昨天,探讨了《》,今天简单谈一下等级保护的工作流程,在探讨等级保护概念和内涵过程中,我们是参考66号文,而探讨网络等级保护工作的流程,则需要再《信息安全等级保护管理办法》(公通字43号)问里寻找答案。同时可以参考《网络安全等级保护条例》(征求意见稿),其描述总体上是结合当下法律法规与时俱进的,很多工作也是保持了一致性。
根据《信息安全等级保护管理办法》的规定,等级保护工作主要分为五个环节,分别是定级、备案、建设整改、等级测评和监督检查。开展网络安全等级保护工作,涉及公安机关、保密部门、密码管理部门、网信部门等职能部门,以及网络运营者、第三方测评机构、网络安全企业、专家队伍等。相关各方应按照国家网络安全等级保护制度要求,按照职责和分工,找准各自定位,密切配合,共同落实《网络安全法》和网络安全等级保护制度,依法维护网络安全。开展网络安全等级保护工作的流程如下。一是定级。网络运营者根据《网络安全等级保护定级指南》(GB/T 22240-2020)拟定网络的安全保护等级,组织召开专家评审会,对初步定级结果的合理性进行评审,出具专家评审意见,将初步定级结果上报行业主管部门进行审核。二是备案。网络运营者将网络定级材料向公安机关备案,公安机关对定级准确、符合要求的网络发放备案证明。三是等级测评。网络运营者选择符合国家规定条件的测评机构,对第三级以上网络(含国家关键信息基础设施)每年开展等级测评,查找发现问题隐患,提出整改意见。四是安全建设整改。网络运营者根据网络的安全保护等级,按照国家标准开展安全建设整改。五是监督检查。公安机关每年对网络运营者开展网络安全等级保护工作的情况和网络的安全状况实施执法检查。一般在一些资料里或培训中,常常用下面一幅图表达等级保护五个规定动作之间的关系:参考:
中华人民共和国网络安全法
中华人民共和国计算机信息系统安全保护条例(国务院令 第147号)
关于加强信息安全保障工作的意见 (中办发〔2003〕27号)
关于信息安全等级保护工作的实施意见 (公通字〔2004〕66号)
信息安全等级保护管理办法(公通字〔2007〕43号)
— 欢迎关注
还没有评论,来说两句吧...