信息系统保护等级备案办理条件、材料及流程
1. 等保定级
目标:确定信息系统的保护等级,是整个等保工作的起点。
:
分析识别:识别信息系统的边界、功能、数据类别等。
初步定级:依据《信息系统安全保护等级定级指南》,初步确定保护等级。
专家评审与审批:组织专家进行评审,终确定并报相关部门备案。信息系统安全等级由系统运用、使用单位依据《信息系统安全等级保护定级指南》自主确定,有主管部门的需经主管部门审批。对于拟确定为四级及以上信息系统,还应经专家评审会评审。
2. 等保备案
目标:按照所定等级的安全要求,进行备案登记。
步骤:
运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。
公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。
3. 建设整改
目标:根据定级要求,进行安全防护措施的建设和整改,确保达到相应等级的安全标准。
步骤:
差距分析:比对现有安全状况与等级保护要求的差距。
方案设计:制定详细的安全建设整改方案。
实施建设:采购、部署安全产品,建立安全管理制度和流程。
测试验证:完成建设后,进行内部测试,确保各项措施有效运行。
4. 等级测评
目标:由国家认可的第三方测评机构进行独立、公正的安全测评。
步骤:
选择测评机构:选择具有相应资质的测评机构。
现场测评:测评机构进驻,进行文档审查、访谈、技术检测等。
出具测评报告:测评结束后,出具正式的测评报告,包括符合项与不符合项。三级及以上信息系统至少每年进行一次等级测评,四级及以上信息系统至少每半年进行一次等级测评,五级应当依据特殊安全需求进行等级测评。
5. 监督检查
目标:根据测评结果,持续优化安全体系,同时接受上级监管部门的监督。
步骤:
整改落实:针对测评中发现的不符合项,制定并执行整改措施。
定期复查:定期进行复审,确保整改效果,维持或提升安全等级。
监管反馈:向监管部门提交整改情况报告,接受监督指导。公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。
