
第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等
第五级信息系统:适用于国家特殊领域的极端重要系统。
二、备案
一、总体要求
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
二、备案管辖
(一)管辖原则。
备案管辖分工采取级别管辖和属地管辖相结合。
(二)中央在京单位。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。
(三)中央驻粤及省直国有单位。
隶属中央或省的驻穗国有单位的信息系统,由省公安厅网警总队受理备案。
上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。
(四)其他单位。
其他单位的信息系统由所在地地级以上市公安机关网监部门备案。
三、备案流程
(一)备案时限。
信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统设计阶段确定信息系统安全保护等级,并在安全保护等级确定后30日内,到公安机关网监部门办理备案手续。
(二)备案申请。
办理备案手续,备案单位应当向公安机关网监部门提交以下备案材料:
1、《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份。《备案表》由“等级保护备案端软件”生成,操作时请详细阅读软件使用说明书。第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。
2、《信息系统安全等级保护定级报告》(以下简称《定级报告》),纸质材料,一式两份。每个备案的信息系统均需提供对应的《定级报告》,《定级报告》参照模版格式填写。
3、备案电子数据。每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,并保存为一个压缩文件(RAR格式)。
备注:“等级保护备案端软件”、《定级报告》模版可在“下载专区”下载,“等级保护备案端软件”使用说明附下载文件内;
四、备案审核
公安机关网监部门收到申请材料后,应当在10个工作日内进行审查。对符合要求的,公安机关网监部门应当在《备案表》加盖公共信息网络安全监察专用章并将其中一份反馈备案单位,并出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。《备案证明》由公安部统一监制。对不符合要求的,公安网监部门应当出具《信息系统安全等级保护备案审核结果通知》,通知备案单位进行整改。其中,对定级不准的备案单位,在通知整改的同时,应当建议备案单位重新定级。
五、变更备案
《备案表》所载事项发生变更,备案单位应当自变更之日起30日内重新填写《备案表》报公安机关网监部门备案。其中,变更事项涉及《备案证明》的,公机关网监部门应当重新颁布《备案证明》。
六、重新备案
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
三、安全建设和整改
计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
信息安全等级保护工作流程图教学文案
