各位看官周五好,今天是七夕,在这里e小安祝大家有情人终成眷属~~
网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。信息系统定级工作应该按照“用户初步定级、专家评审、主管部门审批、公安机关审核”的原则进行。话不多说,且听我e安在线一一道来!希望今天的干货内容对等级保护认识不足的信息系统运营单位有一定帮助。
下图为定级、备案环节中所涉及到的政策文件:
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。网络安全等级保护制度将网络划分为五个安全保护等级,从第一级到第五级逐级增高。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成特别严重损害,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
可以看出系统等级越高,系统越重要,系统遭受破坏时造成的损害越严重。
定级过程中的“S”、“A”
信息系统安全包括业务信息安全和系统服务安全。
S:业务信息安全 A:系统服务安全
按照上述表格,可能出现的系统级别如下:
第一级:S1A1
第二级:S1A2,S2A2,S2A1
第三极:S1A3,S2A3,S3A3,S3A2,S3A1
第四级:S1A4,S2A4,S3A4,S4A4,S4A3,S4A2,S4A1
PS:《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定,相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。大数据安全保护等级不低于第三级。此外,若上述平台被确定为关键信息基础设施的,原则上其安全保护等级应不低于第三级。
备案工作包括信息系统备案、受理、审核和备案信息管理。网络运营者和受理备案的公安机关应按照《信息安全等级保护备案实施细则》(公信安【2007】1360号)的要求办理网络备案工作。
1. 备案地点
● 第二级以上(含)信息系统,确定等级后的30日内,由信息系统运营使用单位(备案单位)到地市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》。
● 隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关网络安全保卫部门受理备案。
● 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案。
● 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网络安全保卫部门受理备案。
● 各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。
《信息系统安全等级保护备案表》的内容包括:
1、单位基本情况
2、信息系统情况
3、信息系统定级情况
4、第三级以上信息系统提交材料情况
需要说明的是:关于云计算平台的备案,考虑到云计算的资源分散、管理统一的特点,按照“责权一致,便于监管”的原则,确立了“云计算服务商应该向云计算平台运维管理主体所在地公安机关进行备案”的工作模式,具体分为以下几种典型场景。
第一,本地化的云计算服务商,其机房所在地和运维管理主体所在地一致,云计算服务商直接到当地公安机关备案并接受备案机关的监督管理。
第二,云计算平台跨省部署,涉及两类安全责任主体:网络设备、主机设备及虚拟资源的配置和安全管理均由在某地集中办公的运维部门(独立法人)统一负责;各地数据中心运营者(独立法人)负责物理环境安全(例如建筑物门禁、电力供应等)。
云计算服务商应到运维管理主体所在地公安机关备案,其运维管理的云计算服务相关的业务系统接受备案公安机关的监督管理。同时,各数据中心的物理环境安全接受机房所在地公安机关的监管,物理基础设施(含机房建筑、机电设备和安防及监控系统等)可作为定级对象。
第三,云计算平台跨省部署,各地数据中心均租用当地IDC的物理基础设施,网络设备、主机设备及虚拟资源的配置和管理均由集中在某地办公的运维部门统一管理。云计算服务商应到运维管理主体所在地公安机关备案,当地机房及云计算服务相关业务系统接收所在备案公安机关的监督管理。对于物理环境安全,云计算服务商应选择与其自身安全保护等级相匹配的IDC机房。
Ok, 今天关于等级保护第一步——信息系统定级与备案的相关细节就为大家介绍这么多,如有遗漏欢迎各位在下方留言补充,一起为广大网络运营者提供有效的指引。
本文作者:北京益安在线
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/74558.html
必填 您当前尚未登录。 登录? 注册
必填(保密)