定级备案与等级保护
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络和业务运营商依据国家和通信行 业有关标准进行保护,主管部门对其 安全等级保护工作进行监督、检查。
第4级 强制保护级
第5级 专控保护级
适用于涉及国家安全、社会秩序和公共利益的重 要信息系统,其受到破坏后,会对国家安全、社 会秩序和公共利益造成严重损害。
网络和业务运营商依据国家和通信行 业有关标准以及业务的特殊安全要求 进行保护,主管部门对其安全等级保 护工作进行强制监督、检查。
域名解析系统”;
定级报告命名方法
根据网络单元划分的颗粒度,命名规则分别如下:
若对B类网络单元仍需进一步划分成N个具有不同安全等级的网络单元,则:
[通信网络运行单位简称]([集团公司/X省分公司/X省分公司Y市/服务范 围])[A类网络单元名称][B类网络单元名称][(第m部分)],其中,1≤m≤ N。
五、等级保护日常工作常见问题
定级流程
《信息安全技术 信息系统安全等级保护定级指南》( GBT 22240-2008 )
定级方法
根据最新的通信网络安全防护定级备案实施细则,α、β、γ分别为 1/3、1/3、1/3
定级方法
等级变更
《信息安全技术 信息系统安全等级保护定级指南》( GBT 22240-2008 )
适用于涉及国家安全、社会秩序和公共利益的重 要信息系统,其受到破坏后,会对国家安全、社 会秩序和公共利益造成特别严重损害。
网络和业务运营商依据国家和通信行 业有关标准以及业务的特殊安全需求 进行保护,主管部门对其安全等级保 护工作进行专门监督、检查。
目录
一、等级保护 二、定级备案 三、符合性评测 四、风险评估
例如: ➢ 中国移动 某省分公司某市 移动通信网电路域本地网 核心交换网(第一部分),
网络单元全称为“中国移动辽宁省分公司大连市移动通信网电路域本地网核心 交换网(第一部分)”;
定级报告内容
XXX(网络/系统名称)定级报告
一、概述 此部分简单说明定级对象的涵盖范围。 二、基本情况 此部分应简单描述定级对象相关的如下内容: 1、管理信息(包含组织管理结构及其主要职能等内容); 2、技术信息(包含物理环境、网络拓扑结构、硬件设备的部署情况、业务/应用范围、
网络处理和传送的信息资产、服务范围和用户类型等信息,明确网络边界)。 三、安全等级确定 此部分应说明如何确定定级对象的安全保护等级: 1、说明确定三个定级要素赋值的理由; 2、说明采用的定级方法及确定权重的理由; 3、根据三个定级要素的赋值及确定的权重所确定的安全等级。
备案
根据2018年两部委考核办法,信息系统安全保护等级为第二级以上的信息系统运营使用 单位或主管部门,应当对所有上线运行的自有和合作类网络和系统(含已上线和上线试运 行业务所对应的网络和系统)开展定级备案。备案材料准备
若划分到B类网络单元,则:
[通信网络运行单位简称]([集团公司/X省分公司/X省分公司Y市/服务范围]) [A类网络单元名称][B类网络单元名称]
例如: ➢ 中国移动 某省分公司某市 IP承载网城域网 汇聚层,网络单元全称为“中国移动辽
宁省分公司沈阳市IP承载网城域网汇聚层”; ➢ 中国联通 域名服务系统 域名解析系统,网络单元全称为“中国联通域名服务系统
▪ 定级、备案、安全建设整改、等级测评和检查是等级保护规定的五个动作。
等级划分
安全等级
第1级 自主保护级
描述源自文库
适用于一般的信息系统,其受到破坏后,会对公 民、法人和其它组织的合法权益造成损害,但不 损害国家安全、社会秩序和公共利益。
网络和业务运营商依据国家和通信行 业有关标准进行保护。
第2级 指导保护级
定级报告命名方法
根据网络单元划分的颗粒度,命名规则分别如下:
若划分到A类网络单元,则:
[通信网络运行单位简称]([集团公司/X省分公司/X省分公司Y市/服务范围])[A 类网络单元名称]
例如: ➢ 中国电信 集团公司 IP承载网骨干网,网络单元全称为“中国电信集团公司IP承载网骨
干网”; ➢ 中国联通 某省分公司 固定通信网省内长途网,网络单元全称为“中国联通江苏省分公
司固定通信网省内长途网”; ➢ 中国移动 某省分公司 办公系统,网络单元全称为“中国移动江苏省分公司办公系统”; ➢ 腾讯 即时通信系统,网络单元全称为“腾讯即时通信系统”。 ➢ 新浪 北京市 信息社区服务系统,网络单元全称为“新浪北京市信息社区服务系统”。
定级报告命名方法
根据网络单元划分的颗粒度,命名规则分别如下:
定级备案与等级保护
目录
一、等级保护 二、定级备案 三、符合性评测 四、风险评估
五、等级保护日常工作常见问题
等保定义
▪ 等级保护:是指对全国的信息系统(包括网络)按照重要性和受破坏后的危 害性分成五个安全保护等级,实行分等级的防护标准。信息系统的安全保护 等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信 息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度等因素确定。
具体材料如下:
1、《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份。 包括:《单位基本情况》(表一)、《信息系统情况》(表二)、《信息系统定级情况》 (表三)和《第三级以上信息系统提交材料情况》(表四)。第二级以上信息系统备案 时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评 完成后30日内提交《备案表》表四及其有关材料。
适用于一般的信息系统,其受到破坏后,会对社 会秩序和公共利益造成轻微损害,但不损害国家 安全。
网络和业务运营商依据国家和通信行 业有关标准进行保护,主管部门对其 安全等级保护工作进行指导。
第3级 监督保护级
适用于涉及国家安全、社会秩序和公共利益的重 要信息系统,其受到破坏后,会对国家安全、社 会秩序和公共利益造成损害。
《备案表》需通过“等级保护备案端软件”填写信息,并导出word文档生成。另,在填 写表三“09 系统定级报告”时,需把《信息系统安全等级保护定级报告》上传到“附件” 再导出word文档。
备案
2、《信息系统安全等级保护定级报告》(以下简称《定级报告》), 纸质材料,一式两份。每个备案的信息系统均需提供对应的《定级报 告》,《定级报告》参照模版格式填写。