网络安全等级保护的主要工作环节

Posted 2021-01-21

我国信息安全等级保护制度分为以下五个主要的工作环节：信息系统定级、信息系统备案、安全建设整改、安全等级测评和安全监督检查。

1. 信息系统定级。
   信息系统定级按照自主定级、专家评审、主管部分审批、公安机关审核的流程进行。信息系统运营使用单位按照《管理办法》和《信息系统安全等级保护定级指南》(GB/T22240-2008)，以下简称《定级指南》。自主确定信息系统的安全保护等级。为保证信息系统定级准确，可以组织专家进行评审。有上级主管部门的，应当经上级主管部门审批，跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。最后，至公安机关审核把关，合理确定信息系统安全保护等级。
2. 信息系统备案
   第二级以上信息系统，由信息系统运营使用单位到所在地区的市级以上公安机关网络安全保卫部门办理备案手续。公安机关按照《信息安全等级保护备案实施细则》(公信安【2007】1360号)要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。
3. 安全建设整改
   信息系统安全保护等级确定后，运营使用单位按照《管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安【2009】1429号)等有关管理规范和技术标准，选择《管理办法》要求的信息安全产品，制定并落实安全管理制度。落实安全责任，建设安全设施，落实安全技术措施。
4. 安全等级测评
   信息系统建设整改完成后，运营使用单位选择符合要求的测评机构，依据《管理办法》和《信息系统安全等级保护测评要求》（以下简称《测评要求》和《信息系统安全等级保护测评过程指南》（以下简称《测评过程指南》）标准，对信息系统安全保护状况开展等级测评，按照《信息系统安全等级测评报告模版(试行)》(公信安【2009】1487号)编写等级测评报告。
5. 安全监督检查
   公安机关依据《管理办法》和《公安机关信息安全等级保护检查工作规范(试行)》(公信安【2008】736号)，监督检查运营使用单位开展等级保护工作，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。
   各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和相关人员的责任。