等保测评是什么?
等保测评的全称是信息安全等级保护测评。是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进⾏检测评估的活动。
“
信息安全等级保护的各个环节
⼀、基本环节
(⼀)组织开展调查摸底
(⼆)合理确定保护等级
(三)开展安全建设整改
(四)组织系统安全测评
(五)依法履⾏备案⼿续
(六)加强⽇常测评⾃查
(七)加强安全监督检查
⼆、主要环节
定级-安全测评-备案
定级
⼀、等级划分
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会⽣活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法⼈和其他组织的合法权益的危害程度等因素确定,分为五级:
第⼀级,信息系统受到破坏后,会对公民、法⼈和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第⼆级,信息系统受到破坏后,会对公民、法⼈和其他组织的合法权益产⽣严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
⼆、定级程序
信息系统运营、使⽤单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统⼀联⽹运⾏的信息系统可以由主管部门统⼀确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使⽤单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项
⼀级信息系统:适⽤于乡镇所属信息系统、县级某些单位中不重要的信息系统。⼩型个体、私营企业中的信息系统。中⼩学中的信息系统。
⼆级信息系统:适⽤于地市级以上国家机关、企业、事业单位内部⼀般的信息系统。例如⼩的局域⽹,⾮涉及秘密、敏感信息的办公系统等。
三级信息系统:适⽤于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联⽹运⾏的信息系统;跨省或全国联⽹运⾏重要信息系统在省、地市的分⽀系统;各部委官⽅⽹站;跨省(市)联接的信息⽹络等。
单位隶属四级信息系统:适⽤于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电⼒等调度系统,银⾏、证券、保险、税务、海关等部门中的核⼼系统。
“
信息安全等级测评
信息系统建设完成后,⼆级以上的信息系统的运营使⽤单位应当选择符合国家规定的测评机构进⾏测评合格⽅可投⼊使⽤。已投⼊运⾏信息系统在完成系统整改后也应当进⾏测评。经测评,信息系统安全状况未达到安全保护等级要求的,运营使⽤单位应当制定⽅案进⾏整改。
⼀、测评程序
计算机信息系统运营、使⽤单位委托安全测评机构测评,应当提交下列资料:
(⼀)安全测评委托书;
(⼆)计算机信息系统应⽤需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施⽅案或者改建实施⽅案、系统软件硬件和信息安全产品清单。
安全测评机构在收到委托材料后,应当与委托⽅协商制订安全测评计划,开展安全测评⼯作,并出具安全测评报告。
经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,委托单位应当根据测评报告的建议,完善计算机信息系统安全建设,并重新提出安全测评委托。
⼆、测评监督
测评机构对计算机信息系统进⾏使⽤前安全测评,应当预先报告地级以上市公安机关公共信息⽹络安全监察部门。安全测评报告由计算机信息系统运营、使⽤单位报地级以上市公安机关公共信息⽹络安全监察部门。
三、⽇常测评
计算机信息系统投⼊使⽤后,存在下列情形之⼀的,应当进⾏安全⾃查,同时委托安全测评机构进⾏安全测评:
(⼀)变更关键部件;
(⼆)安全测评时间满⼀年;
(三)发⽣危害计算机信系统安全的案件或安全事故;
(四)公安机关公共信息⽹络安全监察部门根据应急处置⼯作的需要认为应当进⾏安全测评;
(五)其他应当进⾏安全⾃查和安全测评的情形。
第三级计算机信息系统应当每年⾄少进⾏⼀次安全⾃查和安全测评,第四级计算机信息系统应当每半年⾄少进⾏⼀次安全⾃查和安全测评,第五级计算机信息系统应当依据特殊安全要求进⾏安全⾃查和安全测评。
⾃查报告连同测评报告应当由计算机信息系统运营、使⽤单位报地级以上市公安机关公共信息⽹络安全监察部门。
四、测评争议解决
申请单位认为安全测评报告的合法性和真实性存在重⼤问题的,可以向本单位所在地公安机关公共信
息⽹络安全监察部门提出申诉,提交异议申诉书及有关证明材料。公安机关公共信息⽹络安全监察部门应当在收到申诉材料后30个⼯作⽇内进⾏核查,作出异议处理决定。
图⽚
备案
⼀、总体要求
新建第⼆级以上信息系统,应当在投⼊运⾏后30⽇内,由其运营、使⽤单位到所在地设区的市级以上公安机关办理备案⼿续。
⼆、备案管辖
(⼀)管辖原则。
备案管辖分⼯采取级别管辖和属地管辖相结合。
(⼆)中央在京单位。
⾪属于中央的在京单位,其跨省或者全国统⼀联⽹运⾏并由主管部门统⼀定级的信息系统,由公安部公共信息⽹络安全监察局受理备案,其他信息系统由北京市公安局公共信息⽹络安全监察部门(简称⽹监部门,下同)受理备案。
(三)中央驻粤及省直国有单位。
⾪属中央或省的驻穗国有单位的信息系统,由省公安厅⽹警总队受理备案。
上述单位在各地运⾏、维护的分⽀系统由其在各地的分⽀机构报所在地地级以上市公安机关⽹监部门备案。
(四)其他单位。
其他单位的信息系统由所在地地级以上市公安机关⽹监部门备案。
三、备案流程
(⼀)备案时限。
信息系统运营、使⽤单位或者其主管部门(以下简称“备案单位”)应当在信息系统设计阶段确定信息系统安全保护等级,并在安全保护等级确定后30⽇内,到公安机关⽹监部门办理备案⼿续。
(⼆)备案申请。
办理备案⼿续,应当到公安机关指定⽹址下载信息安全等级保护备案软件,利⽤该软件填写⽣成《信息系统安全等级保护备案表》(简称《备案表》,下同)表⼀、表⼆、表三纸质WORD格式⽂档⼀式两份和电⼦数据(RAR格式),并准备好相关附件(⼀式两份),向公安机关⽹监部门提出备案申请。第三级以上信息系统应当同时提供以下材料:
1.系统拓扑结构及说明;
2.系统安全组织机构和管理制度;
3.系统安全保护设施设计实施⽅案或者改建实施⽅案;
4.系统使⽤的信息安全产品清单及其认证、销售许可证明;
5.测评后符合系统安全保护等级的技术检测评估报告;
6.信息系统安全保护等级专家评审意见;
7.主管部门审核批准信息系统安全保护等级的意见。
四、备案审核
公安机关⽹监部门收到申请材料后,应当在10个⼯作⽇内进⾏审查。对符合要求的,公安机关⽹监部门应当在《备案表》加盖公共信息⽹络安全监察专⽤章并将其中⼀份反馈备案单位,并出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。《备案证明》由公安部统⼀监制。对不符合要求的,公安⽹监部门应当出具《信息系统安全等级保护备案审核结果通知》,通知备案单位进⾏整改。其中,对定级不准的备案单位,在通知整改的同时,应当建议备案单位重新定级。
五、变更备案
《备案表》所载事项发⽣变更,备案单位应当⾃变更之⽇起30⽇内重新填写《备案表》报公安机关⽹监部门备案。其中,变更事项涉及《备案证明》的,公机关⽹监部门应当重新颁布《备案证明》。
六、重新备案
运营、使⽤单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
发布评论