等保相关问题

首页 > 新闻动态 > 帮助中心 > 等保相关问题

网络安全等级保护流程步骤

2023-09-18 17:30  浏览:

网络安全等级保护是指对网络实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。网络安全等级保护制度是国家网络安全的基本制度、基本国策,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。

执行网络安全等级保护流程,需要遵循以下五个步骤:

第一步:定级

定级是指根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,确定信息系统的安全保护等级。

信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

第二步:备案

备案是指第二级以上网络运营者在定级、撤销或变更调整网络安全保护等级时,在明确安全保护等级后10个工作日内,到县级以上公安机关备案,提交相关材料。

备案所需材料包括:

网络运营者基本情况表;

网络运营者联系人及联系方式表;

网络运营者网络基本情况表;

网络运营者网络拓扑图;

网络运营者网络设备清单;

网络运营者网络服务清单;

网络运营者数据资源清单;

网络运营者数据流向图;

网络运营者数据安全保护措施表;

网络运营者网络安全保护等级定级表;

网络运营者网络安全保护等级定级依据;

网络运营者网络安全保护等级定级专家评审意见(第四级以上网络);

网络运营者网络安全保护等级定级主管部门审核意见(有主管部门的网络);

网络运营者网络安全保护等级定级主管部门统一确定意见(跨省或者全国统一联网运行的网络)。

公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。

第三步:建设整改

建设整改是指按照国家信息安全等级保护管理规范和技术标准,对信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。

建设整改应当遵循以下原则:

以风险为导向,以需求为驱动,以效果为目标;

全面覆盖,分层分区,逐步推进,持续改进;

统筹规划,科学设计,合理配置,优化管理;

自主可控,可信可用,可维可测,可持续。

建设整改应当遵循以下流程:

落实安全建设整改工作部门,建设整改工作规划,进行总体部署;

确定网络安全建设需求并论证;

确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证,三级以上报公安机关审核);

根据网络安全建设整改方案,实施安全建设工程;

开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。

第四步:等级测评

等级测评是指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

等级测评应当遵循以下原则:

客观公正,科学严谨,规范有效;

以事实为依据,以标准为准绳;

以风险为导向,以效果为目标;

以过程为重点,以结果为依据。

等级测评应当遵循以下流程:

测评准备活动:包括签订测评合同、确定测评范围、收集相关资料、制定测评计划等;

方案编制活动:包括分析测评对象、确定测评方法、编写测评方案等;

现场测评活动:包括执行测评方案、收集证据、记录问题、反馈结果等;

分析及报告编制活动:包括分析问题、确定结论、编写报告、提交报告等。

第五步:监督检查

监督检查是指公安机关对第三级以上网络运营者每年至少开展一次

监督检查是指公安机关对第三级以上网络运营者每年至少开展一次的网络安全等级保护状况的检查,以及对第二级以下网络运营者进行的不定期的抽查。

监督检查应当遵循以下原则:

依法依规,合理适度,公平公正,有效高效;

以风险为导向,以效果为目标,以改进为导向;

以过程为重点,以结果为依据,以反馈为动力。

监督检查应当遵循以下流程:

检查准备活动:包括制定检查计划、确定检查范围、通知被检查单位、收集相关资料等;

现场检查活动:包括执行检查计划、收集证据、记录问题、反馈结果等;

分析及报告编制活动:包括分析问题、确定结论、编写报告、提交报告等;

整改跟踪活动:包括要求被检查单位制定整改方案、审核整改方案、督促整改落实、复核整改效果等。

以上就是执行网络安全等级保护流程的五个步骤,以及需要遵循的规范和原则。

等级保护测评就选天下数据,专业安全放心的等级保护评级机构,等级保护测评师一对一服务。详询客服电话40-0-6-3 -8-88-0-8 官网:https://www.idcbest.com/2022/db.asp

【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015

下一篇:什么是广东三级等保?广东三级等保的背景和意义是什么? 上一篇:等保2.0对工控的要求,工控等保2.0要求