信息系統(tǒng)等級保護(等保)政策法規(guī)、分類及備案流程

編輯:尚云 閱讀量:3113

什么是信息系統(tǒng)等級保護等保

信息系統(tǒng)等級保護是指對國家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級進行響應(yīng)、處置。

等級保護等保政策法規(guī)

1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令): 第一次提出“計算機信息系統(tǒng)實行安全等級保護”概念。

1999年《計算機信息系統(tǒng) 安全等級保護劃分準則》(GB17859):國家發(fā)布關(guān)于計算機信息系統(tǒng)安全保護等級劃分準則強制性標準。

2008年《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008):明確對于各等級信息系統(tǒng)的安全保護基本要求。

2017年《中華人民共和國網(wǎng)絡(luò)安全法》:第二十一條明確國家實行等級保護制度,落實等級保護制度已經(jīng)上升到法律層面。

2019年5月《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》等核心標準正式發(fā)布。

等級保護(等保)分類/定級

共劃分為五個級別,安全能力從第一級到第五級逐漸增強。各部門、各單位應(yīng)當依照等級保護實施指南及相關(guān)標準進行相關(guān)等級備案證明申請。

第一級(用戶自主保護級),信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。

第二級(系統(tǒng)審計保護級),信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導(dǎo)。

第三級(安全標記保護級),信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。

第四級(結(jié)構(gòu)化保護級),信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。

第五級(訪問驗證保護級),信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。

等保分類

等級保護(等保)備案流程

1.系統(tǒng)定級,企業(yè)/單位,確定安全保護等級,編寫定級報告

2.系統(tǒng)備案,企業(yè)/單位,準備相關(guān)材料,到當?shù)毓矙C關(guān)備案;公安機關(guān),當?shù)毓矙C關(guān)審核受理備案材料

3.建設(shè)整改,企業(yè)/單位,建設(shè)符合等級要求的安全技術(shù)和管理體系

4.等級測評,企業(yè)/單位,準備和接受測評機構(gòu)測評;測評機構(gòu),對系統(tǒng)等級符合性狀況進行測評,評測機構(gòu)對系統(tǒng)評測,得分

5.監(jiān)督檢查,企業(yè)/單位,接受公安機關(guān)的定期檢查;公安機關(guān),監(jiān)督檢查運營單位開展等級保護工作

等級保護備案流程

備案應(yīng)準備材料

1.系統(tǒng)安全組織機構(gòu)、三員審查表(系統(tǒng)開發(fā)建設(shè)人員、維護人員、及管理人員)、管理制度及應(yīng)急預(yù)案。(安全組織機構(gòu)包括機構(gòu)名稱、負責人、成員、職責分工等。管理制度包括安全管理規(guī)范、章程等,需有單位簽章及電子版))

2.系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案,系統(tǒng)拓撲結(jié)構(gòu)說明,安全產(chǎn)品清單及證書。(簡要的安全建設(shè)、整改方案,需有單位簽章及電子版)

3.《信息系統(tǒng)安全等級保護備案表》(以下簡稱《備案表》),紙質(zhì)材料,一式兩份。包括:《單位基本情況》(表一)、《信息系統(tǒng)情況》(表二)、《信息系統(tǒng)定級情況》(表三)和《第三級以上信息系統(tǒng)提交材料情況》(表四)。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一、二、三;第三級以上信息系統(tǒng)還應(yīng)當在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料(需有單位簽章及電子版)。

4.《信息系統(tǒng)安全等級保護定級報告》(以下簡稱《定級報告》),紙質(zhì)材料,一式兩份。每個備案的信息系統(tǒng)均需提供對應(yīng)的《定級報告》,《定級報告》參照模版格式填寫(需有單位簽章及電子版)