等保2.0信息系統(tǒng)定級、備案、專家評審流程
本篇文章參考2019年北京某區(qū)域定級備案流程文檔編寫,本文及相關(guān)文檔僅供參考,不代表其他區(qū)域及城市定級備案流程及材料,文章內(nèi)解讀流程是根據(jù)本等保項目實施經(jīng)驗編寫,不代表標(biāo)準(zhǔn)流程僅供參考,若有誤或侵犯請及時聯(lián)系本人。
一.系統(tǒng)定級
請參考GAT 1389—2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南(見第二步相關(guān)材料文件夾)定級,定級對象的運營使用單位應(yīng)組織專家召開專家定級評審會(專家組由最低由三名信息安全專家和業(yè)務(wù)專家組成,其中一名應(yīng)為等級保護(hù)高級測評師),出具初步定級建議并上報行業(yè)主管部門或上級主管部門審核后到公安機(jī)關(guān)備案(備案審查不通過運營使用單位重新組織定級工作)。
解讀:1、等保2.0定級備案流程:確定定級對象、初步確定等級、專家評審、主管部門審核、公安機(jī)關(guān)備案審查、最終確定等級。2、信息系統(tǒng)定級備案工作,甲方可以自己獨立完成,也可以聘請等保測評機(jī)構(gòu)、有等保安全建設(shè)服務(wù)機(jī)構(gòu)的安全廠商及其他有資質(zhì)單位協(xié)助完成定級備案工作。3、定級參考《GAT 1389—2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》第四章 定級原理及流程。(附件1)4、等級保護(hù)對象的安全保護(hù)等級分為以下五級:a)第一級,等級保護(hù)對象受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益:b)第二級,等級保護(hù)對象受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全;c)第三級,等級保護(hù)對象受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害;d)第四級,等級保護(hù)對象受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害; e)第五級,等級保護(hù)對象受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。5、定級范圍:包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、其他信息系統(tǒng)、大數(shù)據(jù)等。6、以上信息確定好,根據(jù)甲方信息系統(tǒng)及機(jī)房實際情況,編寫《信息系統(tǒng)安全等級保護(hù)備案表》、《信息系統(tǒng)安全等級保護(hù)定級報告》。(附件2、3)7、定級備案表和定級報告編寫完成,下一步進(jìn)行專家評審工作,專家組由最低由三名信息安全專家和業(yè)務(wù)專家組成,其中一名應(yīng)為等級保護(hù)高級測評師,專家現(xiàn)場會根據(jù)甲方負(fù)責(zé)人對公司及信息系統(tǒng)的介紹,提出定級是否合理相關(guān)建議并形成專家評審意見表;專家評審流程:根據(jù)要求確定專家評審名單、編輯專家評審會議程(附件4)、專家簽到表(附件5)、信息系統(tǒng)定級專家評審意見表(附件6)、被定級單位及信息系統(tǒng)介紹PPT(附件7)。專家評審現(xiàn)場工作流程:專家到現(xiàn)場簽到入座、甲方會議負(fù)責(zé)人將定級備案表及定級報告紙質(zhì)版給專家查閱,甲方信息安全負(fù)責(zé)人宣布會議開始,由甲方負(fù)責(zé)人介紹公司及信息系統(tǒng)實際情況,專家根據(jù)公司介紹、現(xiàn)場訪談、備案表、定級報告等信息提出建議,專家提出建議形成專家評審意見表,現(xiàn)場打印由專家簽字,專家評審工作完成。 二.備案需要提交的材料提交網(wǎng)安大隊紙質(zhì)版:按照紙質(zhì)版文件夾內(nèi)材料進(jìn)行準(zhǔn)備,提交時備案材料按照第三步提交網(wǎng)安大隊紙質(zhì)版文件夾內(nèi)序號排列。電子版壓縮包要求:以“單位全稱-系統(tǒng)名稱”命名壓縮包,將以下文件放入壓縮包內(nèi),提交紙質(zhì)材料的同時在釘釘內(nèi)向負(fù)責(zé)民警提交電子版壓縮包。原件掃描件要求,分辨率300dpi---jpg格式。
紙質(zhì)版:1. 信息系統(tǒng)安全等級保護(hù)備案表一式兩份(封面單位名稱處蓋章)。應(yīng)填寫完整、無漏項,不得改動備案表版面格式。機(jī)打,不可手寫,單面打印。2. 信息系統(tǒng)安全等級保護(hù)定級報告一式兩份(定級表格處蓋章)。機(jī)打,單面打印。3. 信息安全承諾書簽字蓋章。法人親筆簽字4. 相關(guān)證件復(fù)印件各一份:工商營業(yè)執(zhí)照(或執(zhí)業(yè)許可證、事業(yè)單位證書、非盈利性機(jī)構(gòu)證書等許可證明)、法人代表身份證、組織機(jī)構(gòu)代碼證(如三證合一,省略)。5. 法人授權(quán)書(被授權(quán)人需攜帶本人身份證原件及復(fù)印近)。6. 實際辦公地的房產(chǎn)證或租房合同復(fù)印件。7.主機(jī)托管合同或云主機(jī)租用合同的復(fù)印件。8. 企業(yè)內(nèi)部信息安全部門、技術(shù)部門組織架構(gòu)人員登記信息表,左上角蓋章(表格中確定兩位24小時應(yīng)急處置網(wǎng)絡(luò)安全事件聯(lián)系人)。9.從事互聯(lián)網(wǎng)金融的企業(yè)(如網(wǎng)貸P2P平臺、證券交易系統(tǒng)等),備案時需提交紙質(zhì)版《信息安全等級保護(hù)備案證明使用承諾書》法人親筆簽字,加蓋單位公章。其他行業(yè)無需提交。(備案面審提交時請按照以上順序排列材料) 電子版壓縮包要求:以“單位全稱-系統(tǒng)名稱”命名壓縮包,將以下文件放入壓縮包內(nèi),提交紙質(zhì)材料的同時在釘釘內(nèi)向負(fù)責(zé)民警提交電子版壓縮包。原件掃描件要求,分辨率300dpi---jpg格式。1.備案表、定級報告和信息安全承諾書蓋章掃描件2.備案表和定級報告word版;3.XX單位XX系統(tǒng)-專家評審意見(原件掃描件)4.(三級系統(tǒng)備案時需提交)《XX單位-信息安全工作管理制度》(word版,蓋章掃面件均可)5.(三級系統(tǒng)備案時需提交)XX單位系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明(蓋章掃描件)6.(三級系統(tǒng)備案時需提交)單位拓?fù)鋱D及說明(蓋章掃描件)7.三級系統(tǒng)需提交備案表表四全部內(nèi)容。8.信息安全部、技術(shù)部組織架構(gòu)人員登記信息表,可編輯版。9.工商營業(yè)執(zhí)照副本原件掃描件(或執(zhí)業(yè)許可證、事業(yè)單位證書、非盈利性機(jī)構(gòu)證書等許可證明)、組織機(jī)構(gòu)代碼證原件掃描件(如三、五證合一,省略)10.法人代表身份證原件掃描件;11.備案表表一中單位負(fù)責(zé)人身份證原件掃描件;12.從事經(jīng)營性公眾互聯(lián)網(wǎng)行業(yè)及有交易投資活動的信息系統(tǒng)的企業(yè)需要提交《信息安全等級保護(hù)備案證明使用承諾書》電子版文件相關(guān)格式請參考
三.現(xiàn)場備案人員要求
備案辦理人員需為單位法人授權(quán)的被授權(quán)人;被授權(quán)人需攜帶本人身份證原件、營業(yè)執(zhí)照副本原件、法人授權(quán)書原件到現(xiàn)場備案;被授權(quán)人,應(yīng)為單位網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)(如主管副總裁或技術(shù)部門負(fù)責(zé)人),應(yīng)了解信息系統(tǒng)整體情況,參與日常信息系統(tǒng)安全運維。
四.工作提示三級系統(tǒng)備案,自備案證明領(lǐng)取之日起,30日內(nèi)提交測評報告,整改實施方案可在系統(tǒng)測評完成后同測評報告一同提交網(wǎng)安部門,并每年開展一次信息系統(tǒng)安全等級保護(hù)測評。