定级备案指南(网络信息系统定级备案)

　　定级备案指南(网络信息系统定级备案)、本站经过数据分析整理出定级备案指南(网络信息系统定级备案)相关信息，仅供参考！

　　上周推送文章《等保2.0定级备案注意事项》后，很多朋友在后台留言说有些具体的实际操作流程不是很清楚。好了，E小安今天请来了一位大师(特别感谢天翼网络安全)，参照2019年北京市某区域定级备案流程，梳理定级备案和专家评审流程，并根据等保项目实施经验，解读每一步。推一把~ ~

　　一、系统分级请参考GAT 1389—2017信息安全技术网络安全分级指南(见步骤2相关资料文件夹)进行分级。定级对象的运营使用单位组织专家召开专家定级评审会(专家组至少由三名信息安全专家和业务专家组成，其中一名应为定级保护高级评估师)，出具初步定级建议并报行业主管部门或上级主管部门审核后，到公安机关备案(不得备案审核)

　　 1.平等保险2.0分级和备案流程

　　确定定级对象，初步确定等级，专家评审，主管部门审查，公安机关备案审查，最终确定等级。

　　 2.信息系统分级和归档工作

　　甲方可以自行进行，也可以聘请具有同等保险公估机构、具有同等保险安全施工服务机构的安全生产厂商等有资质的单位协助进行分级和备案工作。

　　 3.分级参考

　　 055-79000第四章分类原则和过程。(附件1)

　　 4.等级保护对象的安全保护级别分为以下五个等级

　　 a)第一层次，等级保护对象被破坏后，会对公民、法人和其他组织的合法权益造成损害，但不会危害国家安全、社会秩序和公共利益；

　　 b)第二层次，等级保护对象被破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序、公共利益造成损害，但不会危害国家安全；

　　 c)三级，当一级保护对象遭到破坏，将对公民、法人和其他组织的合法权益造成特别严重损害，或者对社会秩序、公共利益造成严重损害，或者对国家安全造成损害；

　　 d)第四级，等级保护对象被破坏后，将对社会秩序和公共利益造成特别严重的损害，或者对国家安全造成严重损害；

　　 e)第五级，等级保护的对象被破坏后，会对国家安全造成特别严重的损害。

　　解读

　　县级重要信息系统、地市级和省级通用信息系统。这里的一般信息系统是指不涉及敏感信息或重要信息的信息系统。这些系统可以归类为二级系统。

　　省级门户网站和地市级以上重要业务网站需定为三级，涉及工作秘密、敏感信息和重要信息的地市级以上办公系统、管理系统需定为三级，生产、调度、管理、指挥等省级分系统。需要划分为三级，省际网络系统需要划分为三级(这一般是全国专网系统)。

　　现在有的区县虽然是行政区县，但实际经济总量和人口都远远大于中西部的一些地级市。所以我们在给系统打分的时候，还是要结合系统的重要性来实际打分，不要拘泥于此。例如，我们存储了数百万敏感信息，如人口信息、住房信息等。在某个区的系统中，这样的系统必须被评为三级。如果评级不合理，以后不小心出了事是你自己的事，没必要把这种风险都扛在自己肩上。，行业有要求，就按照行业的要求去做，省心省力。一句话，如果信息系统涉及工作秘密和敏感信息，建议泄露或非法篡改的信息系统

　　 (一)电信网、广播电视传输网、互联网等基础信息网络。应根据业务类型、服务区域、安全责任主体等因素划分为不同的分级对象，而省际业务专网可以整体分级，也可以按区域划分为若干个对象。

　　 (2)用于工业控制系统。现场采集/执行、现场控制和过程控制应作为一个整体评分，而生产管理要素可单独评分。

　　 (3)对于云计算平台。应该分为服务商和租户，每一个都应该是分级对象。

　　 (4)针对物联网。虽然包含了感知、网络传输、处理、应用等诸多特征因素，但仍应将上述因素视为一个整体的评分对象，并不对每个因素单独进行评分。

　　 (5)采用移动互联网技术的网络类似于物联网。移动终端、移动应用、无线网络等要素和相关有线网络业务系统应作为一个整体进行分级。

　　 (6)针对大数据。除了安全责任主体相同的平台和应用可以整体评分外，应该单独评分。

　　 055-79000对基础信息网络、云计算平台、大数据平台做了专门规定。相关平台应当根据其承载或者将要承载的等级保护对象的重要程度，确定其安全保护等级，原则上不得低于其承载的等级保护对象的安全保护等级。大数据安全防护等级不低于三级。，如果上述平台被确定为关键信息基础设施，原则上其安全保护等级不应低于三级。

　　 6.以上信息得到证实。

　　根据甲方信息系统和机房的实际情况，编制《GAT 1389—2017信息安全技术网络安全等级保护定级指南》和《定级指南》。(附件2和3)

　　 7.分级备案表和分级报告已经完成。

　　下一步将进行专家评审。专家组至少由三名信息安全专家和业务专家组成，其中一名应为等级保护高级鉴定人。专家将根据甲方负责人对公司及信息系统的介绍，对评分是否合理提出相关建议，并形成专家评审意见表；

　　专家评审流程根据要求，确定专家评审名单，编辑专家评审会议议程(附件4)、专家签到表(附件5)、信息系统分级专家评审意见表(附件6)、被分级单位及信息系统介绍PPT(附件7)。

　　专家评审现场工作流程专家现场签到，甲方会议领导将纸质版评分记录表和评分报告交给专家参考，甲方信息安全领导宣布会议开始。甲方领导介绍公司实际情况及其信息系统，专家根据公司介绍、现场访谈、备案表、分级报告等信息提出建议。专家提出建议形成专家评审意见表，现场打印，专家签字，专家评审完成。

　　二。备案需要提交的材料提交到网安大队纸质版根据纸质版文件夹中的材料进行准备，提交时，备案材料按照第三步提交到网安大队纸质版文件夹中的序号进行排列。

　　电子压缩包要求用“公司全称-系统名称”命名压缩包，将以下文件放入压缩包，在提交纸质材料的，将电子压缩包提交给钉钉内的责任民警。原始扫描件，分辨率为300dpi - jpg格式。

　　纸质版本

　　 1.信息系统安全等级保护记录表一式两份(加盖封面单位名称)。应当填写完整，不得有任何遗漏，不得改变备案表的排版格式。打字，不写字，单面打印。

　　 2.信息系统安全等级保护分级报告一式两份(在分级表上盖章)。机器，单面印刷。

　　 3.《信息安全承诺书》签字盖章。法人签名

　　 4.相关文件复印件一份工商营业执照

　　 8.企业内部信息安全部门和技术部门组织架构人员登记信息表，在左上角盖章(表中标识两个24小时应急网络安全事件联系人)。

　　 9.从事互联网金融的企业(如网贷P2P平台、证券交易系统等。)必须提交法人签字并加盖单位公章的纸质版《信息系统安全等级保护备案表》。其他行业不需要提交。

　　电子压缩包要求

　　用“公司全称-系统名称”命名压缩包，将以下文件放入压缩包，在提交纸质材料的，将电子压缩包提交给负责的民警。原始扫描件，分辨率为300dpi - jpg格式。

　　 1.备案表、评分报告、信息安全承诺书扫描件。

　　 2.word版的备案表和评分报告

　　 3.XX单位XX系统-专家评审意见(原件扫描件)

　　 4.(三级系统需要提交备案)《信息系统安全等级保护定级报告》 (word版，盖章扫描均可)

　　 5.(三级系统需提交备案)XX单位系统使用的安全产品清单、合格证及销售许可证书(盖章扫描件)

　　 6.(三级系统应提交备案)单元拓扑图及说明(盖章扫描件)

　　 7.三级系统应提交表4的全部内容备案。

　　 8.信息安全部和技术部组织架构人员注册信息表，可编辑版本

　　 9.工商营业执照(或执业许可证、事业单位证书、非营利性事业单位证书等证照)原件扫描件和组织机构代码证原件扫描件(如三证或五证合一，略)

　　 10.法定代表人身份证原件扫描件

　　 11.备案表表1中单位负责人身份证原件扫描件。

　　 12.从事经营性公共互联网行业和信息系统交易及投资活动的企业需提交

　　 3.现场备案人员要求备案人员为单位法人授权的被授权人；被授权人需携带身份证原件、营业执照复印件原件、法人授权委托书原件到现场备案；被授权人应是本单位主管网络安全的领导(如主管副总裁或技术部门负责人)，了解信息系统的整体情况，参与信息系统的日常安全运维。

　　四。工作提示三级制备案，收到备案证明之日起30日内提交评估报告。整改实施方案可在系统评估完成后随评估报告一并提交网络安全部门，信息系统安全等级保护评估每年进行一次。

　　附件相关文件

　　所有材料的分级、归档和专家评审

　　 (本文不代表其他地区和城市的分级备案程序和材料规定，仅供参考)

　　获取分级、归档和专家评审材料的更详细方式

　　关注“E安在线”微信官方账号回复分级备案即可获得！

　　更多关于定级备案指南(网络信息系统定级备案)的请关注本站。