導讀:由于各地的情況會有一些差別���,請以當地公安機關的等級保護測評要求為準�����,小編今天轉載自長治網警巡查執法百家號的《等級保護測評過程中常見的問題��?》一文的問答�����,僅供大家參考�����。
問題一:
問:公安部門要求什么時間完成等保測評?我們還沒有定級���,預算經費也沒有報���,如何開展工作?
答:根據公安文件要求的時間開展測評工作���,如果還沒有定級�����,則根據定級要求和流程���,先向公安遞交定級備案文件���,預算納入下一年度工作計劃��,在經費未落實前��,可以先行進行系統了解��、系統加固配合工作��。
定級專家評審時間:每季度或每半年(或不定期)���,由公安組織專家評審��。
問題二:
問:定級對象范圍是什么?一般是以什么界限來劃分?是不是所有的系統都要申報?
答:定級對象范圍:
1���、起支撐���、傳輸作用的信息網絡(包括專網���、內網���、外網���、網管系統)��,網絡要合理劃分區域;
2��、用于生產���、調度�����、管理�����、作業��、指揮��、辦公等目的的各類業務系統��,跨省或者全國聯網運行信息系統的分支系統也要單獨定級;
3��、各單位網站等���。
問題三:
問:實際操作中如何定級?區別?
答:第二級信息系統:適用于縣級某些單位中的重要信息系統;地市級以上國家機關���、企事業單位內部一般的信息系統���。例如非涉及工作秘密���、商業秘密��、敏感信息的辦公系統和管理系統等�����。
第三級信息系統:一半適用于地市級以上國家機關�����、企事業單位內部重要的信息系統��,例如涉及工作秘密���、商業秘密��、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用于生產���、調度���、管理���、指揮���、作業�����、控制等方面的重要信息系統以及這類系統在省��、地市的分支系統;中央各部委���、省(區��、市)門戶網站和重要網站;跨省聯接的網絡系統等�����。
在實際操作中�����,可參考備案單位自主定級分類指南���。
問題四:
問:遞交的備案資料都包括哪些內容?
答:(舉例北京)
紙質版:
1. 信息系統安全等級保護備案表一式兩份(封面單位名稱處蓋章)�����。應填寫完整���、無漏項���,不得改動備案表版面格式���。機打�����,不可手寫���,單面打印���。
2. 信息系統安全等級保護定級報告一式兩份(定級表格處蓋章)���。機打���,單面打印�����。
3. 信息安全承諾書簽字蓋章�����。法人親筆簽字
4.
相關證件復印件各一份:工商營業執照(或執業許可證�����、事業單位證書���、非盈利性機構證書等許可證明)�����、法人代表身份證���、組織機構代碼證(如三證合一���,省略)��。
5. 法人授權書(被授權人需攜帶本人身份證原件及復印近)�����。
6. 實際辦公地的房產證或租房合同復印件���。
7.主機托管合同或云主機租用合同的復印件��。
8. 企業內部信息安全部門�����、技術部門組織架構人員登記信息表���,左上角蓋章(表格中確定兩位24小時應急處置網絡安全事件聯系人)���。
9.從事互聯網金融的企業(如網貸P2P平臺�����、證券交易系統等)��,備案時需提交紙質版《信息安全等級保護備案證明使用承諾書》法人親筆簽字��,加蓋單位公章��。其他行業無需提交���。
(備案面審提交時請按照以上順序排列材料)
電子版壓縮包要求:
以“單位全稱-系統名稱”命名壓縮包���,將以下文件放入壓縮包內���,提交紙質材料的同時在釘釘內向負責民警提交電子版壓縮包��。原件掃描件要求�����,分辨率300dpi---jpg格式��。
1.備案表���、定級報告和信息安全承諾書蓋章掃描件
2.備案表和定級報告word版;
3.三級系統需提交備案表表四全部內容���。
4.信息安全部���、技術部組織架構人員登記信息表���,可編輯版���。
5.工商營業執照副本原件掃描件(或執業許可證���、事業單位證書��、非盈利性機構證書等許可證明)��、組織機構代碼證原件掃描件(如三�����、五證合一�����,省略)
法人代表身份證原件掃描件;
備案表表一中單位負責人身份證原件掃描件;
8.從事經營性公眾互聯網行業及有交易投資活動的信息系統的企業需要提交《信息安全等級保護備案證明使用承諾書》���。
問題五:
問:《定級報告》一般都包括哪些部分?
答:
1��、定級依據
包括與本次信息系統定級相關的法規���、標準���、規范和文件等���,例如《管理辦法》�����、《定級指南》�����、本行業的安全管理規定等確定信息系統安全保護等級所需依據的文件�����。
2���、信息系統劃分
詳細描述信息系統的管理機構和管理職責�����、網絡結構和對外邊界���、承載業務種類��、處理的主要信息等���。如果定級范圍內劃分出多個作為定級對象的信息系統���,應描述劃分結果���、劃分方法和理由���。
3��、 信息系統描述
描述定級信息系統的邊界���,包括外部邊界和與其他系統相連的內部邊界�����,定級系統的邊界設備���,系統內的主要設備��,系統承載的業務應用��。
問題六:
問:有哪些情況是無需專家評審的?
答:信息系統運營使用單位有上級主管部門��,且對信息系統的安全保護等級有定級指導意見或審核批準的���,可無需在進行等級專家評審���。
主管部門一般指行業的上級主管部門或監管部門��。如果是跨地域聯網運營使用的信息系統���,則必須由上級主管部門審批���,確保同類系統或分支系統在各地域分別定級的一致性�����。
二級及二級以上的信息系統需要專家評審���。
問題七:
問:整個周期是多長?其中現場測評時間?
答:整個測評周期包括前期調研��、現場測評�����、后期報告編寫等��,一般情況下一個二級系統會占用3-4周��,一個三級系統會占用4-5周(指初次測評�����,不包括整改和加固時間);
其中現場測評(指在被測系統單位現場的測評)的時間根據系統的數量而定:一般一個二級系統會占用3-4個工作日���,一個三級系統會占用5-6個工作日(兩組同時進行��,每組兩人)�����。
問題八:
問:整改會不會涉及到要購置設備?如果有些不符合項目不能馬上關閉能不能通過備案?
答:根據《GB T22239-2019信息安全技術信息系統安全等級保護基本要求》���,三級系統有如下要求:
A��、應提供主要網絡設備�����、通信線路和數據處理系統的硬件冗余��,保證系統的高可用性;
B���、應建立備用供電系統;
以上檢查項需要購置設備�����,對二級系統沒有此要求��,但在二級系統中���,構成系統網絡安全的必要硬件則必須有;
根據現場實際檢查情況進行備案�����,包括整改措施���、整改計劃��、風險評估等���。
等保測評咨詢
