等级保护安全管理体系_信息安全等级保护定级及备案流程_小白网络安全自学

等级保护安全管理体系_信息安全等级保护定级及备案流程_小白网络安全自学

信息安全等级保护是我国信息安全保障的一项基本制度，是国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

参考规章制度

◆ 《信息安全等级保护管理办法》公通字[2007]43号

◆ 《信息安全技术 信息系统安全等级保护定级指南》GB/T 22240—2008

◆ 《信息安全等级保护备案实施细则》公信安[2007]1360号

定级流程

《信息安全等级保护管理办法》第二章 等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第三章 等级保护的实施与管理 第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

确定定级对象

各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照 《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。

《信息安全技术 信息系统安全等级保护定级指南》

5.2 确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征：

a) 具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

b) 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

c) 承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

确定信息系统级别

各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》，初步确定定级对象的安全保护等级。

确定系统服务等级

系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。

个人理解，一旦信息系统的服务内容可被其他系统或手工替代，系统服务等级可稍微降级计算。

确定业务信息等级

业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

确定信息系统级别

SAG的级别，其中S为业务信息等级，A为系统服务等级，G取两者中大的。

专家评审与审批

《信息安全等级保护管理办法》

第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

初步确定信息系统安全保护等级后，可以聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。

专家评审

《信息安全等级保护管理办法》

第十条 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

《信息安全等级保护备案实施细则》

第十二条 公安机关公共信息网络安全监察部门对定级不准的备案单位，在通知整改的同时，应当建议备案单位组织专家 进行重新定级评审，并报上级主管部门审批。 备案单位仍然坚持原定等级的，公安机关公共信息网络安全监察部门可以受理其备案，但应当书面告知其承担由此引发的责任和后果，经上级公安机关公共信息网络安全监察部门同意后， 同时通报备案单位上级主管部门。

主管单位审批

没有主管单位的，或者感觉系统就是自己用不需要主管单位批准的完全可以省略这一步。目前大部分的主管单位其实不想掺合各下属单位定级备案，怕负责任吧。

完善定级备案材料

主要是定级保护和备案表， 《信息安全等级保护管理办法》 第十六条 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

◆ 系统拓扑结构及说明；

◆ 系统安全组织机构和管理制度；

◆ 系统安全保护设施设计实施方案或者改建实施方案；

◆ 系统使用的信息安全产品清单及其认证、销售许可证明；

◆ 测评后符合系统安全保护等级的技术检测评估报告；

◆ 信息系统安全保护等级专家评审意见；

◆ 主管部门审核批准信息系统安全保护等级的意见。

备案流程

《信息安全等级保护管理办法》 第十五条 已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

《信息安全等级保护备案实施细则》

第六条 信息系统运营、使用单位或者其主管部门（以下简 称“备案单位”）应当在信息系统安全保护等级确定后30日内，到公 安机关公共信息网络安全监察部门办理备案手续。办理备案手续 时，应当首先到公安机关指定的网址下载并填写备案表，准备好 备案文件，然后到指定的地点备案。

第七条 备案时应当提交《信息系统安全等级保护备案表》 （以下简称《备案表》）（一式两份）及其电子文档。第二级以上 信息系统备案时需提交《备案表》中的表一、二、三；第三级以 上信息系统还应当在系统整改、测评完成后30日内提交《备案表》 表四及其有关材料。

第八条 公安机关公共信息网络安全监察部门收到备案单位 提交的备案材料后，对属于本级公安机关受理范围且备案材料齐 全的，应当向备案单位出具《信息系统安全等级保护备案材料接 收回执》；备案材料不齐全的，应当当场或者在五日内一次性告知 其补正内容；对不属于本级公安机关受理范围的，应当书面告知 备案单位到有管辖权的公安机关办理。

确定并联络所属公安机关

《信息安全等级保护备案实施细则》

第三条 地市级以上公安机关公共信息网络安全监察部门受 理本辖区内备案单位的备案。隶属于省级的备案单位，其跨地（市） 联网运行的信息系统，由省级公安机关公共信息网络安全监察部 门受理备案。

第四条 隶属于中央的在京单位，其跨省或者全国统一联网 运行并由主管部门统一定级的信息系统，由公安部公共信息网络 安全监察局受理备案，其他信息系统由北京市公安局公共信息网 络安全监察部门受理备案。

隶属于中央的非在京单位的信息系统，由当地省级公安机关 公共信息网络安全监察部门（或其指定的地市级公安机关公共信 息网络安全监察部门）受理备案。

跨省或者全国统一联网运行并由主管部门统一定级的信息系 统在各地运行、应用的分支系统（包括由上级主管部门定级，在 当地有应用的信息系统），由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

确定备案材料

《信息安全等级保护管理办法》

第十六条 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

到属地公安机关备案

《信息安全等级保护管理办法》

第十七条 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

注意几点

到底几级需要专家评审？

按《信息安全等级保护管理办法》第十条 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 按《信息安全等级保护管理办法》 第十六条 第三级以上信息系统备案时应提供信息系统安全保护等级专家评审意见。

所以，如果你们一次备案的系统都是二级的系统，那么可以不用专家评审，如果里面包含三级及以上系统，那么还是要专家评审的。请一次专家好几百，建议让专家把二级、三级的系统都评审了。

专家评审时准备什么材料？

规范一点的专家评审，评审时需要给专家看写好的各系统定级保护、备案表，同时请信息部门或业务部门对每个系统进行介绍及说明定级思路。由专家一个系统一个系统或一批系统一批系统的给出建议。建议包括级别准不准，报告和备案表写的对不对，好不好。

不规范的，就给专家一个定级意向（就是定级报告的后半部分），专家就判断定级准不准就行。但专家是要给予系统介绍来判断定级准不准的，所有系统介绍还是要有。

专家在现场还是会问一个系统的信息数据的敏感性，使用范围等，因此有必要请业务部门参会。

去公安备案到底要拿什么材料？

除了定级保护和备案表，你还有证明你是你。即企业法人证明或营业执照副本复印件、办理人身份证复印件、企业委托办理人办理备案事项的委托书，部分公安机关还要一个企业的信息安全承诺书。

所以去备案前到相关公安机关网站找到对应办事点的电话，先打电话问一下。

定三级还是二级？

按《信息安全等级保护管理办法》第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

所以三级系统需要每年有一次第三方测评报告和内部自查报告。目前公安部让企事业单位上报关键信息基础设施也是原则上要等保三级的，以后三级系统的相关监督检查会更严格。

但是定级还是要根据定级指南的。以上只是说说。

~

网络安全学习，我们一起交流

~