? 排三试机号:企业网络安全等保测评及等保定级备案操作实务解读 - HOME-上海天天彩选四单双
首页>>技术前沿>>网站系统安全
企业网络安全等保测评及等保定级备案操作实务解读
作者:西安APP开发 | 转载 来源:等保测评 | 时间:2019年1月14日| 点击:0次 | 【评论】

上海天天彩选四单双 www.9xvq4.cn 2018年以来各地公安网安部门加强了网络安全等保测评执法检查力度,逐步要求属地企业必须落实网络安全等保定级备案义务,否则被约谈或处罚。事实上网络安全等保测评制度早在1994年的《计算机信息系统安全?;ぬ趵分屑匆讶妨?。公安部先后发布了《信息安全等级?;す芾戆旆ā?、《关于开展全国重要信息系统安全等级?;ざ豆ぷ鞯耐ㄖ?、《信息安全等级?;け赴甘凳┫冈颉返燃父龉娑?。2017年《网络安全法》首次将等保制度上升到法律层面。2018年初全国信安标委更新、发布了一系列等保有关的指引性标准。

等保测评

下面西安弈聪信息技术有限公司结合企业办理等保定级备案、测评的实务经验,简要分享网络安全等保定级备案及测评有关的几个实务问题。

一、哪些企业必须执行网络安全等保制度

尽管在早些时候,等保制度实行自主定级、自主?;さ脑?,但是随着2017年《网络安全法》实施,国家实行普遍性网络安全等级?;ぶ贫?。所有网络运营者(网络的所有者、管理者和网络服务提供者)都应当按照网络安全等级?;ぶ贫鹊囊?,履行相关的安全?;ひ逦?。所以一切具有联网功能的网络信息系统的运营、使用单位或者其主管部门(参照《信息安全等级?;す芾戆旆ā饭娑?,统称为“备案主体”),都必须执行网络安全等级?;ぶ贫?,并根据定级情况履行等定级保备案义务。

根据更新后的《信息安全技术 网络安全等级?;せ疽螅ㄋ蜕蟾澹饭娑?,不同新技术行业(例如通用网络、云计算、移动互联网、物联网、工业控制系统等)执行的等级?;け曜己鸵舐杂胁钜?。此外根据特定行业适用的法律规范不一样,特定行业在服务器放置、数据留存、系统安全、个人信息?;さ确矫嬗幸恍┨厥夂瞎嬉?,这将影响网络安全等保测评的标准适用及整改措施的执行。

值得注意的是,企业必须执行网络安全等级?;ぶ贫?,但并不一定必须办理公安等保备案。只有运营二级(含)以上网络系统的企业,才需要办理公安等保备案。但实践中哪些网络系统属于二级以上,相关标准较为模糊,企业往往极难把握。从降低企业合规风险的角度,往往需要向公安网安部门递交书面文件后,由他们最终确定等级认定情况。

根据近期监管执法实践,应当办理等保定级备案而拒不备案的,公安机关应当根据《计算机信息系统安全?;ぬ趵?、《网络安全法》等有关规定,责令限期整改;逾期仍不备案的,予以警告,并可以对企业处一万元以上十万元以下???,对直接负责的主管人员处五千元以上五万元以下???。

二、企业等保定级备案机构、流程等实务问题

根据《信息安全等级?;す芾戆旆ā?、《信息安全技术 网络安全等级?;せ疽螅ㄋ蜕蟾澹返裙娑?,已运营的二级以上信息系统应当在安全?;さ燃度范ê?0日内,新建第二级以上信息系统应当在投入运行后30日内,由其运营、使用单位到所在地公安机关办理备案手续。根据等保定级备案实践,企业可以向注册地或者实际经营地所在区网安部门(我们建议向企业网站的公安联网备案的办理机构)递交备案申请,最终由市局审核并出具备案证明。

具体流程方面,各地实际备案流程略有差异。根据上海市的情况,由企业先行确定定级对象及初步的等级,并根据业务及系统实际情况,自行或者委托第三方机构(西安弈聪信息技术有限公司团队可以代为办理)填报《信息系统安全等级?;け赴副怼芳捌涓奖聿⒌萁恢潦舻赝膊棵?。网安部门根据申报材料及初步审查情况,对不符合等保要求的,会要求备案单位进行整改(通常是让企业委托第三方测评机构开展网络安全等保测评),整改合格(测评结果合格)的,颁发《信息系统安全等级?;け赴钢っ鳌?。

企业有多个网络系统的,可以集中一次办理等级定级备案,备案长期有效,无需每年办理公安等保定级备案(非测评)。但是如果企业的网络系统发生变更或者定级变更的,应当办理变更手续或者重新办理备案。

三、信息系统等保定级标准及合规要求

我国现有等保定级采取自主定级申报模式,但实践中定级标准较为模糊、主观,企业很难把握。

根据《信息安全等级?;す芾戆旆ā?、《信息安全技术 网络安全等级?;せ疽螅ㄋ蜕蟾澹返裙娑?,根据等级?;ざ韵笫艿狡苹岛蠖钥吞逶斐汕趾Φ某潭炔煌?,我国等保实行五级分级?;ぶ贫龋?/P>

但在实践中,如何区分“公民、法人和其他组织的合法权益”与“社会秩序、公共利益”,如何量化“一般损害”、“严重损害”等具体标准,成为企业合规定级的最大障碍。当然,汇业黄春林律师团队在协助企业办理定级备案过程中,如何通过企业信息系统所处的行业、作用,以及用户数量的多少等因素,也慢慢积累了一些定性、定量定级的经验和惯例,例如用户数量超过100万量级的电商网站,被认定为三级的可能性较大。

值得注意的是,尽管备案是每个企业备案一次,但是定级是每个系统单独定级,并以较高者确定最终等级。此外,根据备案实践,企业的网络系统(例如公共网站、APP应用、财务系统及CRM系统等)只要具备联网功能,是不论内外网性质均要定级的。例如在备案申请时填报的《信息系统情况》子表中03选项就是“业务类型”,进而区分“内部办公”还是“公众服务”等;05选项就是“系统网络平台”,进而区分“局域网”还是“广域网”等。

根据我们的经验,作为定级对象的信息系统应该是由配套的设备、设施、软件组合而成的整体。某个单一的系统组件(如服务器、终端、网络设备等)不会单独作为定级对象。所以,企业的单个系统的在不同的地方分别有服务器的,仍然按照一个系统定级备案。若公安网安部门认定企业自主定级与实际不符或者不准确的,可以要求申报备案单位重新定级并重新递交备案材料。企业最终的等级认定,应当以公安出具的出具的《信息系统安全等级?;け赴干蠛私峁ㄖ芳啊缎畔⑾低嘲踩燃侗;け赴钢っ鳌啡隙ǖ牡燃段?。

四、信息系统等保测评有关的几个实务问题

法律上第三方测评机构主导的信息系统等保测评,并不是企业开展等保定级备案的一项必经程序,事实上通常仅发生在如下两种情况:(1)公安机关受理后认为企业定级备案需要整改的;(2)三级以上等保单位需要每年测评一次。

企业应当委托具有资质的、当地公安网安部门认可的等保测评机构开展测评。实践中每家测评机构提供的服务范围各不相同,部分测评机构仅提供测评服务,不负责代理备案申报、整改等事务。测评服务费也各有差异,通常情况下二级等保测评约为6-8万(不含整改费用,下同),三级等保测评约为10-15万,具体根据委托企业的行业、系统数量各有差异。测评期限也跟测评机构的业务繁忙程度(例如近期部分测评机构主要忙于互金平台等保测评,普通测评等待时间较长)、测评人员规模各有差异。

具体测评中,测评机构重点关注信息系统的“技术标准”和“管理标准”两项指标。例如“管理标准”指标中,根据等级不同,重点关注企业是否有合规的安全策略、管理制度、应急预案等,以及企业是否有配置合规的网络安全管理岗位、人员,并开展相应的教育培训等。

此内容DOC下载 此内容PDF下载

【全文完】
关键词标签: 网络安全 等保测评 等保定级备案 
0 ([$-顶稿人数-$])
0 ([$-踩稿人数-$])

版权声明:

1、西安弈聪网站内容中凡注明“来源:XXX(非西安弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,百度关键词优化,西安软件开发等技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“西安弈聪”的作品系本站版权所有,任何人转载请署名来源,否则西安弈聪将追究其相关法律责任。

2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。

  • 真的佩服你的语文,一个平台是什么肯定不知道,楼梯的台面肯定也不知道叫什么 2019-06-18
  • 我们的节日2018端午——华龙网 2019-06-18
  • 抢占公共交通支付场景 腾讯与上海地铁达成战略合作 2019-06-18
  • 报考人员注册应注意哪些事项? 2019-06-17
  • 5月一二三线城市房价环比都涨了,后续会咋样? 2019-06-17
  • 白云区图书馆:来,给爸比做张甜蜜立体感恩卡 2019-06-17
  • 陕西省咸阳市两级法院开展家事审判方式改革试点工作 2019-06-17
  • 张洪在湘东走访慰问困难群众 2019-06-16
  • 纳达尔第11次夺得法网男单冠军 2019-06-16
  • 姜文新作《邪不压正》曝剧情版预告 2019-06-15
  • 老人剧烈腹痛留神肠中风 2019-06-15
  • “亚洲第一海军”的蒙古国海军司令要管多少事儿?仨船俩炮六个兵 2019-06-15
  • 尊重和保障宗教信仰自由的中国实践 2019-06-14
  • “常青藤爸爸”一年盈利5000万秘方:靠质量和流量 2019-06-14
  • 为丰富百姓餐桌提供更多选择(打开对外开放新局面) 2019-06-14
  • 533| 558| 175| 824| 279| 871| 150| 612| 986| 824|