网络安全等级保护工作流程导读
2017年6月1日《网络安全法》正式实施,网络安全等级保护进入有法可依的2.0时代,网络安全等级保护制度规定于《网络安全法》的第二十一条,要求网络运营者应当按照网络安全等级保护制度,履行相应安全保护义务。
网络安全等级保护系列标准于2019年5月陆续发布,12月1日起正式实施,标志着等级保护正式迈入2.0时代。网络安全等级保护2.0时代,落实等级保护制度的五个规定基本动作仍然是:定级、备案、建设整改、等级测评、监督检查。现对这个五个步骤分别进行阐述。
定级
等级保护对象定级是等保工作的第一步,安全保护等级由两个要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。网络安全等级保护一共分为五个级别:第一级、第二级、第三级、第四级、第五级(安全防护强度/系统重要程度逐级增强)。如果无法确定等级保护对象的安全等级,就无法确定等级保护对象应采取的相应安全防护等级的安全措施。
作为定级对象的信息系统应具有如下基本特征:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c)包含相互关联的多个资源。
等级保护对象定级工作的一般流程:
确定定级对象
初步确定等级
专家评审
主管部门审核
公安机关备案审核
最终确定等级保护对象等级,等保2.0之后,定级为第二级及以上的等级保护对象必须进行专家评审、主管部门审核和公安机关备案审核。
备案
等级保护对象级别确定之后,30个工作日内网络运营者或其主管部门将定级材料提交到所在地设区的市一级公安机关网安部门办理备案手续。
备案成功后,由当地网安部门颁发《备案证明》。备案证明信息包括:单位名称、系统名称、系统级别等信息。获取到“备案证明”后便确定了等级保护对象的安全级别。
建设整改
等级保护对象备案成功后,对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
安全建设整改工作分五步进行:
落实安全建设整改工作部门,建设整改工作规划,进行总体部署;
根据其等级从《基本要求》中选择相应等级的基本安全要求,确定网络安全建设需求并论证;
确定安全防护策略,制定网络安全建设整改方案(安全建设方案须经专家评审论证,第三级(含)以上网络的安全建设整改方案应报公安机关备案);
根据网络安全建设整改方案,实施安全建设工程;
开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。
等级测评
建设整改后,网络运营者选择符合规定条件的测评机构,定期开展等级测评工作(第三年及以上应每年至少进行一次测评)。测评机构依据国家网络安全等级保护制度规定,按照《网络安全等级保护测评要求》、《网络安全等级保护测评过程指南》等相关规定标准,对被测等级保护对象进行等级保护对象识别、安全防护能力测试及评估,验证等级保护对象是否满勤等级保护相应等级的安全要求,并进行综合分析、出具《等级测评报告》。
网络安全等级保测评完成后,等级保护对象网络运营单位或责任主管部门将等级测评报告递交到市一级公安机关网安部门,网安部门接收测评报告后,等级测评工作完成。
监督检查
公安机关网安部门负责对等级保护网络的监督、检查、指导工作。网络运营者配合公安机关监督检查工作,如实提供有关材料及文件。当第三级及以上等级保护对象发生安全事件、案件时,备案单位应及时向受理备案的公安机关报告。
公安机关检查的主要内容包括:
日常网络安全防范工作;
重大网络安全风险隐患整改情况;
重大网络安全事件应急处置和恢复工作;
重大网络安全保卫工作落实情况;
其他的一些网络安全工作。
公安机关每年对第三级及以上的等级保护对象知识开展一次安全检查工作。