等級保護2.0系列問答(二)

發布時間 2019-05-15

第6問:我單位如何開展等級保護建設的相關工作?



等級保護工作是一個系統性工程,根據網絡安全等級保護相關標準,等級保護工作總共分五個階段,分別為:系統定級、系統備案、建設整改、系統測評、監督管理。

一、系統定級

對擬定為第二級以上的網絡,其運營者應當組織專家評審;有行業主管部門的,應當在評審后報請主管部門核準;跨省或者全國統一聯網運行的網絡由行業主管部門統一擬定安全保護等級,統一組織定級評審。

二、系統備案

各信息系統主管部門和運營使用單位應準備系統定級備案材料,材料包括:《信息系統安全等級保護備案表》:單位基本情況、信息系統情況、信息系統定級情況等材料。第二級以上網絡運營者應當在網絡的安全保護等級確定后10個工作日內,到縣級以上公安機關備案。

各信息系統主管部門和運營使用單位按照屬地原則,向其所在地縣級以上公安機關辦理備案手續。公安機關在接到備案材料及電子數據文件后,于10個工作日內完成材料審查,并對系統安全等級進行初步審核,并出具網絡安全等級保護備案證明。

明顯定級不準,提請當地公安機關等級保護專家組進行再評審,同時撰寫《信息系統安全保護等級備案情況復函》,并正式復函備案信息系統主管部門和運營使用單位,并協調系統運營使用單位對系統級別進行調整。

三、建設整改

對于新建的信息系統,要按照等級保護相關標準,撰寫等級保護建設方案,并根據建設方案組織集成實施。

對于已有信息系統,信息系統運營使用單位負責系統的風險評估和整改建設工作, 重要信息系統的運營使用單位應形成系統等級保護整改建設方案,并根據整改方案組織集成建設。

對于三級以上的信息系統建設整改方案,要組織專家進行評審,形成專家評審意見,并最終形成等級保護戶整改建設方案。

四、系統測評

信息系統的運營使用單位應落實系統安全等級測評資金保障工作,同時開展等級測評工作。

信息系統建設完成后,運營、使用單位或者其主管部門應當選擇第三方測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級以上信息系統應當每年至少進行一次等級測評(等保1.0標準里面等級保護四級系統需要每半年一次,現在調整為每年一次),第五級信息系統應當依據特殊安全需求進行等級測評。



第7問:如何理解等級保護2.0標準中的定級對象?



根據《定級指南》,對于電信網、廣播電視傳輸網、互聯網等基礎信息網絡,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。

對于工業控制系統,應將現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對于云計算平臺,則應區分為服務提供方與租戶方,各自分別作為定級對象。

對于物聯網,雖然其包括感知、網絡傳輸和處理應用等多種特征因素,但仍應將以上要素作為一個整體的定級對象,各要素并不單獨定級。采用移動互聯技術的網絡與物聯網類似,應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務系統作為整體對象定級。

對于大數據,除安全責任主體相同的平臺和應用可以整體定級外,應單獨定級。



第8問:如何確定定級對象的保護等級?



信息系統安全包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業務信息安全和系統服務安全兩方面確定。

等級保護對象受到破壞時所侵害的客體包括以下三個方面:
◆ 公民、法人和其他組織的合法權益;
◆ 社會秩序、公共利益;
◆ 國家安全。

等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:
◆ 造成一般損害;
◆ 造成嚴重損害;
◆ 造成特別嚴重損害。

信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

從業務信息安全角度反映的信息系統安全保護等級稱業務信息安全保護等級。


從系統服務安全角度反映的信息系統安全保護等級稱系統服務安全保護等級。


等級對象最終等級的確認是根據業務信息安全等級和系統服務安全等級,兩者取其高者為最終等級。如下所示:



第9問:等級保護2.0的定級流程是什么?


等級保護定級流程可以大致分為六個步驟,分別是:

一、確定定級對象;

二、初步定級;

三、專家評審(二級以上定級,使用單位應組織專家對初步定級結果的合理性進行評審, 出具專家評審意見);

四、主管部門審核(使用單位應將初步定級結果上報行業主管部門或上級主管部門進行審核);

五、公安機關備案審查(使用單位應將初步定級結果10日內提交公安機關進行備案審查,審查不通過,其使用單位應組織重新定級;審查通過后最終確定定級對象的安全保護等級);

六、等級變更(業務狀態和系統服務范圍發生變化,應根據本標準要求重新確定定級對象和安全保護等級)。


第10問:什么樣的系統要求定級?系統備案去哪里?找誰備案?



對于如下信息系統,均屬于等級保護定級備案的范疇,具體包括:

一、 對于電信網、廣播電視傳輸網、互聯網等基礎信息網絡。應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。

二、對于工業控制系統。應將現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。

三、對于云計算平臺。則應區分為服務提供方與租戶方,各自分別作為定級對象。

四、對于物聯網。雖然其包括感知、網絡傳輸和處理應用等多種特征因素,但仍應將以上要素作為一個整體的定級對象,各要素并不單獨定級。

五、采用移動互聯技術的網絡與物聯網類似。應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務系統作為整體對象定級。

六、對于大數據。除安全責任主體相同的平臺和應用可以整體定級外,應單獨定級。

第二級以上網絡運營者應當在網絡的安全保護等級確定后10個工作日內,到當地縣級以上公安機關備案。






相關鏈接:


等級保護2.0系列問答(一)

等級保護2.0系列問答(三)

等級保護2.0系列問答(四)

等級保護2.0系列問答(五)