等级保护定级备案
等级保护定级备案是网络安全等级保护制度中至关重要的一环,它涉及到信息系统安全等级的划分和公安机关的备案过程。本文将详细介绍等级保护定级备案的阶段和流程,帮助企业更好地理解和执行这一制度。
定级备案概述
等级保护定级备案是指根据国家网络安全等级保护制度要求,对信息系统进行安全等级划分,并在公安机关进行备案的过程。这一制度旨在规范信息系统的安全管理,确保网络免受干扰、破坏或未经授权的访问,从而保障国家信息安全。
定级备案流程
定级备案流程具体如下:
-
确定定级对象:明确需要定级的信息系统。 -
初步确定等级:依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,根据信息系统受到破坏时对客体的影响程度,初步判断信息系统的安全保护等级。 -
组织专家评审:对于拟确定为三级及以上的信息系统,邀请专家对定级结果进行评审。 -
主管部门审批:将定级结果提交给主管部门进行审批。 -
公安机构备案审查:将审批结果报送公安机关进行备案审查。 -
最终确定级别:根据审查结果,最终确定信息系统的安全保护等级。
备案所需材料
备案所需材料主要包括:
-
《信息系统安全等级保护备案表》 -
《信息系统安全等级保护定级报告》 -
《信息系统安全等级保护补充信息表》 -
系统拓扑结构及说明 -
系统安全组织机构和管理制度等相关材料 -
营业执照或机构代码证复印件 -
《专家评审意见》等。
2024新版备案表变化解读
公安部网络安全保卫局于2024年11月6日更新了《网络安全等级保护备案表》,与前期版本相比,新版备案表在多个方面有了显著的优化,为各运营者在等级保护的实施与管理上提供了更加清晰的指导[1]。
名称和监制单位变化
-
名称变化:由“信息系统安全等级保护备案表”变为了“网络安全等级保护备案表”。
-
监制单位变化:由中华人民共和国公安部监制变为公安部网络安全保卫局监制。
制表依据更新
-
依据更新:由“根据《信息安全等级保护管理办法》(公通字[2007]43 号)之规定,制作本表”变为了“根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》之规定,制作本表”。
填表范围扩展
-
表单数量增加:新增了两项附件表:表四(新技术新应用场景信息表)和表六(数据摸底调查表备案表)。
-
说明项增加:由18项增加到了20项,增加了表四新技术新应用场景信息表和表六数据摸底调查表。
表一、单位基本情况
-
新增内容:单位统一社会信用代码、责任数据安全管理部门、责任数据安全管理部门联系人、行业类别新增多个选项、本次备案的定级对象数量、定级对象总数(含本次备案)。
-
名称变化:由“信息系统情况”变为了“定级对象情况”。 -
内容调整:增加了03定级对象类型,网络平台-网络性质中增加了源站IP地址范围、域名、主要协议/端口。去掉了原表中比较抽象的07关键产品使用情况、08系统采用服务情况以及09等级测评单位名称。去掉了业务类型中的03管理控制。
表三、定级对象定级情况
-
损害程度描述统一:与GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》中的描述进行了统一,损害程度由“损害”、“严重损害”和“特别严重损害”变为了“一般损害”、“严重损害”和“特别严重损害”。 -
新增地区安全、国计民生描述:除了国家安全,还增加了地区安全、国计民生的描述。
结语
通过以上详细介绍,希望企业能够更加清晰地理解等级保护定级备案的流程和要求,确保信息系统的安全等级得到合理划分并完成相应的备案工作。2024年新版备案表的变化,反映了国家对网络安全等级保护制度的重视和不断完善,企业应积极响应,确保网络安全等级保护工作的有效实施。
[1]
探索未知边界: https://mp.weixin.qq.com/s/noCYoQFIvwDuojAaBFcK_Q
原文始发于微信公众号(Sec Online):等级保护 | 定级备案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论