等级保护测评过程中常见的问题
问题一:
问:公安部门要求什么时间完成等保测评?我们还没有定级,预算经费也没有报,如何开展工作?
答:根据公安文件要求的时间开展测评工作,如果还没有定级,则根据定级要求和流程,先向公安递交定级备案文件,预算纳入下一年度工作计划,在经费未落实前,可以先行进行系统了解、系统加固配合工作。
定级专家评审时间:每季度或每半年(或不定期),由公安组织专家评审。
问题二:
问:定级对象范围是什么?一般是以什么界限来划分?是不是所有的系统都要申报?
答:定级对象范围:
1、起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),网络要合理划分区域;
2、用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,跨省或者全国联网运行信息系统的分支系统也要单独定级;
3、各单位网站等。
问题三:
问:实际操作中如何定级?区别?
答:第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一半适用于地市级以上国家机关、企事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。
在实际操作中,可参考备案单位自主定级分类指南。
问题四:
问:递交的备案资料都包括哪些内容?
答:(举例北京)
纸质版:
1. 信息系统安全等级保护备案表一式两份(封面单位名称处盖章)。应填写完整、无漏项,不得改动备案表版面格式。机打,不可手写,单面打印。
2. 信息系统安全等级保护定级报告一式两份(定级表格处盖章)。机打,单面打印。
3. 信息安全承诺书签字盖章。法人亲笔签字
4. 相关证件复印件各一份:工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、法人代表身份证、组织机构代码证(如三证合一,省略)。
5. 法人授权书(被授权人需携带本人身份证原件及复印近)。
6. 实际办公地的房产证或租房合同复印件。
7.主机托管合同或云主机租用合同的复印件。
8. 企业内部信息安全部门、技术部门组织架构人员登记信息表,左上角盖章(表格中确定两位24小时应急处置网络安全事件联系人)。
9.从事互联网金融的企业(如网贷P2P平台、证券交易系统等),备案时需提交纸质版《信息安全等级保护备案证明使用承诺书》法人亲笔签字,加盖单位公章。其他行业无需提交。
(备案面审提交时请按照以上顺序排列材料)
电子版压缩包要求:
以“单位全称-系统名称”命名压缩包,将以下文件放入压缩包内,提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求,分辨率300dpi---jpg格式。
1.备案表、定级报告和信息安全承诺书盖章扫描件
2.备案表和定级报告word版;
3.三级系统需提交备案表表四全部内容。
4.信息安全部、技术部组织架构人员登记信息表,可编辑版。
5.工商营业执照副本原件扫描件(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、组织机构代码证原件扫描件(如三、五证合一,省略)
法人代表身份证原件扫描件;
备案表表一中单位负责人身份证原件扫描件;
8.从事经营性公众互联网行业及有交易投资活动的信息系统的企业需要提交《信息安全等级保护备案证明使用承诺书》。
问题五:
问:《定级报告》一般都包括哪些部分?
答:
1、定级依据
包括与本次信息系统定级相关的法规、标准、规范和文件等,例如《管理办法》、《定级指南》、本行业的安全管理规定等确定信息系统安全保护等级所需依据的文件。
2、信息系统划分
详细描述信息系统的管理机构和管理职责、网络结构和对外边界、承载业务种类、处理的主要信息等。如果定级范围内划分出多个作为定级对象的信息系统,应描述划分结果、划分方法和理由。
3、 信息系统描述
描述定级信息系统的边界,包括外部边界和与其他系统相连的内部边界,定级系统的边界设备,系统内的主要设备,系统承载的业务应用。
问题六:
问:有哪些情况是无需专家评审的?
答:信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需在进行等级专家评审。
主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
二级及二级以上的信息系统需要专家评审。
问题七:
问:整个周期是多长?其中现场测评时间?
答:整个测评周期包括前期调研、现场测评、后期报告编写等,一般情况下一个二级系统会占用3-4周,一个三级系统会占用4-5周(指初次测评,不包括整改和加固时间);
其中现场测评(指在被测系统单位现场的测评)的时间根据系统的数量而定:一般一个二级系统会占用3-4个工作日,一个三级系统会占用5-6个工作日(两组同时进行,每组两人)。
问题八:
问:整改会不会涉及到要购置设备?如果有些不符合项目不能马上关闭能不能通过备案?
答:根据《GB T22239-2019信息安全技术信息系统安全等级保护基本要求》,三级系统有如下要求:
A、应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;
B、应建立备用供电系统;
以上检查项需要购置设备,对二级系统没有此要求,但在二级系统中,构成系统网络安全的必要硬件则必须有;
根据现场实际检查情况进行备案,包括整改措施、整改计划、风险评估等。