【等级保护】备案服务指南
等保测评工作开展分为:定级——备案——整改——等级测评——监督检查五个基本步骤,今天为大家分享备案环节的具体内容。
一、适用范围
新建、已运营(运行)的第二级以上信息系统的运营、使用单位。
二、依据
《中华人民共和国计算机信息系统安全保护条例》第十一条
进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
《信息安全等级保护管理办法》(公通字[2007]43号文件) 第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
三、备案流程及所需材料
1、单位提交备案材料至公安网监部门
各信息系统主管部门和运营使用单位办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
办理信息系统安全保护等级备案手续时,应当提交《信息系统安全等级保护备案表》。二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交如下资料:① 信息系统安全等级保护定级报告纸质材料,一式两份;② 信息系统安全等级保护备案表纸质材料,一式两份。
信息系统安全等级保护备案表主要由4张表单构成。表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三的每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交。
第三级以上信息系统同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
2、公安机关受理备案
地市级以上公安机关受理本辖区内备案单位的备案。隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关受理备案。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部受理备案,其他信息系统由北京市公安局受理备案。隶属于中央的非在京单位的信息系统,由当地省级公安机关(或其指定的地市级公安机关)受理备案。如各部委统一定级信息系统在各地的分支系统(包括终端连接、安装上级系统运行的没有数据库的分系统),需要到本地公安机关备案。
跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关受理备案。
受理要求:
审核内容:① 备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致;② 信息系统所定安全保护等级是否准确。
经审核通过后,对符合等级保护要求的,公安机关应当自收到备案材料之日起的 10 个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《信息系统安全等级保护备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在 10 个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
《信息系统安全等级保护备案表》中表一、表二、表三内容经审核合格的,公安机关应当出具《信息系统安全等级保护备案证明》。
四:对定级不准以及不备案情况的处理
1. 公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
2. 备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
3. 对拒不备案的,公安机关应当根据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部门通报。向中央和国家机关通报的,应当报经公安部同意。
五、网络撤销或变更情况处理
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。