网络安全等级保护制度是我国现行网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。
网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。而网络安全等级保护的五个规定动作,其中有第二个就是:备案!
在开展整个等级保护工作中,先定级再备案,备案是非常重要的一个环节,是公安机关摸底数,清状况、排隐患,抓整改的基础。针对等级保护对象进行备案流程这块工作,很多网络运营者或责任主体单位往往推给了第三方,比如测评机构或安全服务商,自身则不甚明了,这种状况是不好的,也是不利于自身网络安全工作开展的。因为第三方不能完全代替网络运营者自身,网络运营者自己比公安机关更需要摸底数,清状况、排隐患,抓整改,最终实现网络安全的保护能力提升。
结合《信息安全等级保护备案实施细则》,我们网络安全等级保护梳理备案工作。
![网络安全等级保护:网络备案工作内容和要求]( "网络安全等级保护:网络备案工作内容和要求")
网络安全等级保护备案与受理
网络安全等级保护备案工作包括网络备案、受理、审核和备案信息管理等。各方主要参照《信息安全等级保护备案实施细则》(公信安[2007]1360号)的要求开展办理网络备案工作。
第二级(含)以上网络,在安全保护等级确定后30日内,由其网络运营者或者其主管部门(下称“备案单位”)到所在地设区的地市级以上公安机关办理备案手续。办理备案手续时,应先到公安机关指定的网址下载并填写备案表,准备好备案文件,再到指定的地点办理备案手续。
备案时应当提交《信息系统安全等级保护备案表》(下称《备案表》)(一式二份)及其电子文档。第二级以上网络备案时需提交《备案表》表一、表二、表三。第三级以上网络还应当在网络安全整改、测评完成后30日内提交《备案表》表四及其有关材料。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的网络系统,由主管部门向公安部办理备案手续;其他网络系统向北京市公安局备案。跨省或者全国统一联网运行的网络系统在各地运行、应用的分支系统,应当向当地设区的地市级以上公安机关备案。各部委统一定级网络系统在各地的分支系统(包括终端连接、安装上级系统运行的没有数据库的分系统,即使是上级主管部门定级的,也要到当地公安机关备案
![网络安全等级保护:网络备案工作内容和要求]( "网络安全等级保护:网络备案工作内容和要求")
第一,本地化的云计算服务商,其机房所在地和运维管理主体所在地一致,云计算服务商直接到当地公安机关备案并接受备案机关的监督管理。
第二,云计算平台跨省部署,涉及两类安全责任主体:网络设备、主机设备及虚拟资源的配置和安全管理均由在某地集中办公的运维部门(独立法人)统一负责;各地数据中心运营者(独立法人)负责物理环境安全(例如建筑物门禁、电力供应等)。云计算服务商应到运维管理主体所在地公安机关备案,其运维管理的云计算服务相关的业务系统接受备案公安机关的监督管理。同时,各数据中心的物理环境安全接受机房所在地公安机关的监管,物理基础设施(含机房建筑、机电设备和安防及监控系统等)可作为定级对象。
第三,云计算平台跨省部署,各地数据中心均租用当地IDC的物理基础设施,网络设备、主机设备及虚拟资源的配置和管理均由集中在某地办公的运维部门统一管理。云计算服务商应到运维管理主体所在地公安机关备案,当地机房及云计算服务相关的业务系统接受所在备案公安机关的监督管理。对于物理环境安全,云计算服务商应选择与其自身安全保护等级相匹配的IDC机房。
地市级以上公安机关网络安全保卫部门受理本辖区内备案单位的备案。隶属于省级的备案单位,其跨地(市)联网运行的网络系统,由省级公安机关网络安全保卫部门受理备案。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的网络系统,由公安部网络安全保卫局受理备案,其他网络系统由北京市公安局网络安全保卫部门受理备案。
![网络安全等级保护:网络备案工作内容和要求]( "网络安全等级保护:网络备案工作内容和要求")
隶属于中央的非在京单位的网络系统,由当地省级公安机关网络安全保卫部门(或其指定的地市级公安机关网络安全保卫部门)受理备案。
跨省或者全国统一联网运行并由主管部门统一定级的网络系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的网络系统).由所在地市级以上公安机关网络安全保卫部门受理备案。
公安部组织开发了网络安全等级保护监管系统并配发各地,搭建了一个部、省、市三级公安机关等级保护综合管理平台。该系统由部、省两级公安机关部署,供部、省、市三级公安机关使用,为全国网络系统定级、和监督检查工作提供支持,为网络安全监察业务服务。各地公安机关要按照《关于部署开展等级保护安全监察管理系统建设的通知》的要求,组织本地开展系统建设,及时将定级备案和相关数据录入系统,利用该系统开展等级保护工作。
![网络安全等级保护:网络备案工作内容和要求]( "网络安全等级保护:网络备案工作内容和要求")
公安机关受理网络要求
受理备案的公安机关网络安全保卫部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。
接收备案材料后,公安机关应当对下列内容进行审核:备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致;网络系统所定安全保护等级是否准确。
公安机关收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《网络安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在5日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。
经审核符合等级保护要求的,公安机关应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关网络安全保卫部门应当在10个工作日内通知备案单位进行整改,并出具《网络安全等级保护备案审核结果通知》。
《备案表》表一、表二、表三内容经审核合格的,公安机关出具《网络安全等级保护备案证明》(下称《备案证明》)。《备案证明》由公安部统一监制。
受理备案的公安机关网络安全保卫部门应当建立管理制度,对备案材料按照等级进行严格管理,严格遵守保密制度,未经批准不得对外提供查询。
网络运营者在确定网络的安全保护等级时,公安机关网络安全保卫部门可以对其如何科学、合理地确定定级对象,以及如何把握网络的重要程度、网络安全保护级别的确定等给予指导。网络运营者在完成网络系统定级后,应及时要求其向当地设区的地市级以上公安机关备案。
公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意,同时通报备案单位上级主管部门。
对拒不备案的,公安机关应当依据《网络安全法》《计算机信息系统安全保护条例》等有关法律法规规定,责令限期整改。逾期仍不备案的,应予以警告,并向其上级主管部门通报。需要向中央和国家机关通报的,应当报经公安部同意。
网络安全等级保护定级回顾
定级对象确定环节目标是通过对定级过程中产生的文档进行整理,最终形成包含单位信息化现状概述、管理模式、定级对象列表、每个定级对象的概述、边界、设备部署、支撑的业务应用、定级对象列表、安全保护等级以及保护要求组合等内容的等级保护对象定级结果报告。到此,定级工作才算真正结束,定级工作结束后就需要根据《管理办法》要求,到属地公安机关网安部门进行备案。
行业/领域主管部门出具行业指导意见——依据的是行业介绍文档、《定级指南》;
等级保护对象分析——依据的是单位情况说明文档、等级保护对象的立项、建设和管理文档,行业/领域定级指导意见等;
定级对象确定——依据的是行业/领域定级指导意见,行业/领域定级工作部署文件,等级保护对象总体描述文件,《定级指南》等;
定级、审核和批准——依据的是行业/领域定级指导意见、等级保护对象总体描述文件、定级对象详细描述文件;
形成定级报告——依据的是定级对象详细描述文件、专家评审意见、定级结果。
以上定级工作流程,是一个理想化的定级工作开展参考,在各地开展定级工作中,自然会出现大同小异的地方,但不影响等级保护工作的整体推进。定级工作是落实等级保护制度的开始,而好的开始恰恰正是成功的一半!
本文始发于微信公众号(祺印说信安):网络安全等级保护:网络备案工作内容和要求
评论