信息系统等级保护备案有什么用?
2023-06-25
|技术动态 |
摘要:
信息系统等级保护备案有什么用?你可以从以下几个方面轻松理解:
1.法律要求,企业必须做。根据《网络安全法》规定:已运营(运行)的第二级以上信息系统及新建的第二级以上信息系统,应当在安全保护等级确定后10日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
2.二级及以上信息系统必做等级保护,而定级备案是企业落实等级保护工作的第一步。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。企业落实等级保护,代表着企业信息系统及网络满足了等级保护的要求,如果出现安全事故,企业需要负的责任较小。反之,如果企业未落实等级保护,一旦出现安全事故,企业必须负全责。而且,公安机关还会不定期对企业进行监督检查,如果等级保护未落实,企业面临的可能就是行政警告、责令整改、停业、罚款等处罚。
3.主管单位要求。对于某些重要行业来说,不仅法律要求,主管单位也要求。比如教育等八部门规定,APP必须先进行等保备案,才能进行业务备案;再比如互联网医院申请牌照的先决条件是拥有等保备案证明。
解决了信息系统等级保护备案有什么用的问题,我们再来说说信息系统等级保护备案怎么做的问题。信息系统等级保护备案流程如下所示:
1.第一步:定级
定级依据是《信息系统安全等级保护定级指南》。定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。
第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
同时,等级保护对象的级别由两个定级要素决定:
①受侵害的客体,分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
②对客体的侵害程度,分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
2.第二步:准备备案材料
备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:① 信息系统安全定级报告纸质材料,一式两份;② 信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
3.第三步:提交备案材料
定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。
最后,公安机关不对企业备案收取任何费用,也就是说如果企业自己准备备案的话,不需要任何费用。但如果企业初次做等保,或者想省心一点,请第三方机构代办备案的话,就需要支付一定的服务费。此外还要注意的是,备案成功并不代表着等级保护的结束,企业还需要进行信息系统的整改和测评,只有测评通过,企业才算是真正落实了等级保护工作。
1.法律要求,企业必须做。根据《网络安全法》规定:已运营(运行)的第二级以上信息系统及新建的第二级以上信息系统,应当在安全保护等级确定后10日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
2.二级及以上信息系统必做等级保护,而定级备案是企业落实等级保护工作的第一步。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。企业落实等级保护,代表着企业信息系统及网络满足了等级保护的要求,如果出现安全事故,企业需要负的责任较小。反之,如果企业未落实等级保护,一旦出现安全事故,企业必须负全责。而且,公安机关还会不定期对企业进行监督检查,如果等级保护未落实,企业面临的可能就是行政警告、责令整改、停业、罚款等处罚。
3.主管单位要求。对于某些重要行业来说,不仅法律要求,主管单位也要求。比如教育等八部门规定,APP必须先进行等保备案,才能进行业务备案;再比如互联网医院申请牌照的先决条件是拥有等保备案证明。
解决了信息系统等级保护备案有什么用的问题,我们再来说说信息系统等级保护备案怎么做的问题。信息系统等级保护备案流程如下所示:
1.第一步:定级
定级依据是《信息系统安全等级保护定级指南》。定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。
第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
同时,等级保护对象的级别由两个定级要素决定:
①受侵害的客体,分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
②对客体的侵害程度,分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
2.第二步:准备备案材料
备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:① 信息系统安全定级报告纸质材料,一式两份;② 信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
3.第三步:提交备案材料
定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。
最后,公安机关不对企业备案收取任何费用,也就是说如果企业自己准备备案的话,不需要任何费用。但如果企业初次做等保,或者想省心一点,请第三方机构代办备案的话,就需要支付一定的服务费。此外还要注意的是,备案成功并不代表着等级保护的结束,企业还需要进行信息系统的整改和测评,只有测评通过,企业才算是真正落实了等级保护工作。
