定级备案与等级保护
信息系统安全等级保护
等级保护要求的组合
安全保护等级定级参考
1)一级,小型私营、个体企业、中小学,乡镇所属信息系统,县级单位一般的信息系统 2)二级,县级某些单位重要信息系统;地市级以上国家机关、企事业单位内部一般信息系统 (例如非涉及工作、商业秘密,敏感信息的办公系统和管理系统) 3)三级,地市级以上国家机关、企事业单位内部重要信息系统(例如涉及工作、商业秘密, 敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等 方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站 4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税 务等 5)五级,国家重要领域、重要部门中的极端重要系统
- 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。
- 第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属 于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部 门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统, 应当向当地设区的市级以上公安机关备案。
▪ 《涉及国家秘密计算机信息系统安全保密
涉方密案信设计息指系南》统B安MB全23-保20障08 建设 ▪指《管南涉 理及 规国 范》家B秘M密B计20算-2机0信07息系统分级保护
▪ 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007
▪ 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
等级保护的主要工作流程
国家等级保护政策标准-解读
国家等级保护政策标准解读2.1.2 备案信息安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。
信息系统运营使用单位和受理备案的公安机关应按照《信息安全等级保护备案实施细则》的要求办理信息系统备案工作。
第二级以上信息系统,在安全保护等级确定后30天内,由其运营、使用单位或其主管部门到所在地设区的市级以上公安机关办理备案手续。
办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。
2.4 安全运行与维护安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。
2.4.1 信息系统建设整改建设整改是等级保护工作落实的关键所在。
确定了各等级信息系统能够达到相应等级的基本保护水平和满足自身需求的安全保护能力。
要求。
参与角色包括:信息系统主管部门、信息系统运营使用单位以及信息安全等级测评机构。
等级测评主要参照的标准包括:《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》。
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统定级、备案、专家评审流程【最新版】
信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
解读:县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
信息安全等级保护定级和备案
对拟确定为第四级以上信息系统的,运营、使用 单位或者主管部门应当邀请国家信息安全保护等级 专家评审委员会评审,出具评审意见。
三、信息系统安全保护等级的确定
定级工作步骤
第四步:信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意 见,最终确定信息系统等级,形成《定级报 告》。 如果专家评审意见与运营使用单位意见不一 致时,由运营使用单位自主决定系统等级。 信息系统运营使用单位有上级主管部门的, 应当经上级主管部门对安全保护等级进行审 核批准。
公民、法人和其他组织 的合法权益
社会秩序、公共利益
对相应客体的侵害程度 一般损害 严重损害
第一级
第二级
第二级
第三级
特别严重 损害
第二级
第四级
国家安全
第三级
第四级 第五级
三、信息系统安全保护等级的确定
对相应客体的侵害程度
系统服务安全被破坏时
所侵害的客体
一般损害
严重损害 特别严重 损害
公民、法人和其他组织 第一级 的合法权益
不同危害后果的三种危害程度描述如下: 一般损害:工作职能受到局部影响,业务能力有所 降低但不影响主要功能的执行,出现较轻的法律问题, 较低的资产损失,有限的社会不良影响,对其他组织 和个人造成较低损害。
三、信息系统安全保护等级的确定
严重损害:工作职能受到严重影响,业务能力显著下 降且严重影响主要功能执行,出现较严重的法律问题, 较高的资产损失,较大范围的社会不良影响,对其他 组织和个人造成较严重损害。
定级实例2
对相应客体的侵害程度
业务信息安全被破坏时所
侵害的客体
网络安全等级保护工作中的定级与备案
信息安全• Information Security192 •电子技术与软件工程 Electronic Technology & Software Engineering【关键词】信息安全 定级 备案1 定级备案主要流程根据《信息安全等级保护管理办法》规定,等级保护工作主要分为五个环节,分别是定级、备案、建设整改、等级测评和监督检查。
其中网络安全等级保护工作的首要环节为定级备案,对于未备案项目,应各网络运行者应确认系统的级别然后去公安机关备案,定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行,公安机关审核通过后会下发通过的备案审批号。
对于已备案项目,只要确认系统的级别、备案号、备案材料即可。
相关流程图如图1所示。
2 定级2.1 定级对象网络运营者开展网络定级之前,首先需要梳理信息系统的信息,包括识别系统的数量、边界和范围等,需要说明的是:个人、家庭组建的网络和使用的计算机不在等级保护范围内。
那么如何科学、合理地确定定级对象呢,网络运营者或主管部门可参考下列情况来确定定级对象。
(1)各单位的各类业务系统,主要用于生产、调度、管理、作业、指挥、办公、邮件等目的;(2)各单位的各类网站(如门户网站,OA 管理网站,电子商务网站等),另外安全级别高的网站后台管理系统,也应作为独立的定级对象;(3)云计算平台,物联网信息系统也需作为独立的定级对象来进行备案。
需特别注意的是,作为定级对象的网络、网络安全等级保护工作中的定级与备案文/徐佳瑾1,2 刘刚1,2信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
不应将某个单一的系统组件(例如服务器、终端、网络设备等)作为定级对象;2.2 定级级别建议定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
信息系统安全等级保护定级备案讲义
信息系统安全等级保护定级备案讲义一、背景信息系统安全等级保护是国家对信息系统按照其重要性、功能和业务特点进行的定级管理,是保障信息系统安全的重要手段。
信息系统安全等级保护定级备案工作是加强对关键信息基础设施、重要信息系统和网络的管理和监督,确保信息系统安全的有效途径。
此讲义旨在介绍信息系统安全等级保护定级备案的相关内容和流程。
二、信息系统安全等级保护定级备案的目的1. 统一管理信息系统安全等级保护工作,保障国家信息安全。
2. 加强对高危信息系统的监管和管理,防范信息泄露和攻击。
3. 促进相关单位对信息系统的安全保护意识,提高信息系统安全等级保护水平。
三、信息系统安全等级保护定级备案的程序1. 申报阶段:申报单位应向国家有关部门提交信息系统安全等级保护定级备案申请材料,包括申请表、系统功能介绍、安全风险评估等。
2. 审核阶段:国家有关部门对申报材料进行审核,评估系统的功能和安全风险等级,确定系统的安全等级。
3. 备案阶段:国家有关部门对审核通过的信息系统进行备案登记,颁发安全等级保护证书。
4. 监督检查阶段:国家有关部门进行定期的监督检查,确保信息系统安全等级保护工作的有效执行。
四、信息系统安全等级保护定级备案的要求1. 申报单位应真实提供信息系统的相关资料,确保信息系统安全等级的准确性。
2. 国家有关部门应严格依据相关标准和规定进行审核和备案,确保信息系统的安全等级评定公正客观。
3. 申报单位应加强信息系统的安全防护意识,定期进行安全漏洞的检测和修复,防范信息系统安全事件的发生。
五、信息系统安全等级保护定级备案的意义1. 保障国家的信息安全和网络安全。
2. 促进信息系统安全等级保护工作的深入开展。
3. 提高信息系统的安全等级和防护水平,减少信息系统安全风险。
六、结语信息系统安全等级保护定级备案工作是国家对关键信息基础设施、重要信息系统和网络进行管理和监督的重要举措。
希望各相关单位严格执行相关制度和规定,加强信息系统的安全防护工作,确保信息系统安全等级的准确性和有效性。
信息系统安全等级保护定级--备案--测评流程图
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统安全等级保护定级--备案--测评流程
信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统定级与备案工作介绍
信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定,定级工作的流程和要求,备案工作的流程和要求等。
一、信息系统安全保护等级的划分与保护(一)信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。
各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。
同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
(二)信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
(三)信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
等保2.0-信息系统定级、备案、专家评审流程
一、系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
解读县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;● 省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
等级保护工作的正确工作流程.
等级保护工作的正确工作流程
等级保护工作的正确工作流程包括以下几个步骤:
1. 系统识别与定级:根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求,确定信息系统的安全等级,明确保护对象。
这个步骤涉及分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,确定系统被破坏后受侵害的客体以及侵害对客体的侵害程度,综合判定侵害程度,从而初步确定系统的等级。
2. 专家评审:定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。
3. 主管部门审核:完成专家评审后,应将初步定级结果上报行业主管部门或上级主管部门进行审核。
4. 公安机关审核:将初步定级结果提交公安机关进行备案审查。
如果审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
5. 备案:等级保护对象的运营、使用单位按照相关管理规定报送本地区公安机关备案。
6. 建设整改:根据已经确定的安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应的信息安全产品,落实安全技术措施和管理规范,完成系统整改。
对新建、改建、扩建的等级保护的管理规范和技术标准进行规划设计、建设施工。
7. 等级测评:对信息系统进行定期的等级测评,以确保其安全保护
等级与实际需求相符。
以上就是等级保护工作的基本流程,这个过程需要各个部门的密切合作,以确保信息系统的安全。
等保2.0定级备案剖析
物联网
可分为感知层、网络层和应用 层三层。 感知层包括感知层网 关和传感器 ; 网络层主要实 现感知层 数据信息和控制信息 的双向传递;应用层指对感知 数据进行集中处理的平台。 物联网安全保护对象的范围覆 盖感知、网络传输和处理应用 三个层面。
处理 应用层
智能处理
数据存储
网络 传输层
电信网/互联网
云计算平台由设施、硬件、 资源抽象控制层、虚拟化计 算资源、软件平台和应用软 件等组成。
软件即服务( SaaS)
在平台即服务模式下,云计
算平台包括设施、硬件、资
源抽象控制层、虚拟化计算
资源、软件平台和应用软件; S
a
平台即服务( PaaS)
a
在平台即服务模式下,云计 算平台包括设施、硬件、资
S
源抽象控制层、虚拟化计算
接入 设专备用网
计算服务 移动通信网
RFID
无线
系
通道
统
RFID读写器 RFID标签
传
感
感知网关节点
网
络
终端感知节点
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体 对象定级,各要素不单独定级。
际标准 IEC 6226411(企业控制系统 第1 部分:模型和术语)将工 业控制系统进行了层次 结构模型划分,层次模 型从上到下共分为5个层 级,依次为企业资源层、 生产管理层、过程监控 层、现场控制层和现场 设备层。
等级保护对象也应作为单独的定级对象定级 p 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对
象
p 传统企业IT基础设施、运维地点、工商注册地基本一致,备案地明确
问 题
等级保护定级备案和测评检查内容
等级保护定级备案和测评检查内容说到“等级保护定级备案和测评检查”,哎呀,大家的第一反应是什么?是不是都想:“这玩意儿到底是啥?我是不是做错了什么?”别急,慢慢来,这个话题其实不复杂。
你想象一下,咱们日常生活中,做个大事小事都得有个标准,规则,等级,这就是网络安全的“等级保护”制度嘛。
说白了,就是网络上的“防护网”,保护咱们的信息不被坏人偷走。
你要是想问这玩意儿到底怎么回事,我来给你慢慢讲清楚。
等级保护其实就是给网络设施、系统、数据等“分级”,看看它们的重要性。
想象一下,家里有三种锁:一种是普通的挂锁,能防止小偷顺手牵羊;一种是高科技的电子锁,防得了专业黑客;还有一种是你爸爸的老式密码锁,别看它不值一提,但你爸爸用起来心安理得。
这个分级就是为了保证,不同重要性的系统能有不同的保护措施。
而定级备案呢,就是给这些系统上个标签——“这是一级保护”,“这是二级保护”,一目了然。
定级备案的意思就是你得告诉相关部门:这台电脑、这台服务器、这套系统,保护等级是啥样的。
如果你给它定了个一级保护,那就说明这个系统关乎国家安全,得严格监管;如果是三级保护,那就可能是公司内部的信息,没那么重要,但也得注意别被黑了。
定完级后,你还得报备。
毕竟,人家国家要管管,不然你怎么知道人家给你这把“锁”行不行?测评检查就来了。
你想,光定个级可不行,还得有人检查,看看你定的这个“防护墙”到底能不能防得住坏人。
就像你考试之前,老师说:“你这作业做得挺好,但我得检查一下,别的同学没做对,你也不能蒙混过关。
” 这测评检查的过程呢,就是你把你的网络防护系统拿出来,给专业的团队做个“体检”。
他们会从头到尾摸一遍,看看你有没有漏洞,能不能抵御网络攻击。
别以为这种检查好像只是在看看文档,实际可不简单。
检查内容可多了去了——有的看你的系统有没有脆弱点,有的检查你的数据传输是不是加密,有的看你的设备和服务器防护措施好不好,甚至连你的网络监控都在检查范围之内。
一文了解等级保护定级备案全流程
一文了解等级保护定级备案全流程等级保护定级备案是指对具有重要历史、文化、科学价值的不可移动文物进行等级保护并备案。
下面将从等级保护定级备案的定义、背景、流程、重要性等方面进行介绍,帮助读者一文了解等级保护定级备案全流程。
等级保护定级备案是我国对不可移动文物进行保护的重要制度。
不可移动文物是指根据我国文物保护法的规定,具有历史、文化、艺术、科学价值的具体的物质实体,包括建筑物、人类或社会活动遗址、壁画、雕塑、书画、文书档案、工艺品、史籍、史料、器物、道教宗教用具等。
等级保护定级备案的背景是为了更好地保护我国丰富的文物资源,加强对不可移动文物的保护,推动文物保护和利用的可持续发展。
等级保护定级备案的实施可以使不可移动文物得到更全面、系统的保护,提高人们对文物保护的意识,促进文物事业的研究和传承。
等级保护定级备案的全流程可以分为六个阶段:立项申报、评审备案、公示征求意见、评审定级、备案公告、价值评估。
首先,立项申报是指由文物管理部门根据相关规定提出对特定不可移动文物进行等级保护定级备案的申请。
然后,评审备案是指文物管理部门对申请进行评审,并根据文物的历史、文化、科学价值、保护状况等因素,进行初步定级备案。
接下来,公示征求意见是指将初步定级备案的结果公示,并征求社会各界的意见。
社会各界可以提出对初步定级备案结果的质疑、建议等。
然后,评审定级是指文物管理部门根据社会各界的意见,对初步定级备案进行再次评审,最终确定等级保护的等级。
备案公告是指将最终确定的等级保护结果公示,并向社会公告。
最后,价值评估是指文物管理部门对等级保护的不可移动文物进行价值评估,并制定相应的保护措施。
等级保护定级备案的重要性主要有三个方面。
首先,等级保护定级备案可以提高不可移动文物的保护水平,保护不可移动文物的完整性和独特性,防止文物的遗失、破坏和侵害。
其次,等级保护定级备案可以推动文物的研究和传承,促进文物保护事业的发展。
最后,等级保护定级备案可以提高人们对文物保护的认识和意识,增强公众对文物保护的参与度和认同感。
等级保护对象定级与备案阶段的工作内容
等级保护对象定级与备案阶段的工作内容下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!等级保护对象定级与备案阶段的工作内容在管理等级保护对象(以下简称LPO)的过程中,定级与备案阶段是至关重要的环节。
定级备案三要素
定级备案三要素
定级备案三要素通常指的是定级备案需要满足的三个基本要素,包括:
1.等级保护对象
等级保护对象是网络和信息系统,根据其重要性、业务类型和实际安全需求,将其划分为不同的安全等级。
2,等级保护措施:针对不同的等级保护对象,需要采取相应的等级保护措施,包括技术措施和管理措施。
技术措施包括加密、防火墙、入侵检测系统等;管理措施包括安全管理制度、安全责任制度、应急预案等。
3.等级保护能力
根据等级保护对象的重要性和业务需求,需要具备相应的等级保护能力。
等级保护能力包括基本安全防护能力、综合安全防护能力和高级安全防护能力。
在定级备案过程中,需要对这三个要素进行综合考虑和分析,以确保等级保护对象的合理分类和安全防护措施的有效实施。
一文了解等级保护定级备案全流程
一文了解等级保护定级备案全流程等级保护定级备案是指对文化遗产进行等级保护的时候需要进行备案的流程。
等级保护定级备案的全流程可以分为以下几个步骤:1.准备工作:在进行等级保护定级备案之前,需要进行一些准备工作。
首先,需要对待定等级保护的文化遗产进行充分的调查和研究,了解其历史背景、文化价值和现状等情况。
其次,要进行现场勘察,确认文化遗产的实际情况,包括其建筑风貌、结构状况等。
同时,还需要收集相关的历史资料和图片资料等。
2.制定保护方案:根据对文化遗产的调查和研究结果,需要制定具体的等级保护方案。
这个方案要包括对文化遗产的等级评定、保护措施和修复计划等内容。
等级评定是根据文物的历史、文化和科学价值,将其划分为一、二、三级保护等级。
保护措施是指对文物进行保护的具体方法,包括采取哪些措施来保护文物的完整性和安全性。
修复计划是指如果文物有损坏或老化等情况,需要进行修复或维护的计划。
3.备案申请:制定好保护方案之后,需要将其提交给相关的文物部门进行备案申请。
备案申请需要提交一系列的文物保护材料,包括调查研究报告、保护方案、现场图片和资料等。
同时,还需要填写相关的备案申请表格,并缴纳备案费用。
备案申请提交后,会由相关的文物部门进行审核和审批。
4.备案审批:文物部门会对备案申请进行审核和审批。
审核的内容主要是对备案申请材料的真实性和合法性进行核查。
审批的内容主要是对保护方案和修复计划的合理性和可行性进行评审。
如果审核和审批通过,文物部门会发放等级保护定级备案证书,并将备案信息录入国家文物管理系统。
5.公示与监督:备案完成后,备案信息将会在相关的网站和媒体上进行公示。
公示的目的是向社会公众进行信息公开,使得社会公众可以了解到备案的文物遗产信息。
同时,备案信息也会受到社会公众和文物部门的监督,如果有违法违规的行为,备案证书可能会被撤销。
综上所述,等级保护定级备案全流程包括准备工作、制定保护方案、备案申请、备案审批以及公示与监督等环节。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
一、等级保护 二、定级备案 三、符合性评测 四、风险评估
五、等级保护日常工作常见问题
等保定义
▪ 等级保护:是指对全国的信息系统(包括网络)按照重要性和受破坏后的危 害性分成五个安全保护等级,实行分等级的防护标准。信息系统的安全保护 等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信 息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度等因素确定。
例如: ➢ 中国移动 某省分公司某市 移动通信网电路域本地网 核心交换网(第一部分),
网络单元全称为“中国移动辽宁省分公司大连市移动通信网电路域本地网核心 交换网(第一部分)”;
定级报告内容
XXX(网络/系统名称)定级报告
一、概述 此部分简单说明定级对象的涵盖范围。 二、基本情况 此部分应简单描述定级对象相关的如下内容: 1、管理信息(包含组织管理结构及其主要职能等内容); 2、技术信息(包含物理环境、网络拓扑结构、硬件设备的部署情况、业务/应用范围、
具体材料如下:
1、《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份。 包括:《单位基本情况》(表一)、《信息系统情况》(表二)、《信息系统定级情况》 (表三)和《第三级以上信息系统提交材料情况》(表四)。第二级以上信息系统备案 时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评 完成后30日内提交《备案表》表四及其有关材料。
▪ 定级、备案、安全建设整改、等级测评和检查是等级保护规定的五个动作。
等级划分
安全等级
第1级 自主保护级
描述
适用于一般的信息系统,其受到破坏后,会对公 民、法人和其它组织的合法权益造成损害,但不 损害国家安全、社会秩序和公共利益。
网络和业务运营商依据国家和通信行 业有关标准进行保护。
第2级 指导保护级
适用于涉及国家安全、社会秩序和公共利益的重 要信息系统,其受到破坏后,会对国家安全、社 会秩序和公共利益造成特别严重损害。
网络和业务运营商依据国家和通信行 业有关标准以及业务的特殊安全需求 进行保护,主管部门对其安全等级保 护工作进行专门监督、检查。
目录
一、等级保护 二、定级备案 三、符合性评测 四、风险评估
若划分到B类网络单元,则:
[通信网络运行单位简称]([集团公司/X省分公司/X省分公司Y市/服务范围]) [A类网络单元名称][B类网络单元名称]
例如: ➢ 中国移动 某省分公司某市 IP承载网城域网 汇聚层,网络单元全称为“中国移动辽
宁省分公司沈阳市IP承载网城域网汇聚层”; ➢ 中国联通 域名服务系统 域名解析系统,网络单元全称为“中国联通域名服务系统
五、等级保护日常工作常见问题
定级流程
《信息安全技术 信息系统安全等级保护定级指南》( GBT 22240-2008 )
定级方法
根据最新的通信网络安全防护定级备案实施细则,α、β、γ分别为 1/3、1/3、1/3
定级方法
等级变更
《信息安全技术 信息系统安全等级保护定级指南》( GBT 22240-2008 )
网络处理和传送的信息资产、服务范围和用户类型等信息,明确网络边界)。 三、安全等级确定 此部分应说明如何确定定级对象的安全保护等级: 1、说明确定三个定级要素赋值的理由; 2、说明采用的定级方法及确定权重的理由; 3、根据三个定级要素的赋值及确定的权重所确定的安全等级。
备案
根据2018年两部委考核办法,信息系统安全保护等级为第二级以上的信息系统运营使用 单位或主管部门,应当对所有上线运行的自有和合作类网络和系统(含已上线和上线试运 行业务所对应的网络和系统)开展定级备案。备案材料准备
《备案表》需通过“等级保护备案端软件”填写信息,并导出word文档生成。另,在填 写表三“09 系统定级报告”时,需把《信息系统安全等级保护定级报告》上传到“附件” 再导出word文档。
备案
2、《信息系统安全等级保护定级报告》(以下简称《定级报告》), 纸质材料,一式两份。每个备案的信息系统均需提供对应的《定级报 告》,《定级报告》参照模版格式填写。
域名解析系统”;
定级报告命名方法
根据网络单元划分的颗粒度,命名规则分别如下:
若对B类网络单元仍需进一步划分成N个具有不同安全等级的网络单元,则:
[通信网络运行单位简称]([集团公司/X省分公司/X省分公司Y市/服务范 围])[A类网络单元名称][B类网络单元名称][(第m部分)],其中,1≤m≤ N。
定级报告命名方法
根据网络单元划分的颗粒度,命名规则分别如下:
若划分到A类网络单元,则:
[通信网络运行单位简称]([集团公司/X省分公司/X省分公司Y市/服务范围])[A 类网络单元名称]
例如: ➢ 中国电信 集团公司 IP承载网骨干网,网络单元全称为“中国电信集团公司IP承载网骨
干网”; ➢ 中国联通 某省分公司 固定通信网省内长途网,网络单元全称为“中国联通江苏省分公
网络和业务运营商依据国家和通信行 业有关标准进行保护,主管部门对其 安全等级保护工作进行监督、检查。
第4级 强制保护级
第5级 专控保护级
适用于涉及国家安全、社会秩序和公共利益的重 要信息系统,其受到破坏后,会对国家安全、社 会秩序和公共利益造成严重损害。
网络和业务运营商依据国家和通信行 业有关标准以及业务的 护工作进行强制监督、检查。
司固定通信网省内长途网”; ➢ 中国移动 某省分公司 办公系统,网络单元全称为“中国移动江苏省分公司办公系统”; ➢ 腾讯 即时通信系统,网络单元全称为“腾讯即时通信系统”。 ➢ 新浪 北京市 信息社区服务系统,网络单元全称为“新浪北京市信息社区服务系统”。
定级报告命名方法
根据网络单元划分的颗粒度,命名规则分别如下:
适用于一般的信息系统,其受到破坏后,会对社 会秩序和公共利益造成轻微损害,但不损害国家 安全。
网络和业务运营商依据国家和通信行 业有关标准进行保护,主管部门对其 安全等级保护工作进行指导。
第3级 监督保护级
适用于涉及国家安全、社会秩序和公共利益的重 要信息系统,其受到破坏后,会对国家安全、社 会秩序和公共利益造成损害。