等級(jí)保護(hù)測(cè)評(píng)過程中常見的問題
問題一:
問:公安部門要求什么時(shí)間完成等保測(cè)評(píng)?我們還沒有定級(jí),預(yù)算經(jīng)費(fèi)也沒有報(bào),如何開展工作?
答:根據(jù)公安文件要求的時(shí)間開展測(cè)評(píng)工作,如果還沒有定級(jí),則根據(jù)定級(jí)要求和流程,先向公安遞交定級(jí)備案文件,預(yù)算納入下一年度工作計(jì)劃,在經(jīng)費(fèi)未落實(shí)前,可以先行進(jìn)行系統(tǒng)了解、系統(tǒng)加固配合工作。
定級(jí)專家評(píng)審時(shí)間:每季度或每半年(或不定期),由公安組織專家評(píng)審。
問題二:
問:定級(jí)對(duì)象范圍是什么?一般是以什么界限來劃分?是不是所有的系統(tǒng)都要申報(bào)?
答:定級(jí)對(duì)象范圍:
1、起支撐、傳輸作用的信息網(wǎng)絡(luò)(包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)),網(wǎng)絡(luò)要合理劃分區(qū)域;
2、用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類業(yè)務(wù)系統(tǒng),跨省或者全國(guó)聯(lián)網(wǎng)運(yùn)行信息系統(tǒng)的分支系統(tǒng)也要單獨(dú)定級(jí);
3、各單位網(wǎng)站等。
問題三:
問:實(shí)際操作中如何定級(jí)?區(qū)別?
答:第二級(jí)信息系統(tǒng):適用于縣級(jí)某些單位中的重要信息系統(tǒng);地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。
第三級(jí)信息系統(tǒng):一半適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng),例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng);跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng);中央各部委、?。▍^(qū)、市)門戶網(wǎng)站和重要網(wǎng)站;跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。
在實(shí)際操作中,可參考備案單位自主定級(jí)分類指南。
問題四:
問:遞交的備案資料都包括哪些內(nèi)容?
答:(舉例北京)
紙質(zhì)版:
1. 信息系統(tǒng)安全等級(jí)保護(hù)備案表一式兩份(封面單位名稱處蓋章)。應(yīng)填寫完整、無漏項(xiàng),不得改動(dòng)備案表版面格式。機(jī)打,不可手寫,單面打印。
2. 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告一式兩份(定級(jí)表格處蓋章)。機(jī)打,單面打印。
3. 信息安全承諾書簽字蓋章。法人親筆簽字
4. 相關(guān)證件復(fù)印件各一份:工商營(yíng)業(yè)執(zhí)照(或執(zhí)業(yè)許可證、事業(yè)單位證書、非盈利性機(jī)構(gòu)證書等許可證明)、法人代表身份證、組織機(jī)構(gòu)代碼證(如三證合一,省略)。
5. 法人授權(quán)書(被授權(quán)人需攜帶本人身份證原件及復(fù)印近)。
6. 實(shí)際辦公地的房產(chǎn)證或租房合同復(fù)印件。
7.主機(jī)托管合同或云主機(jī)租用合同的復(fù)印件。
8. 企業(yè)內(nèi)部信息安全部門、技術(shù)部門組織架構(gòu)人員登記信息表,左上角蓋章(表格中確定兩位24小時(shí)應(yīng)急處置網(wǎng)絡(luò)安全事件聯(lián)系人)。
9.從事互聯(lián)網(wǎng)金融的企業(yè)(如網(wǎng)貸P2P平臺(tái)、證券交易系統(tǒng)等),備案時(shí)需提交紙質(zhì)版《信息安全等級(jí)保護(hù)備案證明使用承諾書》法人親筆簽字,加蓋單位公章。其他行業(yè)無需提交。
(備案面審提交時(shí)請(qǐng)按照以上順序排列材料)
電子版壓縮包要求:
以“單位全稱-系統(tǒng)名稱”命名壓縮包,將以下文件放入壓縮包內(nèi),提交紙質(zhì)材料的同時(shí)在釘釘內(nèi)向負(fù)責(zé)民警提交電子版壓縮包。原件掃描件要求,分辨率300dpi---jpg格式。
1.備案表、定級(jí)報(bào)告和信息安全承諾書蓋章掃描件
2.備案表和定級(jí)報(bào)告word版;
3.三級(jí)系統(tǒng)需提交備案表表四全部?jī)?nèi)容。
4.信息安全部、技術(shù)部組織架構(gòu)人員登記信息表,可編輯版。
5.工商營(yíng)業(yè)執(zhí)照副本原件掃描件(或執(zhí)業(yè)許可證、事業(yè)單位證書、非盈利性機(jī)構(gòu)證書等許可證明)、組織機(jī)構(gòu)代碼證原件掃描件(如三、五證合一,省略)
法人代表身份證原件掃描件;
備案表表一中單位負(fù)責(zé)人身份證原件掃描件;
8.從事經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)行業(yè)及有交易投資活動(dòng)的信息系統(tǒng)的企業(yè)需要提交《信息安全等級(jí)保護(hù)備案證明使用承諾書》。
問題五:
問:《定級(jí)報(bào)告》一般都包括哪些部分?
答:
1、定級(jí)依據(jù)
包括與本次信息系統(tǒng)定級(jí)相關(guān)的法規(guī)、標(biāo)準(zhǔn)、規(guī)范和文件等,例如《管理辦法》、《定級(jí)指南》、本行業(yè)的安全管理規(guī)定等確定信息系統(tǒng)安全保護(hù)等級(jí)所需依據(jù)的文件。
2、信息系統(tǒng)劃分
詳細(xì)描述信息系統(tǒng)的管理機(jī)構(gòu)和管理職責(zé)、網(wǎng)絡(luò)結(jié)構(gòu)和對(duì)外邊界、承載業(yè)務(wù)種類、處理的主要信息等。如果定級(jí)范圍內(nèi)劃分出多個(gè)作為定級(jí)對(duì)象的信息系統(tǒng),應(yīng)描述劃分結(jié)果、劃分方法和理由。
3、 信息系統(tǒng)描述
描述定級(jí)信息系統(tǒng)的邊界,包括外部邊界和與其他系統(tǒng)相連的內(nèi)部邊界,定級(jí)系統(tǒng)的邊界設(shè)備,系統(tǒng)內(nèi)的主要設(shè)備,系統(tǒng)承載的業(yè)務(wù)應(yīng)用。
問題六:
問:有哪些情況是無需專家評(píng)審的?
答:信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門,且對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)有定級(jí)指導(dǎo)意見或?qū)徍伺鷾?zhǔn)的,可無需在進(jìn)行等級(jí)專家評(píng)審。
主管部門一般指行業(yè)的上級(jí)主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運(yùn)營(yíng)使用的信息系統(tǒng),則必須由上級(jí)主管部門審批,確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性。
二級(jí)及二級(jí)以上的信息系統(tǒng)需要專家評(píng)審。
問題七:
問:整個(gè)周期是多長(zhǎng)?其中現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間?
答:整個(gè)測(cè)評(píng)周期包括前期調(diào)研、現(xiàn)場(chǎng)測(cè)評(píng)、后期報(bào)告編寫等,一般情況下一個(gè)二級(jí)系統(tǒng)會(huì)占用3-4周,一個(gè)三級(jí)系統(tǒng)會(huì)占用4-5周(指初次測(cè)評(píng),不包括整改和加固時(shí)間);
其中現(xiàn)場(chǎng)測(cè)評(píng)(指在被測(cè)系統(tǒng)單位現(xiàn)場(chǎng)的測(cè)評(píng))的時(shí)間根據(jù)系統(tǒng)的數(shù)量而定:一般一個(gè)二級(jí)系統(tǒng)會(huì)占用3-4個(gè)工作日,一個(gè)三級(jí)系統(tǒng)會(huì)占用5-6個(gè)工作日(兩組同時(shí)進(jìn)行,每組兩人)。
問題八:
問:整改會(huì)不會(huì)涉及到要購(gòu)置設(shè)備?如果有些不符合項(xiàng)目不能馬上關(guān)閉能不能通過備案?
答:根據(jù)《GB T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,三級(jí)系統(tǒng)有如下要求:
A、應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性;
B、應(yīng)建立備用供電系統(tǒng);
以上檢查項(xiàng)需要購(gòu)置設(shè)備,對(duì)二級(jí)系統(tǒng)沒有此要求,但在二級(jí)系統(tǒng)中,構(gòu)成系統(tǒng)網(wǎng)絡(luò)安全的必要硬件則必須有;
根據(jù)現(xiàn)場(chǎng)實(shí)際檢查情況進(jìn)行備案,包括整改措施、整改計(jì)劃、風(fēng)險(xiǎn)評(píng)估等。