等保2.0+

等级保护2.0系列问答(二)


发布时间 2019-06-21  


第6问:我单位如何开展等级保护建设的相关工作?



等级保护工作是一个系统性工程,根据网络安全等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、建设整改、系统测评、监督管理。

一、系统定级

对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。

二、系统备案

各信息系统主管部门和运营使用单位应准备系统定级备案材料,材料包括:《信息系统安全等级保护备案表》:单位基本情况、信息系统情况、信息系统定级情况等材料。第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。

各信息系统主管部门和运营使用单位按照属地原则,向其所在地县级以上公安机关办理备案手续。公安机关在接到备案材料及电子数据文件后,于10个工作日内完成材料审查,并对系统安全等级进行初步审核,并出具网络安全等级保护备案证明。

明显定级不准,提请当地公安机关等级保护专家组进行再评审,同时撰写《信息系统安全保护等级备案情况复函》,并正式复函备案信息系统主管部门和运营使用单位,并协调系统运营使用单位对系统级别进行调整。

三、建设整改

对于新建的信息系统,要按照等级保护相关标准,撰写等级保护建设方案,并根据建设方案组织集成实施。

对于已有信息系统,信息系统运营使用单位负责系统的风险评估和整改建设工作, 重要信息系统的运营使用单位应形成系统等级保护整改建设方案,并根据整改方案组织集成建设。

对于三级以上的信息系统建设整改方案,要组织专家进行评审,形成专家评审意见,并最终形成等级保护户整改建设方案。

四、系统测评

信息系统的运营使用单位应落实系统安全等级测评资金保障工作,同时开展等级测评工作。

信息系统建设完成后,运营、使用单位或者其主管部门应当选择第三方测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级以上信息系统应当每年至少进行一次等级测评(等保1.0标准里面等级保护四级系统需要每半年一次,现在调整为每年一次),第五级信息系统应当依据特殊安全需求进行等级测评。



第7问:如何理解等级保护2.0标准中的定级对象?



根据《定级指南》,对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。

对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。

对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。

对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。



第8问:如何确定定级对象的保护等级?



信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。

等级保护对象受到破坏时所侵害的客体包括以下三个方面:
◆ 公民、法人和其他组织的合法权益;
◆ 社会秩序、公共利益;
◆ 国家安全。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
◆ 造成一般损害;
◆ 造成严重损害;
◆ 造成特别严重损害。

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。


从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。


等级对象最终等级的确认是根据业务信息安全等级和系统服务安全等级,两者取其高者为最终等级。如下所示:



第9问:等级保护2.0的定级流程是什么?


等级保护定级流程可以大致分为六个步骤,分别是:

一、确定定级对象;

二、初步定级;

三、专家评审(二级以上定级,使用单位应组织专家对初步定级结果的合理性进行评审, 出具专家评审意见);

四、主管部门审核(使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核);

五、公安机关备案审查(使用单位应将初步定级结果10日内提交公安机关进行备案审查,审查不通过,其使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级);

六、等级变更(业务状态和系统服务范围发生变化,应根据本标准要求重新确定定级对象和安全保护等级)。


第10问:什么样的系统要求定级?系统备案去哪里?找谁备案?



对于如下信息系统,均属于等级保护定级备案的范畴,具体包括:

一、 对于电信网、广播电视传输网、互联网等基础信息网络。应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。

二、对于工业控制系统。应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。

三、对于云计算平台。则应区分为服务提供方与租户方,各自分别作为定级对象。

四、对于物联网。虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。

五、采用移动互联技术的网络与物联网类似。应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。

六、对于大数据。除安全责任主体相同的平台和应用可以整体定级外,应单独定级。

第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到当地县级以上公安机关备案。

相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、软件组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。