文/徐佳瑾 刘刚
根据《信息安全等级保护管理办法》规定,等级保护工作主要分为五个环节,分别是定级、备案、建设整改、等级测评和监督检查。其中网络安全等级保护工作的首要环节为定级备案,对于未备案项目,应各网络运行者应确认系统的级别然后去公安机关备案,定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行,公安机关审核通过后会下发通过的备案审批号。对于已备案项目,只要确认系统的级别、备案号、备案材料即可。
相关流程图如图1所示。
网络运营者开展网络定级之前,首先需要梳理信息系统的信息,包括识别系统的数量、边界和范围等,需要说明的是:个人、家庭组建的网络和使用的计算机不在等级保护范围内。
那么如何科学、合理地确定定级对象呢,网络运营者或主管部门可参考下列情况来确定定级对象。
(1)各单位的各类业务系统,主要用于生产、调度、管理、作业、指挥、办公、邮件等目的;
(2)各单位的各类网站(如门户网站,OA管理网站,电子商务网站等),另外安全级别高的网站后台管理系统,也应作为独立的定级对象;
(3)云计算平台,物联网信息系统也需作为独立的定级对象来进行备案。
需特别注意的是,作为定级对象的网络、信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。不应将某个单一的系统组件(例如服务器、终端、网络设备等)作为定级对象;
定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
定级对象的安全主要包括业务信息安全和系统服务安全,首先确定业务信息安全受到破坏时所侵害的客体,根据业务信息安全保护等级矩阵表得出业务信息安全保护等级,然后确定系统服务安全受到破坏时所侵害的客体,根据系统服务安全保护等级矩阵表得出系统服务安全保护等级,将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。如图2所示。
信息系统运营使用单位可参照下列说明来确定信息系统的安全保护等级:
第一级信息系统:一般适用于小型私营、个体企业、中小学,乡镇所属信息系统,县级单位中一般的信息系统。
第二级信息系统:一般适用于县级某些单位中的重要的信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一般适用于国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统;以及其他包含大量敏感信息的各类重要信息系统。
备案需要填写项目联系人填写《系统安全等级保护备案表》,《结构化定级报告》,以及单位资质证明,如果申请单位为一般企业,则需要提供营业执照;如果申请单位为事业单位,则需要提供事业单位法人证;如果申请单位为政府机关,则需要提供组织机构代码证;如果为申请单位为IDC企业备,则需要提供增值业务许可证及营业执照;如果申请单位为游戏企业,则需要网络文化经营许可证(文网文)及营业执照。
图1:定级备案流程
图2:定级方法流程
备案表,定级报告,补充信息表模板及注意事项如下:
3.1.1 备案表
如图3所示。
(1)单位名称必须和营业执照所提供的相一致,并且备案表,定级报告,补充信息表单位名称必须一致,否则材料不符合,退回重写;
(2)图4中的系统名称,备案表,定级报告,补充信息表中的系统名称必须一致,否则材料不符合,退回重写;
(3)业务描述建议填写系统功能及业务描述,以及系统的IP地址和URL;
(4)关键产品使用情况中的安全专用产品一般指安全防护设备,例如防火墙/ISP/WAF之类的等;网络产品一般指网络设备,例如交换机,路由器之类等;
(5)服务器,网络产品,安全专用产品数量需与定级报告中的拓扑图,以及拓扑图描述的数量相一致。如图5所示;
(6)业务信息安全保护等级和系统服务安全等级以及信息系统安全保护等级必须填写正确,并且与定级报告相一致,否则材料不符合,退回重写。
3.1.2 定级报告
定级报告主要包含系统概述,当系统遭到破坏对业务和系统服务的破坏程度等,详细内容网络运营者可以参照中国网络安全等级保护网中的要求和模板来填写。建议在系统概述时画出系统所在网络的网络架构拓扑图,需明确边界的安全防护设备、系统服务器所在的区域等;对网络拓扑架构图进行文字描述,重点说明边界的安全防护措施、数据的保护措施等,其中设备数量需要与备案表中填写的设备数量想一致。
图3:备案表表一截图
图4:备案表表二截图
图5:备案表表三截图
关于备案材料,网络运营者需要提交给公安机关的电子版材料有:
(1)《系统安全等级保护备案表》终稿;
(2)《结构化定级报告》终稿;
(3)电子版营业执照、法人证书;
(4)其他相关电子版材料。
需要提交给网安的纸质材料有:
(1)系统安全等级保护备案表纸质材料两份,并在备案表的封面备案单位处、表一的单位名称处盖单位公章;
(2)定级报告纸质版一份,并在首页盖单位公章;
(3)电子版营业执照、法人证书;
(4)其他相关纸质材料并且加盖单位公章。
接收备案材料后,公安机关会重点审核已下内容:
(1)备案材料基本信息填写是否完整;
(2)网络系统的定级是否准备,符合相关要求;
(3)提交的电子材料和纸质材料是否一致。
定级备案仅仅只是信息系统安全等级保护的前期准备工作,但也是重要的一个环节,只有备案材料公安机关审核通过,下发备案编号后,第三方测评机构才可以正式入场进行测评,希望网络运营者重视定级备案工作并且认真执行。以上为笔者结合标准以及自身工作对定级备案的一点总结,希望对各位有帮助,如有遗漏或错误,欢迎批评改正。