01为什么要做等保定级备案?
《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《网络安全法》中明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。而信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。
02定级工作原则
网络的定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。定级工作的主要内容包括确定定级对象、拟定网络的安全保护等级、组织专家评审、主管部门核准、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)和《网络安全等级保护定级指南》(GB/T 22240-2020)的要求执行。
在861号文中,我们看到定级范围为:
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称涉密信息系统)。
在这里,如果没有仔细去思考等级保护制度的人,往往会疑惑在“涉密信息系统”这个点上,不过我们在探讨常规定级过程中,是不需要纠结在这里的,我们有个了解即可。我们在以GB/T 22240-2020中所说的“定级”,全部是面向非涉密信息系统的,而涉密信息系统的具体定级工作则由涉密的另一套网络安全体系负责。
03政策解读
网络运营者是网络安全等级保护的责任主体,根据所属网络的重要程度和遭到破坏后的危害程度,科学合理确定网络的安全保护等级。同时,按照所定等级,依照网络安全等级保护基本要求中相应等级的管理规范和技术标准,建设网络安全保护设施,建立安全制度,落实安全责任,对网络实施保护。在等级保护工作中,网络运营者和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受网络安全监管部门的监管。
网络运营者和主管部门是网络基础设施安全的第一责任人,对所属网络自身安全负有直接责任;公安、保密、密码部门对网络运营者和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。重要网络和信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也影响国家安全、社会稳定、公共利益,因此,国家网络安全职能部门要对重要网络和信息系统的安全进行监管。
定级要素与网络的安全保护等级的关系如表所示:
定级要素与安全保护等级的关系
等级 | 对象 | 侵害客体 | 侵害程度 | 监管强度 |
第一级 | 一般网络 | 合法权益 | 损害 | 自主保护 |
第二级 | 合法权益 | 严重损害 | 指导 | |
社会秩序和公共利益 | 危害 | |||
第三级 | 重要网络 | 合法权益 | 特别严重损害 | 监督检查 |
社会秩序和公共利益 | 严重损害 | |||
国家安全 | 危害 | |||
第四级 | 特别重要网络 | 社会秩序和公共利益 | 特别严重损害 | 强制监督检查 |
国家安全 | 严重危害 | |||
第五级 | 极端重要网络 | 国家安全 | 特别严重危害 | 专门监督检查 |
04常见定级参考
在进行系统定级时,需要综合考虑多方面因素,如系统收集的个人信息量、重要数据的级别、系统功能、服务类型、攻击时可接受的中断时长等。企业中通常采用等保二级、三级,不同等级有不同的测评频率和安全要求。
在综合考虑系统等级时,以下因素是常见的定级参考:
个人信息收集与条数:考察系统是否涉及个人信息的收集,以及收集的个人信息条数。这直接关系到信息系统对隐私的管理和保护程度。
重要数据的量级:确定信息系统所处理的重要数据的规模。这包括对关键数据的分类和评估,以便更好地保护核心业务信息。
系统功能、服务类型及用户范围:了解系统的功能特点、提供的服务类型,以及系统用户的范围。这有助于确定系统在业务中的关键性和服务范围。
系统被攻击时可接受的中断时长:考虑系统在遭受攻击时可以接受的中断时长。这关系到系统的弹性和应急响应能力。
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
05定级备案需要哪些材料?
除了工商营业执照、法人代表身份证明等固定材料外,还需撰写提交其他材料,以三级为例。
·《网络安全等级保护备案表》:需介绍单位基本情况、信息系统情况、信息系统定级情况、提交材料情况等。
·《网络安全保护等级定级报告》:定级报告需介绍系统情况、系统功能、网络拓扑图、系统的定级理由及最终定级情况。
·《专家评审意见》:安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。
除此之外,企业还需提交的材料还包括:
·《系统的拓扑结构及说明》
·《系统安全组织机构说明》
·《系统安全保护设施设计实施方案》或《改建实施方案》
·《系统网络安全保护应急联系登记表》
......
但因每一个地方或地区公安机关网安部门要求不同,提交的材料也会有差异。
定级备案单位将以上材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明。