山西信息安全等级保护如何办理
除了《网络安全法》的规定以外,山西省也有相关的条例规定了信息安全系统需要开展等级保护,三级以上的计算机系统需要开展等级保护,而就等保2.0新标准的要求,等保二级的信息系统就需要开展等级保护测评。因此,是否需要开展等级保护测评工作,需要根据定级备案结果来判定。
山西省信息安全等级保护法律法规
山西省计算机信息系统安全保护条例
《山西省计算机信息系统安全保护条例》2008年9月25日经省十一届人大常委会第六次会议表决通过,2009年1月1日起实施。
第二十条 第三级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当按照国家规定,选择符合国家规定条件的安全保护等级测评机构定期对其计算机信息系统安全状况进行等级测评。
定级依据和原则
定级依据
《信息安全等级保护管理办法》
《信息系统安全等级保护定级指南》
定级原则
谁拥有谁负责、谁运行谁负责。
自主定级。因为系统的重要程度以及在遭受破坏后造成多大影响自己最清楚。
定级对象确定
定级工作是信息系统等级保护工作的起点,定级结果直接决定了后续安全保障工作的开展。在定级之前,首先必须明确定级的对象,即:对哪个信息系统进行定级。《定级指南》中指出,作为定级对象的信息系统应当具备以下三个条件:
具有唯一确定的安全责任单位
具有信息系统的基本要素
承载单一或相对独立的业务应用
等级的确定
等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非由“后天”的安全保护措施决定。
定级方法
查表法
其他:专家评审、行业部门建议
备案
备案的作用
信息系统备案是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源,也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。
新建系统和已有系统没有参与备案的,符合要求的都要依法开展。
备案的时间
根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后30日内,到当地公安机关部门办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到当地公安机关部门办理备案手续。
备案资料
信息系统运营、使用单位应当在其系统安全保护等级确定后,向当地同级公安机关提前备案(县级单位应当向市级公安机关备案),备案时应当到备案机关填写备案登记表并按要求提交相关资料,包括纸质版和电子版。书面填写《信息系统安全等级保护备案表》一式两份。可填WORD文档,再打印输出,附上附件。备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等。
定级备案是一项可以由申请单位或者公司自主完成的工作,只要把相关资料按照相关格式和内容要求如实填写,并到当地公安机关部门办理备案手续即可。一般定级合理,资料审核合格,就可以获得备案证明。二级以上的信息系统要求进行等级保护测评,测评机构会把相关的测评结果以报告的方式提交到监管部门,审核报告后给出相关结果回执。