安全资讯

煤炭企业如何开展等级保护工作

煤炭企业关注点

◆   2017年《中华人民共和国网络安全法》中明确“国家实行网络安全等级保护制度”。通过全国贯彻落实等级保护制度,整改了一大批安全问题和隐患,显著提高了我国整体网络安全防护水平。电子政务、金融、电力、卫生、教育等重要行业都出台过等级保护相关规范性文件,推动本行业等级保护工作的开展。
◆   2021年3月1日,山西省能源局和山西省公安厅联合制定印发了《煤炭企业网络安全等级保护工作管理办法》(晋能源信监发〔2021〕92号、《煤矿企业贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的工作实施方案》(晋能源信监发〔2021〕94号),按下了煤矿企业等级保护规范化进程的启动键。
◆   那么,煤矿企业该如何开展等保工作,小编为大家整理了以下基本问题,供大家学习参考。



01 

  什么是等级保护?




首先来看官方概念对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、 传输、处理这些信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。《关于信息安全等级保护工作的实施意见》公通字〔2004〕66号)。

简单来说,就是对信息系统实行分等级保护,分等级监管。信息系统的安全保护等级从低到高分为一到五级,等级越高,安全保障措施的要求也越高。



需要说明的是,自2017年出台《网络安全法》以后,为与国家法律法规保持一致,同时也为了适应信息化发展现状,等级保护中“信息系统”的内涵延申为“网络”,指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统



02   

谁需要做等保?




《网络安全等级保护条例》(征求意见稿)中明确规定“在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。”也就是说,除非是个人和家庭自建自用的网络,否则,都需要按照国家有关规定开展等级保护工作。

     


03  

 煤矿企业开展等级保护

需要完成的工作内容有哪些

等级保护的五个规定动作:定级、备案、建设整改、等级测评、监督检查。(实际工作中我们常常把定级备案两个动作合二为一)煤矿企业作为网络运营者,应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,并接受管理部门的监督检查。

注意等保≠定级备案   等保≠等级测评

定级是等级保护工作的首要环节和关键环节,准确定级并按照相应等级的标准开展建设整改,通过等级测评发现差距和问题隐患,再进行整改加固,全过程接受监督检查,才能够真正的保障和提升网络安全保护能力。



04  

 煤矿企业等级保护

工作流程?




实际工作中,煤矿企业一般按照以下流程开展等保工作:

1)定级备案:煤矿企业需要梳理本矿区范围内所有建设、运营、维护、使用的信息系统,按照国家标准和行业有关管理规范确定出哪些系统需要定级、定几级(初步确定为二级以上的网络需组织专家评审并报主管部门审核),并到公安机关进行备案,取得系统的备案证明。

2)建设整改:对照国家标准,按照相应等级的要求从管理、技术两个层面开展建设整改工作,包括健全完善网络安全管理制度,进行机房环境、网络设备、安全设备等的升级改造,使信息系统达到等级保护的标准。

3)等级测评:聘请专业的等保测评机构对已定级备案的系统开展等级测评,并按照测评结论再进行整改加固。

等级测评和建设整改的顺序没有固定的先后之分,也可以先通过等级测评的手段发现问题再有针对性的进行整改。



05 

不同级别的系统,

监管要求有什么不同?




第一二级国家认为是一般资产,三级以上包含重要资产以及关键资产,不同级别对应的监管力度也不一样。第一级自主保护,监管部门不做特殊要求,第二级为指导保护级别,第三级为监督保护级别,四五级系统煤矿企业一般不涉及,此处不做赘述。



06 

 等级保护工作结果

上报要求?




根据山西省出台的两个煤矿企业等级保护规范性文件,小编梳理了煤矿企业等保工作过程中需上报的内容:

定级备案

阶段


 定级对象(系统)清单、备案表、

 定级报告、专家评审意见书、

 主管部门审核意见书、

 网络资产情况、备案证明

建设整改

阶段

 整改报告

等级测评

阶段

 测评方案、测评合同、测评报告



07


不做等保有什么影响?




等级保护标准体系中一个很重要的标准叫做《信息系统安全等级保护基本要求》,英文叫“Base Line”,这是我们的底线,底线做不到,那就不达标,公安会给你开出整改通知书,强行要求整改;《网络安全法》的出台,标志着等级保护已经成为法律制度,不做等保就是违法;在《煤炭企业网络安全等级保护管理办法》中也明确提到,省级能源主管部门和公安机关在履行网络安全等级保护监督管理职责中,发现煤炭企业网络存在较大安全风险隐患或者发生安全事件的,可以约谈煤炭企业的法定代表人、主要负责人


     也就是说,落实等保制度,首先是国家法律法规要求,其次按照等级保护的一整套标准规范,可以提高网络安全防护水平,再次不落实等保制度,单位及相关负责人都要承担相应的纪律、法律责任,关乎每个人的切身利益。

服务热线

400-1021-996

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号