单位如何开展等级保护建设的相关工作
最近更新时间:2021-05-27 15:25:58
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等级保护工作是一个系统性工程,根据网络安全等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、建设整改、等级测评、监督检查。
(1)系统定级
对拟定为第二级及以上的对象,其运营者应当组织专家评审;有行业主管部门的,应当在专家定级评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
(2)系统备案
定级对象的运营使用单位应准备定级备案材料,材料包括:定级报告、等级保护备案表、单位基本情况、信息系统情况等材料。第二级以上网络运营者应当在定级对象安全保护等级确定后10个工作日内,到县级以上公安机关备案。
公安机关在接到备案材料后,于10个工作日内完成材料审查,并对定级对象安全等级进行初步审核,并出具网络安全等级保护备案证明。
(3)建设整改
对于新建的等级保护对象,要按照等级保护相关标准,撰写等级保护建设方案,并根据建设方案组织集成实施。
对于已有的等级保护对象,等级保护对象运营使用单位负责对其进行风险评估和整改建设工作, 重要等级保护对象的运营使用单位应形成等级保护整改建设方案,并根据整改方案组织集成建设。
(4)等级测评
等级保护对象的运营使用单位应落实等级测评资金保障工作,同时开展等级测评工作。
等级保护对象建设完成后,运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对等级保护对象开展等级测评。第三级及以上定级对象应当每年至少进行一次等级测评(等保1.0标准里面等级保护四级系统需要每半年一次,现在调整为每年一次),第五级定级对象应当依据特殊安全需求进行等级测评。