等级保护工作不是一件事,而是有五件事组成的一个完整工作流程。但是通常我们所说的等级保护工作指的是等级保护测评这项工作流程。今天不得不等解读下等级保护工作这项《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:
一是定级。信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。
二是备案。第二级以上信息系统定级单位到所在地设区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。备案的时候带上定级资料去网安部门,一般两份纸质文档,一份电子档,纸质的首页加盖单位公章。
三是系统安全建设。信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
四是等级测评。信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然符合基本是不可能的,那是理想状态。
五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作,但考虑到实际情况,绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。系统安全建设和等级测评的工作不一定要严格按照这个顺序开展,可以先测评再整改,也可以先建设再测评。具体还是根据自身实际情况来办。注意了:选择一家有实力的测评机构很重要,测的好坏关系到单位信息系统后期整改内容,问题发现多了提前发现了并整改了,可以有效降低被攻击的风险,提高信息安全防护能力。
所以等级保护工作是以上一个全流程,而不只是测评工作,测评的目的是发现问题,更重要的是我们在发现问题之后去持续地解决问题,履行网络安全义务,完善我们的信息安全建设工作,保障系统的正常服务以及数据的安全。近期这么多违反《网络安全法》的案例发生,我们务必重视等级保护工作,务必重视网络安全,合法合规地及时开展相关工作。
对网络安全、等级保护工作感兴趣的朋友可以进微信群交流,目前还有等级保护测评之江苏友商群、等级保护测评机构群、等级保护测评用户与主管单位群还可以进,想进群交流的人可以加我微信,我拉你们。注意:符合相应条件的人进各自对应的群。