一����、信息安全等級保護(hù)備案概念
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定,國家實行網(wǎng)絡(luò)安全等級保護(hù)制度����。《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)第十五條規(guī)定,已運營(運行)的第二級以上信息系統(tǒng)�,應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi),由其運營����、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)�,應(yīng)當(dāng)在投入運行后30日內(nèi),由其運營����、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
在網(wǎng)絡(luò)安全等級保護(hù)2.0國家標(biāo)準(zhǔn)(等保2.0)中��,信息安全等級保護(hù)分為五級��,分別是第一級(自主保護(hù)級)�、第二級(指導(dǎo)保護(hù)級)、第三級(監(jiān)督保護(hù)級)���、第四級(強(qiáng)制保護(hù)級)和第五級(?�?乇Wo(hù)級),一至五級等級逐級增高�����。
二、信息安全等級保護(hù)備案辦理周期及有效期
辦理周期:30-40個工作日
有效期:3年
三�、信息安全等級保護(hù)備案業(yè)務(wù)場景
1、教育行業(yè):985�����、211大學(xué)必須做等保�,教育部發(fā)文要求在線教育必須做等保;
2、醫(yī)療行業(yè):各大醫(yī)院系統(tǒng)必須做等保���,互聯(lián)網(wǎng)醫(yī)院/互聯(lián)網(wǎng)診療要想上線取得線上診療資質(zhì)��,必須過等保;
3�����、金融行業(yè):不做等保不允許經(jīng)營��,P2P行業(yè)監(jiān)管最嚴(yán);
4�����、能源�、通信、交通行業(yè):上級主管部門要求;
5�����、政府機(jī)關(guān)�����,企事業(yè)單位�,央企:等保和負(fù)責(zé)人的績效考核掛鉤;
6、征信行業(yè):行業(yè)要求必須做等保;
7�����、軟件開發(fā):行業(yè)或者甲方要求必須做等保;
8��、物聯(lián)網(wǎng):行業(yè)或者甲方要求必須做等保;
9�����、工業(yè)數(shù)據(jù)安全:行業(yè)或者甲方要求必須做等保;
10��、大數(shù)據(jù):行業(yè)或者甲方要求必須做等保;
11���、云計算:阿里云���,華為云,云電話�,云視頻,云服務(wù)等;
12���、貨運行業(yè):企業(yè)辦理網(wǎng)絡(luò)貨運營運資格證要求必須做等保三級;
13��、酒店行業(yè):個人隱私保密;
14���、戶外大屏、廣告牌等用于公眾宣傳的項目:防止大范圍散播政治�、暴力、敏感信息�����。
四�、信息安全等級保護(hù)備案等級分類
第一級:用戶自主保護(hù)級。
適用于一般的信息系統(tǒng)���,其受到破壞后�����,會對公民��、法人和其他組織的合法權(quán)益產(chǎn)生損害�����,但不損害國家安全���、社會秩序和公共利益�。
第二級:系統(tǒng)審計保護(hù)級�。
適用于一般的信息系統(tǒng),其受到破壞后��,會對社會秩序和公共利益造成輕微損害����,但不損害國家安全。
第三級:安全標(biāo)記保護(hù)級�����。
適用于涉及國家安全�、社會秩序和公共利益的重要信息系統(tǒng),其受到破壞后��,會對國家安全、社會秩序和公共利益造成損害���。
第四級:結(jié)構(gòu)化保護(hù)級��。
適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)�,其受到破壞后���,會對國家安全���、社會秩序和公共利益造成嚴(yán)重?fù)p害�。
第五級:訪問驗證保護(hù)級���。
適用于涉及國家安全��、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)����,其受到破壞后�,會對國家安全、社會秩序和公共利益造成特別嚴(yán)重?fù)p害����。
五���、信息安全等級保護(hù)備案辦理條件
1、企業(yè)或組織具備合法資質(zhì)
進(jìn)行等保備案的企業(yè)多元化具有合法的經(jīng)營資質(zhì)���。這意味著企業(yè)應(yīng)依法注冊成立����,并且在相關(guān)行業(yè)具有一定的業(yè)務(wù)范圍和運營資格���。沒有合法資質(zhì)的企業(yè)��,難以通過正規(guī)備案流程��。
2��、所屬行業(yè)符合備案范圍
不同的行業(yè)對于信息安全等級保護(hù)的要求可能有所不同�。一般來說�,金融、能源���、交通����、通信、政府等關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)���,備案要求會更加嚴(yán)格����。而其他行業(yè)���,如制造、物流�����、教育等�,也需要按照相關(guān)標(biāo)準(zhǔn)進(jìn)行等級劃分和備案。
3�、信息系統(tǒng)已開展安全等級劃分
在備案之前,企業(yè)需要對其信息系統(tǒng)進(jìn)行安全等級劃分���。這一階段主要是由專業(yè)機(jī)構(gòu)或具有相應(yīng)資質(zhì)的安全評估機(jī)構(gòu)進(jìn)行評估�。系統(tǒng)的安全等級從一級到五級不等,等級越高���,安全要求越嚴(yán)�����。
4��、完成系統(tǒng)安全建設(shè)
企業(yè)應(yīng)確保其信息系統(tǒng)已經(jīng)按照劃分的安全等級進(jìn)行建設(shè)�����,涵蓋安全技術(shù)措施���、管理制度、安全運維等方面�����。這意味著系統(tǒng)已經(jīng)具備一定的安全防護(hù)能力�,滿足等級劃分的基本要求。
5���、完善安全管理制度
除了技術(shù)措施外��,企業(yè)還應(yīng)建立完善的安全管理制度����,包括安全責(zé)任制度、安全事件應(yīng)急預(yù)案�、日常安全檢查制度等。這些制度在備案過程中也是多元化提供的材料之一�����。
6���、具備必要的安全測評報告
完成安全等級劃分后�,企業(yè)需要提供由授權(quán)評估機(jī)構(gòu)出具的安全測評報告�����。該報告驗證企業(yè)信息系統(tǒng)是否符合對應(yīng)等級的安全標(biāo)準(zhǔn)��,是備案的重要依據(jù)��。
7���、合規(guī)的技術(shù)文檔和材料
在備案過程中,企業(yè)還需準(zhǔn)備一系列相關(guān)文檔,比如系統(tǒng)架構(gòu)圖�����、安全策略文件��、風(fēng)險評估報告等�。這些材料需要真實、完整且符合規(guī)范��。
企業(yè)在廣東進(jìn)行信息安全等級保護(hù)備案的條件主要是制度和技術(shù)雙方面的準(zhǔn)備工作到位��,確保信息系統(tǒng)達(dá)到對應(yīng)的安全等級要求�����,并擁有相關(guān)的評估和管理材料�。
六、信息安全等級保護(hù)備案辦理材料
1����、系統(tǒng)定級報告;
2、簽訂網(wǎng)絡(luò)與信息安全承諾書;
3��、專家評審意見及專家資質(zhì)復(fù)印件;
4���、營業(yè)執(zhí)照復(fù)印件;
5����、法人身份證復(fù)印件;
6、被授權(quán)人身份證復(fù)印件及辦理備案工作的授權(quán)委托書;
7����、備案單位辦公地證明;
8、備案單位服務(wù)器托管協(xié)議�。
七、信息安全等級保護(hù)備案辦理流程
第一步:確定定級對象
各行業(yè)主管部門����、運營使用單位應(yīng)組織開展對所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量��、分布���、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍���、系統(tǒng)結(jié)構(gòu)等基本情況����,確定定級對象。
第二步:初步確定安全保護(hù)等級
各信息系統(tǒng)主管部門和運營使用單位要按照《信息安全等級保護(hù)管理辦法》和《網(wǎng)絡(luò)安全等級保護(hù)定級指南》��,初步確定定級對象的安全保護(hù)等級��。確定信息系統(tǒng)安全保護(hù)等級后���,聘請專家進(jìn)行評審�。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的�,應(yīng)當(dāng)報上級行業(yè)主管部門審批同意。
第三步:等級備案
已運營(運行)或新建的第二級以上信息系統(tǒng)�����,應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)�����,由其運營�����、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)�����。公安機(jī)關(guān)經(jīng)審查,符合等級保護(hù)要求的����,應(yīng)當(dāng)在收到備案材料起的10個工作日內(nèi)向備案單位頒發(fā)信息系統(tǒng)安全保護(hù)等級備案證明;發(fā)現(xiàn)不符合要求的,通知備案單位予以糾正;發(fā)現(xiàn)定級不準(zhǔn)的���,通知備案單位重新審核確定�����。
第四步:建設(shè)整改及測評
定級對象的運營和使用單位根據(jù)公安機(jī)關(guān)定級審查的結(jié)果���,按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T
22239-2019)的相關(guān)要求,在測評機(jī)構(gòu)和相關(guān)技術(shù)支持單位的指導(dǎo)下�����,開展系統(tǒng)的安全建設(shè)及整改工作�。
第五步:監(jiān)督檢查
公安機(jī)關(guān)全程負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作的監(jiān)督、檢查和指導(dǎo);公安機(jī)關(guān)工作中發(fā)現(xiàn)不符合管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的�,應(yīng)當(dāng)發(fā)出整改通知要求整改。
八��、大通天成辦理信息安全等級保護(hù)備案的優(yōu)勢
九��、信息安全等級保護(hù)備案Q&A問答
1����、問:哪些系統(tǒng)需要辦理等保備案?
答:一般來說,涉及國家機(jī)關(guān)�、金融、能源�、交通、教育等行業(yè)的信息系統(tǒng)�,以及新建或已運行的二級(含)以上系統(tǒng),都需要在確定等級后 30
日內(nèi)到公安機(jī)關(guān)備案�。
2、問:備案需要準(zhǔn)備哪些材料?
答:常見材料包括系統(tǒng)定級報告��、安全管理制度�����、網(wǎng)絡(luò)拓?fù)鋱D�、安全建設(shè)整改方案、測評報告(如已測評)等��,具體以當(dāng)?shù)毓矙C(jī)關(guān)要求為準(zhǔn)����。
3�、問:備案后還需要做什么?
答:備案通過后�,需按等保要求進(jìn)行安全建設(shè)與整改,并接受公安機(jī)關(guān)的監(jiān)督檢查;若系統(tǒng)升級或等級變更��,需重新備案��。
十�、信息安全等級保護(hù)備案辦理價格
信息安全等級保護(hù)備案辦理費用無固定標(biāo)準(zhǔn),整體區(qū)間在2萬元起�����,核心受辦理地區(qū)���、辦理方式及企業(yè)自身條件決定�。主要差異在附加及代辦等費用���。
此外�����,企業(yè)若需增資�、人員、場地滿足辦理條件��,會產(chǎn)生額外成本;特殊行業(yè)及加急辦理也會讓費用相應(yīng)增加�。
