文章介绍了等保备案流程及定级方法,包括定级对象的确定、等级初步评定、专家评审及主管部门核准等环节,并详细说明了各等级保护对象的安全要求及备案材料准备流程。 2025-10-29 08:12:45 Author: www.freebuf.com(查看原文) 阅读量:1 收藏
前言
很久以前整理的一份等保备案流程。时间较久,有些细节可能已经更新,而且等保已经成熟了仅供参考吧。
等保流程:定级、备案、建设整改、等级测评、监督检查。其中定级、备案要准备的事件更多,定级、备案流程为:
- 确定定级对象
- 初步确定等级
- 专家评审
- 主管部门核准
- 备案审核
- 完成备案
1确定定级对象
备案主体单位应按照以下要求,在系统建设阶段或现有系统开展定级备案工作时,确立定级对象。
1.1信息系统
1.1.1 定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
- 具有确定的主要安全责任主体;
- 承载相对独立的业务应用;
- 包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统预计采用移动互联技术的系统在满足以上基本特征的基础上,还需分别遵循对应的相关要求。
1.1.2 云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
1.1.3 物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级、各要素不单独定级。
1.1.4 工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
1.1.5 采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
1.2 通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专业通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
1.3 数据资源
数据资源可独立定级
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
2初步确定等级
2.1定级对象的安全保护等级分类说明
定级对象的安全保护等级分为以下五级:
- 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;
- 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严正损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
- 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
- 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
- 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
2.2初步对定级对象进行定级流程
确立定级对象后,应按照以下流程初步对定级对象进行定级:
(1)确定定级对象业务信息受到破坏时所侵害的客体和系统服务受到侵害时所侵害的客体。客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
——影响国家政治稳固和领土主权、海洋权益完整;
——影响国家统一、民族团结和社会稳定;
——影响国家社会主义市场经济秩序和文化实力;
——其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
——影响公共场所的活动秩序、公共交通秩序;
——影响人民群众的生活秩序;
——其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:
——影响社会成员使用公共设施;
——影响社会成员获取公开数据资源;
——影响社会成员接受公共服务等放方面;
——其他影响公共利益的事项。
侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权力和利益等受到损害。
确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公共利益,最后判断是否侵害公民、法人和其他组织的合法权益。
(2)根据不同的受侵害客体,分别评定业务信息安全和系统服务安全被破坏对客体的侵害程度。如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则以整个行业或国家的总体利益作为判断侵害程度的基准。
其中侵害程度分为以下三类:
- 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
- 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
- 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常高损害。
对客体的侵害程度由对不同侵害结果的侵害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后关注的侵害结果、侵害程度的计算方式均可能不同,各行业可根据本行业业务信息和系统服务特点制定侵害程度的综合评定方法,并给出一般损害、严重损害、特别严重损害的具体定义。
(3)根据安全保护等级矩阵表(表1、表2)确定安全保护等级
- 确定业务信息安全保护等级;
- 确定系统服务安全保护等级;
- 将业务信息安全保护等级和系统服务安全保护等级取最高者作为定级对象的安全保护等级。
业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
表1 业务信息安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
表2 系统服务安全保护等级矩阵表
安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过的,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
2.3备案材料准备
确定定级对象的保护等级后,应按照公安规定的格式和要求(注:由于各地公安分局网安部门的备案要求并不完全统一,因此整体备案材料也存在不一致的情况)填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,一级信息系统不需要填写《信息系统安全等级保护定级报告》。
《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》一般由备案主体单位负责、开发建设单位协助编写。专家会前内部评审,完善定级报告和备案表(测评机构可协助)。
3专家评审
- 完成备案表和定级报告编写后,对于安全等级为二级及以上的系统应邀请外部专家对信息系统进行专家评审,给出专家意见,邀请的外部专家应在3位以上,专家数量为单数,且至少有一位为高级测评师。
- 若专家认为定级不合适的,应协商研究定级对象是否更改保护级别,并修改相关材料。
组织定级专家评审会流程:
- 拟定邀请专家名单(测评机构可协助)
- 邀请专家(备案主体单位可自行邀请或测评机构协助邀请)
- 准备会议议程(测评机构可协助)
- 准备《定级专家评审意见》初稿(测评机构可协助)
- 会后取得专家签字版《定级专家评审意见》和与会专家资质证书等材料,并依据专家意见进一步完善定级报告(备案主体单位负责,开发建设单位协助完善)
4主管部门核准与定级材料准备
- 对于安全等级为二级及以上的系统应进行主管部门核准工作,向上级单位提交备案表、定级报告和专家意见,由上级单位给出核准意见。部分区公安局不强制要求上级主管部门意见作为备案材料,若上级部门不愿提供书面意见,可不提供本项材料。
- 一级系统需准备:信息系统安全等级保护备案表;营业执照;归属省等保备案预约平台单位授权委托书;信息安全责任书(一式两份,并电子版刻光盘)。一级系统不需要通过备案系统提交,直接准备纸质材料现场提交。
- 二级系统需准备:信息系统安全等级保护备案表;信息系统安全等级保护定级报告;营业执照;归属省等保备案预约平台单位授权委托书;信息安全责任书;应急联系登记表;备案证明使用承诺书(以上一式两份,并电子版刻光盘,备案表和定级报告需word版);专家评审意见和专家资质复印件。
- 三级系统需准备:信息系统安全等级保护备案表;信息系统安全等级保护定级报告;营业执照;归属省等保备案预约平台单位授权委托书;信息安全责任书;应急联系登记表;备案证明使用承诺书(以上一式两份,并电子版刻光盘,备案表和定级报告需word版);专家评审意见和专家资质复印件;系统拓扑结构及说明;系统安全组织机构及管理制度;系统安全保护设施设计实施方案或改建实施方案;系统使用的安全产品清单及认证、销售许可证明;系统等级测评报告;
- 除上述定级材料外,备案主体单位还需单位办公地证明、主管部门核准意见(非必须)和法人身份证(复印件);APP系统需另外提交官方评估回复短信截图或网站页面通过截图(评估网站:www.beian.gov.cn),具体操作方法见《全国公安机关互联网站安全服务平台备案办事指南》。
- 信息系统安全等级保护备案表、信息系统安全等级保护定级报告、营业执照、应急联系人登记表、法人身份证、APP系统评估截图、系统使用的安全产品清单及认证、系统安全组织机构及管理制度需要盖单位公章,其中信息系统安全等级保护定级报告和系统安全组织机构及管理制度还需要盖骑缝章。信息安全责任书需要盖公章和安全责任人签字。归属省等保备案预约平台单位授权委托书、备案证明使用承诺书、系统拓扑结构及说明需要盖公章和法人签字。
5备案流程
1、备案主体可在开展准备定级材料与专家评审工作时,同步开展等级保护备案预约平台单位账号注册申请(备案主体单位申请),备案材料准备等工作。
说明:备案主体单位在备案平台具有唯一的登录账号,若此前本单位已有备案过的系统,应使用唯一账号进行备案信息登记。
2、准备好备案材料后,需通过等级备案预约平台进行信息材料的填写,流程见《等保备案预约平台操作指南》(参考链接:http://www.beian.gov.cn/portal/index/),待公安机关审核通过后才能上交纸质材料。审核不通过的应组织重新进行定级工作。
3、审核通过后,可联系公安机关,最终确认信息系统保护等级,现场领取备案证明,完成备案。4、备案成功后若单位地址及联系人发生变动,应及时通知备案机构进行信息更新;单位材料需存档保存,遗失不补。
1、备案主体单位负责:
- 定级级别初定,《备案表》和《网络安全等级保护定级报告》的编写;
- 邀请专家,组织召开定级专家评审会;
- 等保备案预约平台上单位账号的注册申请;
- 备案材料上传等保备案预约平台、现场提交纸质材料(建议是备案主体单位人员负责登录上传和现场送审)。
2、建设开发单位:
协助编写《备案表》、《网络安全等级保护定级报告》及专家会汇报材料;
3、测评单位:
- 可协助等保定级备案流程及政策解读
- 可在定级评审会前,对《定级报告》和《备案表》初评审,协助完善内容
- 可协助提供邀请专家名单
- 可协助准备会议议程
- 可协助编写《定级专家评审意见》初稿
- 可协助对备案所需材料进行初步符合性检查
一级系统
一级系统不需要通过备案系统提交,直接准备纸质材料现场提交
材料名称 | 负责主体 | 协助主体 | 需求 | 流程 |
信息系统安全等级保护备案表 | 备案主体单位 | 建设开发单位 测评单位 | 一式两份,并电子版刻光盘,需word版 盖单位公章 | 确定定级对象保护等级后 |
营业执照 | 备案主体单位 | 一式两份,并电子版刻光盘 盖单位公章 | 定级材料准备 | |
归属省等保备案预约平台单位授权委托书 | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和法人签字 | 定级材料准备 | |
信息安全责任书 | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和安全责任人签字 | 定级材料准备 |
二级系统
材料名称 | 负责主体 | 协助主体 | 需求 | 流程 |
信息系统安全等级保护备案表 | 备案主体单位 | 建设开发单位 测评单位 | 一式两份,并电子版刻光盘,需word版 盖单位公章 | 确定定级对象保护等级后 |
信息系统安全等级保护定级报告(相对一级新增) | 备案主体单位 | 建设开发单位 测评单位 | 一式两份,并电子版刻光盘,需word版 盖单位公章 盖骑缝章 | 确定定级对象保护等级后 |
营业执照 | 备案主体单位 | 一式两份,并电子版刻光盘 盖单位公章 | 定级材料准备 | |
归属省等保备案预约平台单位授权委托书 | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和法人签字 | 定级材料准备 | |
信息安全责任书 | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和安全责任人签字 | 定级材料准备 | |
应急联系登记表(相对一级新增) | 备案主体单位 | 一式两份,并电子版刻光盘 盖单位公章 | 定级材料准备 | |
备案证明使用承诺书(相对一级新增) | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和法人签字 | 定级材料准备 | |
专家评审意见和专家资质复印件(相对一级新增) | 备案主体单位 | 建设开发单位 测评单位 | 专家签字版意见 | 专家评审通过后 |
3三级系统及以上
黄色底纹为相对于二级系统新增
材料名称 | 负责主体 | 协助主体 | 需求 | 流程 |
信息系统安全等级保护备案表 | 备案主体单位 | 建设开发单位 测评单位 | 一式两份,并电子版刻光盘,需word版 盖单位公章 | 确定定级对象保护等级后 |
信息系统安全等级保护定级报告(相对一级新增) | 备案主体单位 | 建设开发单位 测评单位 | 一式两份,并电子版刻光盘,需word版 盖单位公章 盖骑缝章 | 确定定级对象保护等级后 |
营业执照 | 备案主体单位 | 一式两份,并电子版刻光盘 盖单位公章 | 定级材料准备 | |
归属省等保备案预约平台单位授权委托书 | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和法人签字 | 定级材料准备 | |
信息安全责任书 | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和安全责任人签字 | 定级材料准备 | |
应急联系登记表(相对一级新增) | 备案主体单位 | 一式两份,并电子版刻光盘 盖单位公章 | 定级材料准备 | |
备案证明使用承诺书(相对一级新增) | 备案主体单位 | 一式两份,并电子版刻光盘 盖公章和法人签字 | 定级材料准备 | |
专家评审意见和专家资质复印件(相对一级新增) | 备案主体单位 | 建设开发单位 测评单位 | 专家签字版意见 | 专家评审通过后 |
系统拓扑结构及说明(相对二级新增) | 备案主体单位 | 盖公章和法人签字 | 定级材料准备 | |
系统安全组织机构及管理制度(相对二级新增) | 备案主体单位 | 安全组织机构包括机构名称、负责人、成员、职责分工等; 管理制度包括安全管理规范、章程等,需有电子版 盖单位公章 盖骑缝章 | 定级材料准备 | |
系统安全保护设施设计实施方案或改建实施方案(相对二级新增) | 备案主体单位 | 简要的安全建设、整改方案,需有电子版 盖单位公章 | 定级材料准备 | |
系统使用的安全产品清单及认证、销售许可证明(相对二级新增) | 备案主体单位 | 盖单位公章 | 定级材料准备 | |
系统等级测评报告(相对二级新增) | 测评机构 | 测评通过后提供 |
其他材料
材料名称 | 负责主体 | 协助主体 | 需求 | 流程 |
单位办公地证明 | 备案主体单位 | 公司或个人办公地址租赁合同或房产证 | 定级材料准备 | |
行业主管部门核准意见或上级主管部门定级审核意见 | 备案主体单位 | 根据所属公安要求选择是否提交 | 定级材料准备 | |
主管部门法人身份证(复印件) | 备案主体单位 | 盖单位公章 | 定级材料准备 | |
官方评估回复短信截图或网站页面通过截图 | 备案主体单位 | APP系统需另外提交(评估网站:www.beian.gov.cn) 盖单位公章 | 定级材料准备 |
全国互联网安全管理服务平台:http://www.beian.gov.cn/portal/index/
网络安全等级保护网:https://www.djbh.net/
如有侵权请联系:admin#unsafe.sh