定级、备案是网络安全等级保护工作的初始环节,也是网络运营者开展等级保护工作的基础、关键,更是网络运营者履行等级保护义务的直接体现。
在日常工作中,我们发现少数单位、部门对网络系统定级、备案工作理解尚存在偏差,甚至出现网络系统遭受攻击,重要数据被窃取破坏后,因拿不出定级备案证明,致使公安机关无法判定该网络系统是否属于重要信息系统、关键信息基础设施的情况,一方面给公安机关立案侦查带来不便,另一方面导致网络运营者因未履行安全管理义务而被追责。整理在开展定级备案中存在的几个误区。
误区1 系统一旦定级,就要被公安机关等部门管来管去,太烦!
在网络安全等级保护工作中,网络系统运营使用单位和主管部门应依照国家法律法规和标准规范,按照“谁主管谁负责,谁运营谁负责”的原则开展工作,承担网络安全主体责任。鉴于重要网络系统,尤其是关键信息基础设施的安全运行不仅影响本行业、本单位的生产和工作秩序,更会影响国家安全、社会稳定、公共利益,因此,网络安全职能部门要对网络系统安全进行监管。
网络系统定级是等级保护工作的首要环节和关键环节,是开展系统备案、建设整改、等级测评、监督检查等工作的重要基础。网络系统包括支撑、传输作用的基础信息网络设施和各类应用系统。网络系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,网络系统安全就没有保证。
误区2 系统定级低点好,定高了承担责任太大!
其实,网络系统的定级是有比较完备的参考依据,应当根据网络系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
在等级保护工作开展的这几年中,随着互联网的不断发展,网络系统也变得更加复杂,总的原则:网络系统的安全保护等级是信息系统的客观属性,是以网络系统的重要性和遭到破坏后的危害程度为依据。既要防止因片面追求绝对安全而定级过高,也要防止为逃避监管而定级偏低。需要指出的是,人为的定级过低,不仅降低防护标准从而危害网络系统本身,更重要是,一旦发生针对相关系统的网络安全案事件时,也将被追究定级不准的责任。虽然定级过低从目前看不会涉及行政处罚等,但也会通报单位和上级主管部门,建议整改,得不偿失。
误区3 定级后要测评整改,检测出隐患漏洞后,会被领导责问为什么没有考虑周全!
网络安全没有绝对的安全,是相对的安全。
从公安机关办理的黑客类攻击破坏案件来看:攻击手段、漏洞隐患等每年都在不断翻新变化,因此网络系统的安全防护策略、措施等也需要动态调整,信息化部门不能有“鸵鸟“心理,更不能有“赌一把“想法,网络系统要定期检测、评估,及时堵塞漏洞,决不能躲避问题、无视问题。按照国家规定要求开展的测评、整改,可以帮助发现、解决网络系统存在的安全风险点。
等级测评就像单位每年组织的医疗体检;我们相信,随着国家法律不断健全,特别是信息化部门思想观念的不断进步,单位、部门领导也会对网络风险有新的全面的认识,今后对网络系统开展定期”体检”会深入人心,更是习惯养成。
误区4 定级备案无非就拿个证而已,我们参照有关标准进行防护就行了,不在乎这张纸!
如果您已经意识到定级备案的必要性和重要性,强烈建议大家积极对自己的信息系统进行定级备案,《网络安全法》第21条明确指出国家实行网络安全等级保护制度,做了定级备案拿到备案证明,起码能够证明单位正在按照相关法律要求,履行了管理义务,落实了网络安全等级保护的部分基本措施。同时,一旦备案的网络系统遭受黑客攻击破坏,给公安机关立案侦查提供了支撑。
如何对本单位、本部门的网络系统正确定级?
网络系统定级是等级保护工作的首要环节和关键环节,是开展系统备案、建设整改、等级测评、监督检查等工作的重要基础。网络系统包括支撑、传输作用的基础信息网络设施和各类应用系统。网络系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,网络系统安全就没有保证。
01.明确定级对象
1.起支撑、传输作用的基础网络(包括专网、内网、外网、网管系统)要作为定级对象。需要注意的是,不将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础网络划分成若干安全域去定级。
2.用于生产、调度、管理、作业、指挥、办公等目的的各类业务应用系统,要按照不同业务类别单独确定为定级对象。
3.各单位、部门的门户网站以及对外提供信息发布、内容服务的政务公开平台等要作为独立的定级对象。需要注意的是,如果网站、平台的后台数据库管理系统安全级别较高,也要作为独立的定级对象;网站、平台上运行的业务应用系统也要作为独立的定级对象。
4.对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,要按照定级指南的要求,合理确定定级对象;科学确定其安全保护等级,开展等级保护管理。
02.科学、合理、准确定级
一般来说,单位自建的信息系统(与上级单位无关),由单位自主定级;
跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中,由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对其下属各级系统分别确定等级;
由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该类系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。
对于新建系统,运营使用单位在规划设计时应确定安全保护等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
怎么开展下步网络系统备案工作?
网络系统运营使用单位在初步确定网络系统安全保护等级后,对于第二级(含)以上网络系统,在安全保护等级确定后30日内,由其运营使用单位或者主管部门到所在地设区的地市级以上公安机关办理备案手续。
公安机关收到网络系统运营使用单位的备案材料后,对系统定级基本准确的,颁发由公安部统一监制的《备案证明》;对于定级不准的;会向备案单位发整改通知,建议组织专家重新进行定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位的上级主管部门。
对拒不备案的,公安机关依据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规规定,责令其限期整改。逾期仍不备案的,应予以警告,并向其上级主管部门通报。需要向中央和国家机关通报的,要报经公安部同意。
本文转自等级保护测评