2017年6月1日起施行的《中华人民共和国网络安全法》中第二十一条明确规定:国家实行网络安全等级保护制度。很多小伙伴可能会疑问,法律有要求,那如何去落实呢。其实早在2007年6月22日《信息安全等级保护管理办法》就明确规定了落实等级保护制度的五个规定基本动作。分别是:定级、备案、建设整改、等级测评、监督检查。以下针对这个五个步骤分别进行阐述。
一、定级
系统定级是等保工作的第一步,我们都知道,等级保护基本要求一共分为五个级别,如果不确定系统等级,就无法选择哪种等级要求进行等保工作。定级过程包括:“确定定级对象—>初步确定等级—>专家评审—>主管部门审核—>公安机关备案审查——>最终确定等级”这种线性的定级流程,等保2.0之后,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案。
二、备案
系统级别确定之后需要把定级材料提交到市一级的公安机关网安部门办理备案手续。备案成功后,由当地网安部门颁发《备案证明》。备案证明信息包括:单位名称、系统名称、系统级别等信息。拿到“备案证明”便确定了系统的级别。
三、建设整改
备案成功后,对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
四、等级测评
建设整改后,测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对被测评系统系统进行测试、评估,验证系统是否符合等级保护安全要求,并出具《等级测评报告》。
五、监督检查
测评完成后,被测评单位将等级测评报告递交到市一级公安机关网安部门,网安部门接收测评报告后,测评工作完成。公安机关网安部门负责对等级保护网络的监督、检查、指导工作。
以下根据等保工作流程列出工作内容、工时与工作成果;
序号 | 工作内容 | 被测评方工作内容 | CFCA工作内容 | 工时 (工作日) | 成果 |
1. | 定级 | 填写定级报告 | 协助、指导填写定级报告 | 5 | 《网络安全等级保护定级报告》 《定级专家评审意见》 |
2. | 备案 | 填写并提交备案表 | 协助、指导填写备案表 | 15 | 《网络安全等级保护备案表》及其附件 《定级备案证明》(备案成功后网安部门提供) |
3. | 建设整改 | 根据等保标准增加软硬件设备、对管理制度进行完善。 | 提供建设整改建议 | 10 | 《建设整改方案》、《管理制度文档》 |
4. | 等级测评 | 需要机房管理员、网络管理员、主机管理员、应用系统管理员、安全管理员配合,进行访谈、检测、测试工作。 | 根据等保相关标准要求进行等级保护测评工作 | 5 | 《现场测评记录》 《等级保护测评安全整改建议》 |
5. | 监督检查 | 到定级备案的公安机关网安部门提交测评报告。 | 协助指导可能遇到的监督检查工作。 | 1 | 《信息安全等级保护测评报告》 |
许定航(网络安全等级测评师),具备十年等保工作经验,主要参与等保项目的组织协调与测评工作。作者邮箱:xudinghang@cfca.com.cn
声明:本文来自网安前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。