网络安全等级保护工作须知.docxVIP

PAGE PAGE # 网络安全等级保护工作须知 一、为什么要落实网络安全等级保护工作 1、法律有明确规定。《中华人民共和国网络安全法》 第二十一条规定， 国家实行网 络安全等级保护制度。因此，不落实网络安全等级保护制度就是违法。 （ 中华人民共 和国网络安全法 节选见附件 1） 2、有效提高自身网络安全。 实践证明，对网络信息系统分等级保护能够有效提高 安全防护水平， 降低单位网站被篡改、 系统瘫痪、 数据泄露或被勒索的风险 （相关案例 见附件 2）。 3、有效保障和控制网络安全建设成本。 在网络信息系统规划、建设和使用过程中 同步建设安全设施， 保证网络安全与网络信息系统建设相协调， 可有效保障和控制网络 安全建设成本，避免不必要的支出。 二、网络安全等级保护基本知识 1、等级保护对象。 指网络安全等级保护工作中的对象，通常是指由计算机或者其 他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、 存储、传输、交 换、处理的系统， 等级保护对象覆盖全社会和所有网络信息系统， 包括：非涉密的基础 信息网络、信息系统、大数据应用 / 平台/ 资源、物联网、云平台 /系统、工业控制系统 和采用移动互联技术的系统等。 2、三同步原则。 各单位应遵循网络安全与网络信息系统“同步规划、同步建设、 同步使用”的原则，确保网络安全落实到位。 3、级别。 根据网络信息系统在国家安全、经济建设、社会生活中的重要程度，以 及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社 会秩序、公共利益以及相关公民、 法人和其他组织的合法权益的危害程度等因素， 从第 一级开始，从低到高分为五个安全保护等级。 4、工作流程。 包括定级备案、安全建设、等级测评、安全整改和监督检查。 三、如何落实网络安全等级保护工作 1、自定级。 单位确定网络安全等级保护对象后，参照《 GA/T 1389 — 2017 信息 安全技术 网络安全等级保护定级指南》自行确定网络系统的等级，填写《网络安全等 级保护自定级报告》（模板见附件 3）。如主管部门对定级对象有定级指导意见的，按指 导意见确定等级 （原则上大数据安全保护等级为第三级以上； 国家关键信息基础设施的 安全保护等级应不低于第三级） 。 2、确定等级。 安全保护等级初步确定为第一级的等级保护对象，其运营使用单位 应当依据标准进行自主定级； 安全保护等级初步确定为第二级以上的等级保护对象， 其 运营使用单位应当依据标准进行初步定级、 专家评审、主管部门审批、 公安机关备案审 查，最终确定其安全保护等级，具体流程为：自定级后，其运营使用单位应填写《网络 安全等级专家评审申请报告》 （模板见附件 4），组织网络安全专家对自定级情况进行评 审，专家人员不少于 3 名，由专家组出具评审报告（模板见附件 5），其运营使用单位 可向当地信息安全等级保护工作领导小组办公室或当地公安机关咨询网络安全定级评 审专家（联系人及联系方式见附件 6 ）。按主管部门指导意见定级的，报行业主管部门 或上级主管部门审核批准。 3、备案。 第二级以上网络系统，其运营使用单位应向属地公安机关办理备案，备 案流程可登陆宁波市公安局官网查询 （ ）。公安机关认为定级不准确 的，不予备案，并退回单位重新定级。 4、安全建设。根据《 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设 计技术要求》，对应保护对象的级别进行规划设计，按照《 GB/T 22239-2019 信息安 全技术 网络安全等级保护基本要求》同步开展建设。 5、等级测评。 其运营使用单位应委托有测评资质的第三方测评机构，机构名单可 登陆中国网络安全等级保护网查询 （ ，浙江 8 家测评机构名单见附件 7）， 对保护对象开展等级测评。 6、安全整改。 单其运营使用位根据测评机构出具的测评报告，对照测评结果进行 整改，确保符合安全标准。 7、监督检查。 公安机关对单位网络安全等级保护制度落实情况进行监督检查，在 检查时，各单位应提供本单位网络信息系统底数清单和台帐， 一个网络信息系统对应一 本台帐。 网络信息系统台帐应包括： 网络安全等级保护自定级报告、 网络安全有关材料 （网络安全组织机构建立情况、 网络系统使用的主要设备、 操作系统、数据库、 防病毒 软件以及网络拓扑图） 、信息系统安全等级保护备案表、专家评审报告或主管部门审核 批准网络安全等级意见、 测评后符合系统安全等级保护的技术测评报告 （后三项为第二 级以上网络系统需提供） 。 落实过程中遇到问题可及时与本地等保办联系。 附件 1 ：《中华人民共和国网络安全法》节选 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网 络安全等级保护制度的要求， 履行下列