网络安全等级保护:一起回看等保重要政策文件861号文
要求是开展信息系统基本情况的摸底调查。
各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
上面的工作方法是等级保护的基本方法,无论监管部门便于监管,还是运营使用单位自身,通过摸底调查清底数的工作方式方法都是有意义的。对于监管部门没办法监管不了解的信息系统,对于运营使用单位来说没办法保护一个自己不了解的信息系统。另外,备案是向当地设区的市级以上公安机关备案,所以在这个过程中一般是不去县级公安机关备案的。不同的系统需要去哪级公安机关备案,也出自861号文。
下面,又继续谈到了涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,中央和国家机关单位的涉密信息系统向国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案;中央和国家机关地方所属单位的涉密信息系统,向所在地的省级保密工作部门备案。
涉密系统备案由保密工作部门负责,涉密系统建设使用单位需向保密部门备案。861号文也再次说明,涉密系统的分级保护是等级保护体系的一部分。
再往下看,就是定级工作的要求。
(一)加强领导,落实保障。
各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。
(二)明确责任,密切配合。
定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施定级工作。
(三)动员部署,开展培训。
地区、各部门要按照统一部署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。
地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送公安部。涉密系统定级工作总结报告向国家保密局报送。
在861号文中,附件1:《信息系统安全等级保护定级报告》,这个是我们做等级保护工作时要完成的一个重要文件,这个是系统建设运营单位的工作,在实际等级保护工作中,少不了等保机构或等保咨询机构的协助与帮助。另外,附件2:信息系统安全等级保护备案表 ,这个也是我们去公安部门备案最重要的一个文件之一,这里面涉及的信息很多,很多信息系统建设运营单位初看会头大,同样实际工作中,也少不了等保机构或等保咨询机构的参与。
那么,附件3:涉及国家秘密的信息系统分级保护备案表,这个是属于涉密信息系统的备案表,可以直接看861号文,不再啰嗦了。
期待,与大家共勉,在网络安全等级保护的道路上,期待能够不断加强学习。
回复“3012”获取861号文 共享链接!