|
|
|||||||||||||||||
詳細介紹
濟南市網(wǎng)絡(luò)安全等級保護工作流程導(dǎo)讀
2017年6月1日《網(wǎng)絡(luò)安全法》正式實施,,網(wǎng)絡(luò)安全等級保護進入有法可依的2.0時代,,網(wǎng)絡(luò)安全等級保護制度規(guī)定于《網(wǎng)絡(luò)安全法》的十一條,,要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度,,履行相應(yīng)安全保護義務(wù)。
網(wǎng)絡(luò)安全等級保護系列標準于2019年5月陸續(xù)發(fā)布,,12月1日起正式實施,,標志著等級保護正式邁入2.0時代。網(wǎng)絡(luò)安全等級保護2.0時代,,落實等級保護制度的五個規(guī)定基本動作仍然是:定級,、備案、建設(shè)整改、等級測評,、監(jiān)督檢查?,F(xiàn)對這個五個步驟分別進行闡述,。
定級
等級保護對象定級是等保工作的步,,安全保護等級由兩個要素決定:等級保護對象受到時所侵害的客體和對客體造成侵害的程度。網(wǎng)絡(luò)安全等級保護一共分為五個級別:第級,、第三級,、第四級、第五級(安全防護強度/系統(tǒng)重要程度逐級增強),。如果無法確定等級保護對象的安全等級,,就無法確定等級保護對象應(yīng)采取的相應(yīng)安全防護等級的安全措施。
作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征:
a) 具有確定的主要安全責(zé)任主體,;
b) 承載相對的業(yè)務(wù)應(yīng)用,;
c)包含相互關(guān)聯(lián)的多個資源。
等級保護對象定級工作的**程:
確定定級對象
初步確定等級
評審
主管部門審核
備案審核
終確定等級保護對象等級,,等保2.0之后,,定級為級及以上的等級保護對象必須進行評審、主管部門審核和備案審核,。
備案
等級保護對象級別確定之后,,30個工作日內(nèi)網(wǎng)絡(luò)運營者或其主管部門將定級材料提交到所在地設(shè)區(qū)的市網(wǎng)安部門辦理備案手續(xù)。
備案成功后,,由當(dāng)?shù)鼐W(wǎng)安部門頒發(fā)《備案證明》,。備案證明信息包括:單位名稱、系統(tǒng)名稱,、系統(tǒng)級別等信息,。獲取到“備案證明”后便確定了等級保護對象的安全級別。
建設(shè)整改
等級保護對象備案成功后,,對已有的信息系統(tǒng),,其運營、使用單位根據(jù)已經(jīng)確定的信息安全保護等級,,按照等級保護的管理規(guī)范和技術(shù)標準,,采購和使用相應(yīng)等級的信息安全產(chǎn)品,建設(shè)安全設(shè)施,,落實安全技術(shù)措施,,完成系統(tǒng)整改。
安全建設(shè)整改工作分五步進行:
落實安全建設(shè)整改工作部門,,建設(shè)整改工作規(guī)劃,,進行總體部署;
根據(jù)其等級從《基本要求》中選擇相應(yīng)等級的基本安全要求,,確定網(wǎng)絡(luò)安全建設(shè)需求并論證,;
確定安全防護策略,,制定網(wǎng)絡(luò)安全建設(shè)整改方案(安全建設(shè)方案須經(jīng)評審論證,第三級(含)以上網(wǎng)絡(luò)的安全建設(shè)整改方案應(yīng)報備案),;
根據(jù)網(wǎng)絡(luò)安全建設(shè)整改方案,,實施安全建設(shè)工程;
開展安全自查和等級測評,,及時發(fā)現(xiàn)安全風(fēng)險及安全問題,,進一步開展整改。
等級測評
建設(shè)整改后,,網(wǎng)絡(luò)運營者選擇符合規(guī)定條件的測評機構(gòu),,定期開展等級測評工作(第三年及以上應(yīng)每年至少進行一次測評)。測評機構(gòu)依據(jù)網(wǎng)絡(luò)安全等級保護制度規(guī)定,,按照《網(wǎng)絡(luò)安全等級保護測評要求》,、《網(wǎng)絡(luò)安全等級保護測評過程指南》等相關(guān)規(guī)定標準,對被測等級保護對象進行等級保護對象識別,、安全防護能力測試及評估,,驗證等級保護對象是否滿勤等級保護相應(yīng)等級的安全要求,并進行綜合分析,、出具《等級測評報告》,。
網(wǎng)絡(luò)安全等級保測評完成后,等級保護對象網(wǎng)絡(luò)運營單位或責(zé)任主管部門將等級測評報告遞交到市網(wǎng)安部門,,網(wǎng)安部門接收測評報告后,,等級測評工作完成。
監(jiān)督檢查
網(wǎng)安部門負責(zé)對等級保護網(wǎng)絡(luò)的監(jiān)督,、檢查,、指導(dǎo)工作。網(wǎng)絡(luò)運營者配合監(jiān)督檢查工作,,如實提供有關(guān)材料及文件,。當(dāng)?shù)谌壖耙陨系燃壉Wo對象發(fā)生安全事件、案件時,,備案單位應(yīng)及時向受理備案的報告,。
檢查的主要內(nèi)容包括:
日常網(wǎng)絡(luò)安全防范工作;
重大網(wǎng)絡(luò)安全風(fēng)險隱患整改情況,;
重大網(wǎng)絡(luò)安全事件應(yīng)急處置和恢復(fù)工作,;
重大網(wǎng)絡(luò)安全保衛(wèi)工作落實情況;
其他的一些網(wǎng)絡(luò)安全工作,。
每年對第三級及以上的等級保護對象知識開展一次安全檢查工作,。
2017年6月1日《網(wǎng)絡(luò)安全法》正式實施,,網(wǎng)絡(luò)安全等級保護進入有法可依的2.0時代,,網(wǎng)絡(luò)安全等級保護制度規(guī)定于《網(wǎng)絡(luò)安全法》的十一條,,要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度,,履行相應(yīng)安全保護義務(wù)。
網(wǎng)絡(luò)安全等級保護系列標準于2019年5月陸續(xù)發(fā)布,,12月1日起正式實施,,標志著等級保護正式邁入2.0時代。網(wǎng)絡(luò)安全等級保護2.0時代,,落實等級保護制度的五個規(guī)定基本動作仍然是:定級,、備案、建設(shè)整改、等級測評,、監(jiān)督檢查?,F(xiàn)對這個五個步驟分別進行闡述,。
定級
等級保護對象定級是等保工作的步,,安全保護等級由兩個要素決定:等級保護對象受到時所侵害的客體和對客體造成侵害的程度。網(wǎng)絡(luò)安全等級保護一共分為五個級別:第級,、第三級,、第四級、第五級(安全防護強度/系統(tǒng)重要程度逐級增強),。如果無法確定等級保護對象的安全等級,,就無法確定等級保護對象應(yīng)采取的相應(yīng)安全防護等級的安全措施。
作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征:
a) 具有確定的主要安全責(zé)任主體,;
b) 承載相對的業(yè)務(wù)應(yīng)用,;
c)包含相互關(guān)聯(lián)的多個資源。
等級保護對象定級工作的**程:
確定定級對象
初步確定等級
評審
主管部門審核
備案審核
終確定等級保護對象等級,,等保2.0之后,,定級為級及以上的等級保護對象必須進行評審、主管部門審核和備案審核,。
備案
等級保護對象級別確定之后,,30個工作日內(nèi)網(wǎng)絡(luò)運營者或其主管部門將定級材料提交到所在地設(shè)區(qū)的市網(wǎng)安部門辦理備案手續(xù)。
備案成功后,,由當(dāng)?shù)鼐W(wǎng)安部門頒發(fā)《備案證明》,。備案證明信息包括:單位名稱、系統(tǒng)名稱,、系統(tǒng)級別等信息,。獲取到“備案證明”后便確定了等級保護對象的安全級別。
建設(shè)整改
等級保護對象備案成功后,,對已有的信息系統(tǒng),,其運營、使用單位根據(jù)已經(jīng)確定的信息安全保護等級,,按照等級保護的管理規(guī)范和技術(shù)標準,,采購和使用相應(yīng)等級的信息安全產(chǎn)品,建設(shè)安全設(shè)施,,落實安全技術(shù)措施,,完成系統(tǒng)整改。
安全建設(shè)整改工作分五步進行:
落實安全建設(shè)整改工作部門,,建設(shè)整改工作規(guī)劃,,進行總體部署;
根據(jù)其等級從《基本要求》中選擇相應(yīng)等級的基本安全要求,,確定網(wǎng)絡(luò)安全建設(shè)需求并論證,;
確定安全防護策略,,制定網(wǎng)絡(luò)安全建設(shè)整改方案(安全建設(shè)方案須經(jīng)評審論證,第三級(含)以上網(wǎng)絡(luò)的安全建設(shè)整改方案應(yīng)報備案),;
根據(jù)網(wǎng)絡(luò)安全建設(shè)整改方案,,實施安全建設(shè)工程;
開展安全自查和等級測評,,及時發(fā)現(xiàn)安全風(fēng)險及安全問題,,進一步開展整改。
等級測評
建設(shè)整改后,,網(wǎng)絡(luò)運營者選擇符合規(guī)定條件的測評機構(gòu),,定期開展等級測評工作(第三年及以上應(yīng)每年至少進行一次測評)。測評機構(gòu)依據(jù)網(wǎng)絡(luò)安全等級保護制度規(guī)定,,按照《網(wǎng)絡(luò)安全等級保護測評要求》,、《網(wǎng)絡(luò)安全等級保護測評過程指南》等相關(guān)規(guī)定標準,對被測等級保護對象進行等級保護對象識別,、安全防護能力測試及評估,,驗證等級保護對象是否滿勤等級保護相應(yīng)等級的安全要求,并進行綜合分析,、出具《等級測評報告》,。
網(wǎng)絡(luò)安全等級保測評完成后,等級保護對象網(wǎng)絡(luò)運營單位或責(zé)任主管部門將等級測評報告遞交到市網(wǎng)安部門,,網(wǎng)安部門接收測評報告后,,等級測評工作完成。
監(jiān)督檢查
網(wǎng)安部門負責(zé)對等級保護網(wǎng)絡(luò)的監(jiān)督,、檢查,、指導(dǎo)工作。網(wǎng)絡(luò)運營者配合監(jiān)督檢查工作,,如實提供有關(guān)材料及文件,。當(dāng)?shù)谌壖耙陨系燃壉Wo對象發(fā)生安全事件、案件時,,備案單位應(yīng)及時向受理備案的報告,。
檢查的主要內(nèi)容包括:
日常網(wǎng)絡(luò)安全防范工作;
重大網(wǎng)絡(luò)安全風(fēng)險隱患整改情況,;
重大網(wǎng)絡(luò)安全事件應(yīng)急處置和恢復(fù)工作,;
重大網(wǎng)絡(luò)安全保衛(wèi)工作落實情況;
其他的一些網(wǎng)絡(luò)安全工作,。
每年對第三級及以上的等級保護對象知識開展一次安全檢查工作,。
聯(lián)系方式
|
