好久没写过博客了,看了一下,上一篇写的时候还是在去年11月,自从实习之后就再也没写过了,在过去的时间了,我在实习单位学到的东西还是蛮多的,也是渐渐的入门等保这个行业了,积累了很多,想分享一下我在等保实习中的一些经验,先从最基础,也是比较重要的一个环节开始吧---备案。
#本文是基于实习的经验分享,相对客观,如有不专业或解释不到位的情况下,请大家提出,相互学习谢谢。
说起等保这个东西,网上科普的东西有很多,但基本上都是千篇一律,比如下面这些:
基本上都是一些概念性的的东西,很少看到能有详细展开介绍的文章,因此,我就这个问题针对某几个点去详细的介绍一下。
一、什么是定级备案
信息系统定级是等级保护工作的关键环节,涉及信息系统的安全保护等级确定、定级工作的流程和要求、备案工作的流程和要求等。信息系统的安全保护等级应根据系统在国家安全、经济建设、社会生活中的重要程度以及遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
二、定级备案的流程
2.1整体流程
本文将以广州市定级备案流程为例子向大家介绍,如下图所示:
根据广州市网络安全等级保护备案事项 网上办理操作指引 (2023 年 12 月 31 日,第四次修订)明确了信息系统定级备案需要的材料有备案表、定级报告、专家评审意见、法人证件、主管部门审核意见(如有)、授权委托书、经办人身份证明、测评报告关键页,三级或以上的系统还需要4个附件(系统拓扑结构及说明、系统安全组织机构和管理制度、系统安全保护设施设计实施方案或者改建实施方案、系统使用的信息安全清单及其认证、销售许可证明)。
现在广州市定级备案是分开的,当然各地区的定级备案也是陆续分开了的。首先是定级,定级需要的材料有定级报告、专家评审意见、法人证件、主管部门审核意见、授权委托书、经办人身份证明。备案需要的材料有备案表、授权委托书、经办人身份证明、测评报告关键页,三级及以上的信息系统还需要提供4个附件。
2.2 定级
虽然定级需要的材料有定级报告、专家评审意见、法人证件、主管部门审核意见、授权委托书、经办人身份证明,但实际上都会在定级的时候,将全部的材料一起补充,现在很多测评机构或者是外包都有这样的全套服务,企业或者单位加一点点预算基本上都能享受到一条龙服务了。
2.2.1 备案表
广州市定级备案的备案表如下所示:
备案表的填写情况相对简单,主要是将单位和系统的基本信息根据实际情况填写上去就可以了,值得注意的是表二中的07部分,关键产品使用情况,这个数量是否准确会影响到后续测评师的一个初步计划(当然测评师也会和客户现场再次核实设备情况的,越准确越好),其次就是表三中的01和02部分,这个地方是定级中的关键部分, 这里先不展开说,一般最后都是会以专家意见和定级报告一致的,其他的地方都是根据实际情况填写就可以。
2.2.2 定级报告
广州市定级报告模板如下所示:
定级报告要注意责任部门、部署情况(是否具备安全防护措施等)、网络拓扑图、信息系统的业务功能、破坏时所侵害客体的确定(参考定级指南)等信息,这个文档作为信息系统定级的关键,尽量填写详细,方便专家评审以及网监审查等。当然,部分客户的信息系统处于二级和三级的临界点,往往专家会建议定级为三级,但是由于客户经费有限,或其他原因,如信息系统不满足或无法满足三级系统的测评指标导致不合格。因此客户有可能会隐瞒或填写不属实的信息,这点需要注意,避免后期网监审核不通过等种种原因。
2.2.3 专家评审意见
广州市专家评审意见模板如下:
专家评审需要由客户在专家库里寻找和组织专家评审会议,会议主要议程是针对客户提出的定级意向做出评审和提出意见,客户往往会从定级备案的主体、信息系统的业务功能、系统的网络环境、破坏时所侵害的客体以及影响等方面做出介绍,而专家会根据这些问题综合提出专业性的建议,大多数地市级已经是必须要求二级或以上的系统要举行专家评审会,当然,专家评审的费用、评审场地等也是由客户方提供,除非你找外包一条龙服务,当然,测评机构等也会有这些服务。
2.3 提交材料
2.3.1 注册账号
首次做等保定级备案的单位或企业是必须要注册一个法人账号,这里就不作过多介绍,傻瓜式操作。
2.3.2 定级申请
再次强调一下,本文以是广州市网络安全等级保护备案事项为例子,各省各地市级要求不一致。流程如下所示:
2.4 总结
定级备案实际上就是一个对信息系统办理和领取、“身份证”的过程,即使等保里最简单,也是最重要的一个环节。
再次申明:本文主要是以企业(运行方)的视角去说明和分享在等保里如何去做定级和备案的过程,该篇着重分享了定级过程中所需要的材料以及材料如何填写,希望能对部分企业或是想要接触等保行业的新人,可以尝试从协助客户完成定级备案等初始环境学习,大多数外包公司或者是测评机构都会有一个独立的备案专员岗位,这个工作相对于测评工程师、渗透工程师以及安全服务工程师等其他岗位来说,还是比较轻松的,在闲暇之余可以进一步去发展。
附广州市网络安全等级保护备案事项网上办理操作指引。(可直接点击或复制下方链接)
https://pan.baidu.com/s/13LYWj26HGjR7aO8w3uLEEQ 提取码: 0000
谢谢!