1网络安全等级保护工作须知一、为什么要落实网络安全等级保护工作1、法律有明确规定。《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。因此,不落实网络安全等级保护制度就是违法。(<中华人民共和国网络安全法>节选见附件1)2、有效提高自身网络安全。实践证明,对网络信息系统分等级保护能够有效提高安全防护水平,降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险(相关案例见附件2)。3、有效保障和控制网络安全建设成本。在网络信息系统规划、建设和使用过程中同步建设安全设施,保证网络安全与网络信息系统建设相协调,可有效保障和控制网络安全建设成本,避免不必要的支出。二、网络安全等级保护基本知识1、等级保护对象。指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,等级保护对象覆盖全社会和所有网络信息系统,包括:非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。2、三同步原则。各单位应遵循网络安全与网络信息系统“同步规划、同步建设、同步使用”的原则,确保网络安全落实到位。3、级别。根据网络信息系统在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,从第一级开始,从低到高分为五个安全保护等级。4、工作流程。包括定级备案、安全建设、等级测评、安全整改和监督检查。三、如何落实网络安全等级保护工作1、自定级。单位确定网络安全等级保护对象后,参照《GA/T1389—2017信息安全技术网络安全等级保护定级指南》自行确定网络系统的等级,填写《网络安全等级保护自定级报告》(模板见附件3)。如主管部门对定级对象有定级指导意见的,按指导意见确定等级(原则上大数据安全保护等级为第三级以上;国家关键信息基础设施的安全保护等级应不低于第三级)。2、确定等级。安全保护等级初步确定为第一级的等级保护对象,其运营使用单位应当依据标准2进行自主定级;安全保护等级初步确定为第二级以上的等级保护对象,其运营使用单位应当依据标准进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级,具体流程为:自定级后,其运营使用单位应填写《网络安全等级专家评审申请报告》(模板见附件4),组织网络安全专家对自定级情况进行评审,专家人员不少于3名,由专家组出具评审报告(模板见附件5),其运营使用单位可向当地信息安全等级保护工作领导小组办公室或当地公安机关咨询网络安全定级评审专家(联系人及联系方式见附件6)。按主管部门指导意见定级的,报行业主管部门或上级主管部门审核批准。3、备案。第二级以上网络系统,其运营使用单位应向属地公安机关办理备案,备案流程可登陆宁波市公安局官网查询(gaj.ningbo.gov.cn)。公安机关认为定级不准确的,不予备案,并退回单位重新定级。4、安全建设。根据《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》,对应保护对象的级别进行规划设计,按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》同步开展建设。5、等级测评。其运营使用单位应委托有测评资质的第三方测评机构,机构名单可登陆中国网络安全等级保护网查询Iwww.djbh.net,浙工8家测评机构名单见附件7),对保护对象开展等级测评。6、安全整改。单其运营使用位根据测评机构出具的测评报告,对照测评结果进行整改,确保符合安全标准。7、监督检查。公安机关对单位网络安全等级保护制度落实情况进行监督检查,在检查时,各单位应提供本单位网络信息系统底数清单和台帐,一个网络信息系统对应一本台帐。网络信息系统台帐应包括:网络安全等级保护自定级报告、网络安全有关材料(网络安全组织机构建立情况、网络系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图)、信息系统安全等级保护备案表...
