等保系列之——备案
开展等级保护工作共分五步,等保定级备案是网络运营者开展等级保护工作的基础和关键,而等保备案则是网络运营者履行等级保护义务的直接体现。
在日常工作中,我们发现一些单位、部门对网络系统定级、备案工作理解尚存在偏差。当网络系统遭受攻击,重要数据被窃取破坏造成重大损失后,才求助于公安机关。这样一方面给公安机关立案侦查带来不便,另一方面则导致网络运营者因未履行安全管理义务而被追责。
为了让大家更好的掌握备案的知识和流程,今天就把备案的相关内容和大家分享,并就备案过程中的常见问题给予解答。
01丨网络安全等级保护备案的依据
《中华人民共和国计算机信息系统安全保护条例》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全等级保护备案实施细则》(公信安[2007]1360号)
02丨备案材料准备
办理信息系统等级保护备案手续时,应当填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,第三级以上信息系统应当同时提供以下材料:
(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;
(3)系统安全保护设施设计实施方案或者改建实施方案;
(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;
(6)信息系统安全保护等级专家评审意见;
(7)主管部门审核批准信息系统安全保护等级意见。
03丨专家评审与主管部门审核
定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果形成定级报告的合理性进行评审, 出具专家评审意见;
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
04丨备案材料提交及审核
1. 备案材料提交
公安机关网安部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当场或者在5日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的管安机关办理。
2. 备案材料审核
经审核符合等级保护要求的 ,公安机关应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档,出具由公安部统一监制的《信息系统安全等级保护备案证明》;对不符合等级保护要求的,公安机关网安部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
答疑解惑
01到底几级需要专家评审?
专家评审需要准备哪些材料?
根据《信息安全技术 网络安全等级保护定级指南》要求,第二级以上的等级保护对象,备案时要组织专家评审,提供专家评审意见。
正常来说,专家评审需邀请业内三位专家(其中包含高级测评师),在专家到来前应准备好信息系统定级报告及备案表纸质版各三份,另外还需准备一份PPT,介绍自己公司情况及系统情况。
02去公安机关备案到底需要提交什么材料?
除了上述《备案表》和《定级报告》必备材料外,一般还需要营业执照副本复印件、法人身份证、法人授权书、信息安全承诺书、单位办公地证明等。当然每个地方或区域公安机关网安部门要求不同,提交材料也会有差异。所以在备案前,建议还是先找到相关公安机关网安部门电话咨询。
03进行信息系统定级备案的地点?
区县——先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案
地级——各地级市的单位将定级资料交给各自地级市的网安支队
省级——省级单位将资料交给省公安网安总队
04云系统到哪里进行系统定级备案?
对于云状态下的信息系统比较典型,不管是云服务商还是云租户方的信息系统都可能存在注册经营地址和运维办公地址不一致的情况,对于这种情况而言为了方便对系统进行监管,系统应当在系统实际运维办公所在地市网安部门进行系统备案,在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级备案,云租户侧的等级保护对象作为单独的定级对象定级备案。
开展等级保护工作共分五步,等保定级备案是网络运营者开展等级保护工作的基础和关键,而等保备案则是网络运营者履行等级保护义务的直接体现。
在日常工作中,我们发现一些单位、部门对网络系统定级、备案工作理解尚存在偏差。当网络系统遭受攻击,重要数据被窃取破坏造成重大损失后,才求助于公安机关。这样一方面给公安机关立案侦查带来不便,另一方面则导致网络运营者因未履行安全管理义务而被追责。
为了让大家更好的掌握备案的知识和流程,今天就把备案的相关内容和大家分享,并就备案过程中的常见问题给予解答。
01丨网络安全等级保护备案的依据
《中华人民共和国计算机信息系统安全保护条例》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全等级保护备案实施细则》(公信安[2007]1360号)
02丨备案材料准备
办理信息系统等级保护备案手续时,应当填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,第三级以上信息系统应当同时提供以下材料:
(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;
(3)系统安全保护设施设计实施方案或者改建实施方案;
(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;
(6)信息系统安全保护等级专家评审意见;
(7)主管部门审核批准信息系统安全保护等级意见。
03丨专家评审与主管部门审核
定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果形成定级报告的合理性进行评审, 出具专家评审意见;
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
04丨备案材料提交及审核
1. 备案材料提交
公安机关网安部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当场或者在5日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的管安机关办理。
2. 备案材料审核
经审核符合等级保护要求的 ,公安机关应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档,出具由公安部统一监制的《信息系统安全等级保护备案证明》;对不符合等级保护要求的,公安机关网安部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
答疑解惑
01到底几级需要专家评审?
专家评审需要准备哪些材料?
根据《信息安全技术 网络安全等级保护定级指南》要求,第二级以上的等级保护对象,备案时要组织专家评审,提供专家评审意见。
正常来说,专家评审需邀请业内三位专家(其中包含高级测评师),在专家到来前应准备好信息系统定级报告及备案表纸质版各三份,另外还需准备一份PPT,介绍自己公司情况及系统情况。
02去公安机关备案到底需要提交什么材料?
除了上述《备案表》和《定级报告》必备材料外,一般还需要营业执照副本复印件、法人身份证、法人授权书、信息安全承诺书、单位办公地证明等。当然每个地方或区域公安机关网安部门要求不同,提交材料也会有差异。所以在备案前,建议还是先找到相关公安机关网安部门电话咨询。
03进行信息系统定级备案的地点?
区县——先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案
地级——各地级市的单位将定级资料交给各自地级市的网安支队
省级——省级单位将资料交给省公安网安总队
04云系统到哪里进行系统定级备案?
对于云状态下的信息系统比较典型,不管是云服务商还是云租户方的信息系统都可能存在注册经营地址和运维办公地址不一致的情况,对于这种情况而言为了方便对系统进行监管,系统应当在系统实际运维办公所在地市网安部门进行系统备案,在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级备案,云租户侧的等级保护对象作为单独的定级对象定级备案。
声明:本文来自信息安全工程中心 信息安全国家工程研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系删除。
