我們都知道,開展等級保護工作攏共分五步:定級、備案、建設整改等級、等級測評和監督檢查。定級、備案是網絡安全等級保護工作的初始環節,也是網絡運營者開展等級保護工作的基礎、關鍵,更是網絡運營者履行等級保護義務的直接體現。
在日常工作中,我們發現少數單位、部門對網絡系統定級、備案工作理解尚存在偏差,甚至出現網絡系統遭受攻擊,重要數據被竊取破壞後,因拿不出定級備案證明,致使公安機關無法判定該網絡系統是否屬於重要信息系統、關鍵信息基礎設施的情況,一方面給公安機關立案偵查帶來不便,另一方面導致網絡運營者因未履行安全管理義務而被追責。
今天等保乾貨的欄目,e小安就把備案的相關內容和大家分享。
網絡安全等級保護備案指南
一、依據
《中華人民共和國計算機信息系統安全保護條例》第十一條
進行國際聯網的計算機信息系統,由計算機信息系統的使用單位報省級以上人民政府公安機關備案。
《信息安全等級保護管理辦法》(公通字[2007]43號文件) 第十五條
已運營(運行)的第二級以上信息系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
新建第二級以上信息系統,應當在投入運行後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
二、申請條件
互聯單位、接入單位、使用計算機信息網絡國際聯網的法人和其他組織(包括跨省、自治區、直轄市聯網的單位和所屬的分支機構),應當自網絡正式連通之日起30 日內,到所在地的省、自治區、直轄市人民政府公安機關指定的受理機關辦理備案手續。前款所列單位應當負責將接入本網絡的接入單位和用戶情況報當地公安機關備案,並及時報告本網絡中接入單位和用戶的變更情況。
已運營(運行)或新建的第二級以上信息系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
三、申請材料
備案材料受理:
第二級(含)以上信息系統,在安全保護等級確定後30日內,由其運營使用單位或者其主管部門到所在地設區的地市級以上公安機關辦理備案手續。
備案時應當提交《信息系統安全等級保護備案表》(一式兩份)。第二級以上信息系統備案時需提交《備案表》表一、表二、表三。第三級以上信息系統還應當在系統整改、測評完成後30日內提交《備案表》表四及其有關材料。按照《信息安全等級保護管理辦法》“第十六條 辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評後符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審核批准信息系統安全保護等級的意見。”
四、經辦流程
1. 備案材料審核
接收備案材料後,應當對下列內容進行審核:備案材料填寫是否完整,是否符合要求,其紙質材料和電子文檔是否一致,網絡系統所定安全保護等級是否準確。
收到備案單位提交的備案材料後,對屬於本級公安機關受理範圍且備案材料齊全的,應當向備案單位出具《信息系統安全等級保護備案材料接收回執》;備案材料不齊全的,應當當場或者在5日內一次性告知其補正內容;對不屬於本級公安機關受理範圍的,應當書面告知備案單位到有管轄權的管安機關辦理。
2. 審核通過
經審核符合等級保護要求的 ,公安機關應當自收到備案材料之日起的10個工作日內,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》一份反饋備案單位,一份存檔;對不符合等級保護要求的,公安機關網安部門應當在10個工作日內通知備案單位進行整改,並出具《信息系統安全等級保護備案審核結果通知》。
《備案表》表一、表二、表三內容經審核合格的,公安機關出具《信息系統安全等級保護備案證明》。《備案證明》由公安部統一監製。
公安機關對定級不準的備案單位,在通知整改的同時,應當建議備案單位組織專家進行重新定級評審,並報上級主管部門審批。
備案單位仍然堅持原定等級的,公安機關可以受理其備案,但應當書面告知其承擔由此引發的責任和後果,經上級公安機關同意後,同時通報備案單位上級主管部門。
對拒不備案的,公安機關依據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規規定,責令其限期整改。逾期仍不備案的,應予以警告,並向其上級主管部門通報。需要向中央和國家機關通報的,要報經公安部同意。
備案過程中需注意的:
1、到底幾級需要專家評審?
按《信息安全等級保護管理辦法》 第十六條第三級以上信息系統備案時應提供信息系統安全保護等級專家評審意見。
按《信息安全等級保護管理辦法》第十條 對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
2、去公安備案到底要拿什麼材料?
除了上述必備材料外,一般還需要企業法人證明或營業執照副本複印件、辦理人身份證複印件、企業委託辦理人辦理備案事項的委託書,部分公安機關還需要企業信息安全承諾書等文件。所以去備案前,還是先找到相關公安機關電話諮詢。
3、 進行信息系統定級備案的地點
區縣——先將資料交到區縣網安大隊,再由區縣網安大隊轉交地級市網安支隊進行備案
地級——各地級市的單位將定級資料交給各自地級市的網安支隊
省級——省級單位將資料交給省公安網安總隊
PS:特殊行業按特定要求執行。關於雲平臺的備案地點,以雲平臺運維使用端為準,例如騰訊雲註冊地在北京,但運維在深圳,所以要在深圳進行定級備案。
閱讀更多 e安教育 的文章
