等保1.0向2.0过渡时期,网络运营者应参照等保2.0相关标准的要求:梳理出定级对象并合理确定其安全保护等级、安全责任单位和具体责任人,开展网络定级备案、安全建设整改、等级测评和自查等工作,落实相关管理和技术措施,履行保护义务。这是公安部门的监管重点,也是网络运营者开展等级保护建设、测评的工作重点。
今天e小安就和大家分享在定级过程中需要注意的事项:
网安小咖
问:等保2.0的定级和1.0最大的不同是什么?
e小安
答:等保2.0中取消了“自主定级、自主保护”的定级原则,采取专家评审, 主管部门审核的定级方式。修改后的定级工作包括5个环节:确定定级对象——初步定级——专家评审——主管部门审核——公安机关备案审查。
也就是说,二级及二级以上所有系统定级必须经过专家评审和主管部门审核,才能到公安机关备案。有行业主管部门的,应当在评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
网安小咖
问:我们单位是云计算运营商,定级有特殊要求吗?
e小安
答:我们都知道,等保2.0增加了对云计算、移动互联、物联网、工业控制和大数据等对象的全覆盖,在具体定级时,《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定,相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
举个例子,云平台上的租户方定级是3级,那么作为服务提供方的云平台,它的等级则不能低于3级。
网安小咖
问:等保2.0定级过程中,有什么容易忽略的变化吗?
e小安
答:有一项改变,很多人都会忽视,就是等保2.0强化了对公民、法人和其他组织合法权益的保护。等保1.0中,对“公民、法人和其他组织”权益遭到特别严重侵害时,确定的保护等级为二级。而在等保2.0中,等级确定为三级。
网安小咖
问:等保2.0定级过程中,确定定级对象需要重点注意什么?
e小安
基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据在满足以上三个基本特征的基础上,还遵循如下要求:
● 基础信息网络:对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。
● 对于工业控制系统:应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
● 云计算平台:应区分为服务提供方与租户方,各自分别作为定级对象;对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
● 物联网:虽然包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。
● 采用移动互联技术的网络:应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。
● 大数据:除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
网安小咖
问:关键信息基础设施最低定几级?
e小安
答:对于关键信息基础设施,定级原则上不低于三级的规定。
除去定级以外,备案也是网络安全等级保护工作的初始环节之一,接下来就请跟随e小安一起看看一到三级系统备案的要求:
信息安全等级保护备案一级系统的要求
纸质版:
1、《XX单位基本情况统计表》(首页盖章。如多页,需加盖骑缝章)。应填写完整无空项,不得改动备案表版面格式。所有都应电脑填写,不得手填,单面打印。
2、《XX公司关于一级信息系统安全等级保护定级说明》(首页盖章。如多页,需加盖骑缝章)。
3、《网络与信息安全承诺书》签字盖章。
4、相关证件复印件各一份:
工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明);
法人代表身份证。
信息安全等级保护备案二级系统的要求
纸质版:
1、《信息系统安全等级保护备案表》一式两份(首页盖章)。应填写完整无空项,不得改动备案表版面格式。所有都应电脑填写,不得手填,单面打印。
2、《信息系统安全等级保护定级报告》一式两份(骑缝盖章)
3、《网络与信息安全承诺书》签字盖章,一式两份
4、《网络安全等级保护应急联系登记表》(抬头盖章)
5、相关证件复印件各一份:
工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、法人代表身份证。
6、公司、个人房产证、租房合同复印件并加盖公章或由物业部门开具的房屋租赁或入驻证明原件。
7、系统拓扑图并加盖公章
8、系统使用网络IP地址
电子版:刻录光盘一张(光盘封面用黑色mark笔注明单位名称)
1、《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》和《网络与信息安全承诺书》扫描件;所有证件原件扫描件
2、《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》和《网络安全等级保护应急联系登记表》word版
信息安全等级保护备案三级系统的要求
纸质版:
1、《信息系统安全等级保护备案表》一式两份(首页盖章)。应填写完整无空项,不得改动备案表版面格式。所有都应电脑填写,不得手填,单面打印。
2、《信息系统安全等级保护定级报告》一式两份(骑缝盖章)
3、《网络与信息安全承诺书》签字盖章,一式两份
4、《网络安全等级保护应急联系登记表》(抬头盖章)
5、专家评审意见以及至少一名专家的资质证明
6、相关证件复印件各一份:
工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、法人代表身份证。
7、公司、个人房产证、租房合同复印件并加盖公章或由物业部门开具的房屋租赁或入驻证明原件。
8、系统拓扑图并加盖公章
9、系统使用网络IP地址
另:互联网金融行业还需提交银行存管协议复印件并加盖公章
电子版:刻录光盘一张(光盘封面用黑色mark笔注明单位名称)
1、《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》和《网络与信息安全承诺书》扫描件;所有证件原件扫描件
2、《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》和《网络安全等级保护应急联系登记表》word版
3、《信息系统安全等级保护备案表》表四涉及的材料扫描件
网络定级备案是网络运营者开展等级保护工作的基础和关键,更是网络运营者履行等级保护义务的直接体现,保证做好定级备案工作是必要的。