网络安全等级保护制度是一项国家级别制度。网络运营者依照《信息安全等级保护管理办法 公通字[2007]43号》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等相关法律法规要求对本单位的信息系统进行等级保护建设。
(一)基础类
1、《计算机信息系统安全保护等级划分准则》GB 17859-1999
2、《网络安全等级保护实施指南》GB/T 25058
(二)系统定级环节
3、《网络安全保护等级定级指南》GB/T 22240
(三)建设整改环节
4、《网络安全等级保护基本要求》GB/T22239-2019
(四)等级测评环节
5、《网络安全等级保护测评要求》GB/T28448-2019
6、《网络安全等级保护测评过程指南》GB/T28449-2018
等级保护工作过程分为:系统定级、系统备案、建设整改、等级测评、监督检查。
(一)系统定级
根据信息、信息系统的重要程度和信息系统遭到破环后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,确定信息系统的安全保护等级。
信息系统安全保护等级共分为五级:
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。属于指导保护级。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。属于强制保护级。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。属于专控保护级。
网络运营者根据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》标准,选择需要进行定级备案的系统,网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
(二)系统备案
根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》规范,网络安全等级保护为第二级以上网络(信息系统)的运营者使用单位应当到公安机关网络安全保卫部门办理备案手续。
(1)备案时机
已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、 使用单位到所在地设区的市级以上公安机关办理备案手续。
(2)备案地点
隶属于省级的备案单位,其跨地(市) 联网运行的信息系统,由省级公安机关网络安全保卫部门受理备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网络安全保卫部门受理备案。
各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也 要到当地公安网络安全保卫部门备案。
(3)备案结果
备案审核通过,由公安主管部分颁发《信息系统安全等级保护备案证明》。
(三)建设整改
(1)安全建设整改环节用到的主要技术标准
1、网络安全等级保护实施指南 (GB/T 25058-2019)
2、网络安全等级保护基本要求(GB/T 22239-2019)
3、网络安全等级保护安全设计技术要求(GB/T 25070- 2019)
(2)建设整改过程
建设整改过程包括:需求分析、总体规划、详细设计、工程实施共四个阶段。
(四)等级测评
信息系统建设完成后,运营、使用单位或者其主管部门应当选择《全国网络安全等级保护测评机构推荐目录》中的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等保2.0实施后,等保测评结论包括如下几种情况。
测评结论 |
判别依据 |
优 |
被测对象中存在安全问题,但不会导致被测对象面临中、高 等级安全风险,且系统综合得分90分以上(含90分)。 |
良 |
被测对象中存在安全问题,但不会导致被测对象面临高等级 安全风险,且系统综合得分80分以上(含80分)。 |
中 |
被测对象中存在安全问题,但不会导致被测对象面临高等级 安全风险,且系统综合得分70分以上(含70分)。 |
差 |
被测对象中存在安全问题,而且会导致被测对象面临高等级 安全风险,或被测对象综合得分低于70分。 |
(五)监督检查
监督检查是公安机关依据有关规定会同主管部门进行,由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
江西省已将网络安全等级保护工作中定级备案、测评工作纳入年度综合考核评价内容。 根据《关于加强网络安全等级保护工作的通知 赣等保办[2020]6号》,对于尚未进行网络安全等级保护定级备案和网络安全等级保护三级以上信息系统未开展年度测评的单位,将在年度综治考核评价中进行相应的扣分。
(1)本单位内部通过等保测评项目立项后,选择合适的招标代理机构进行公开招标,并一同制定招标文件。
(2)由招标代理机构组织等保测评项目的挂网公开招标。招标完成后,中标公司与本单位签订项目合同。
(3)合同签订后,由中标的公司即等保测评机构进行系统的安全测评,出具安全整改建议报告或差距评估报告。
(4)依据测评机构出具的差距评估报告,制定解决方案及项目上会材料。
(5)本单位组织系统研发单位、系统运维部门进行安全整改建设,可向等保测评机构进行技术咨询。
(6)整改建设完成之后,由测评机构对单位网络环境做测评,并出具测评报告。
(7)由测评机构对系统进行测评,并出具测评报告。
(8)以上工作完成后,与中标公司走项目验收流程。