【重点】:需要,⼀般等保三级的办理流程:系统定级、系统备案、建设整改、系统测评、监督检查。
随着z近等级保护2.0政策的修订,许多企业认识到等级保护三级的重要性。国家对这方面的要求也很强制。2022年哪些企业需要做等保测评?等保测评的主要环节有哪些?其实很多企业都不知道自己到底需不需要进行等保测评,进行等保测评到底适不适合自己的这个行业,下面就和小编一起来看看等保测评的相关内容,希望能帮助到大家。
2022年哪些企业需要做等保测评?
1.政府机关:各大部委、各省级政府机关、各地市级政府机关、事业单位等;
2.金融行业:金 融 监 管 机构、各大银行、证券、保险公司等;
3.电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
4.能源行业:电力公司、石油公司、烟草公司;
5.企业单位:大中型企业、央企、上市公司等;
6.其它有信息系统定级需求的行业与单位。
7.一些基于上级监管单位要求和政策的强制要求开展等级保护测评的企业。例如,中国人民银行要求征信机构必须进行等级保护测评,所以多数相关机构会委托经人民银行和国家信息安全管理机构批准成立的认证机构CFCA(中国金融认证中心)进行测评。
等保测评的主要环节
一、基本环节
1. 组织开展调查摸底
2. 合理确定保护等级
3. 开展安全建设整改
4. 组织系统安全测评
5. 依法履行备案手续
6. 加强日常测评自查
7. 加强安全监督检查
二、主要环节
定级-安全建设-安全测评-备案
具体备案办理流程如下:
确定对象
各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,初步确定定级对象的安全保护等级,起草《信息系统安全等级保护定级报告》。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行
备案依据
《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法(公安部第33号令)》、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)。
备案对象
1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
3、市(地)级以上党政机关的重要网站和办公信息系统。
4、涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
备案材料准备
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
专家评审与审批
初步确定信息系统安全保护等级和准备好备案材料后,三级或以上信息系统需要聘请专家进行评审。运营使用单位或主管部门参照评审意见z后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
备案材料提交及审核
定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。