等級保護工作不是一件事, 而是有五件事組成的一個完整工作流程。 但是通常我們所說的等級保護工作指的是等級保護測評這項工作流程。 今天不得不等解讀下等級保護工作這項《網路安全法》中明確要求需要履行的網路安全義務。 根據資訊系統等級保護相關標準, 等級保護工作總共分五個階段, 分別為:
一是定級。 資訊系統運營使用單位按照等級保護管理辦法和定級指南, 自主確定資訊系統的安全保護等級。 有上級主管部門的, 應當經上級主管部門審批。 跨省或全國統一聯網運行的資訊系統可以由其主管部門統一確定安全保護等級。
二是備案。 第二級以上資訊系統定級單位到所在地所在地設區的市級以上公安機關辦理備案手續。 省級單位到省公安廳網安總隊備案, 各地市單位一般直接到市級網安支隊備案, 也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的, 具體根據各地市要求來。 備案的時候帶上定級資料去網安部門, 一般兩份紙質文檔, 一份電子檔, 紙質的首頁加蓋單位公章。
三是系統安全建設。 資訊系統安全保護等級確定後, 運營使用單位按照管理規範和技術標準, 選擇管理辦法要求的資訊安全產品, 建設符合等級要求的資訊安全設施, 建立安全性群組織, 制定並落實安全管理制度。
四是等級測評。 資訊系統建設完成後, 運營使用單位選擇符合管理辦法要求的檢測機構, 對資訊系統安全等級狀況開展等級測評。 測評完成之後根據發現的安全問題及時進行整改, 特別是高危風險。 測評的結論分為:不符合、基本符合、符合。 當然符合基本是不可能的, 那是理想狀態。
五是監督檢查。 公安機關依據資訊安全等級保護管理規範及《網路安全法》相關條款, 監督檢查運營使用單位開展等級保護工作,
其中定級、備案工作原則上是由使用者單位自己填寫定級備案表交給公安網監部門去進行備案工作, 但考慮到實際情況, 絕大多數情況下都是使用者單位在測評機構的協助下完成這些工作。 系統安全建設和等級測評的工作不一定要嚴格按照這個順序開展, 可以先測評再整改, 也可以先建設再測評。 具體還是根據自身實際情況來辦。 注意了:選擇一家有實力的測評機構很重要, 測的好壞關係到單位資訊系統後期整改內容, 問題發現多了提前發現了並整改了, 可以有效降低被攻擊的風險,
所以等級保護工作是以上一個全流程, 而不只是測評工作, 測評的目的是發現問題, 更重要的是我們在發現問題之後去持續地解決問題, 履行網路安全義務, 完善我們的資訊安全建設工作, 保障系統的正常服務以及資料的安全。 近期這麼多違反《網路安全法》的案例發生, 我們務必重視等級保護工作, 務必重視網路安全, 合法合規地及時開展相關工作。
對網路安全、等級保護工作感興趣的朋友可以進微信群交流, 目前還有等級保護測評之江蘇友商群、等級保護測評機構群、等級保護測評使用者與主管單位群還可以進, 想進群交流的人可以加我微信, 我拉你們。 注意:符合相應條件的人進各自對應的群。