干货 | 对于工信部开展电信和互联网行业的网络安全检查工作,这是一道送分题

2019-04-13 16:05发布

据工信部网站13日消息,工信部日前发布关于开展2018年电信和互联网行业网络安全检查工作的通知,重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。   据了解,本次网络安全检查工作将分定级备案、自查整改、开展抽查三个阶段进行。今天的干货分享将对定级备案的相关工作进行梳理,网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。信息系统定级工作应该按照“用户初步定级、专家评审、主管部门审批、公安机关审核”的原则进行。希望今天的干货内容对等级保护认识不足的信息系统运营单位有一定帮助。   话不多说,且听我一一道来!   下图为定级环节中涉及到的文件:     定级 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。网络安全等级保护制度将网络划分为五个安全保护等级,从第一级到第五级逐级增高。       定级过程中的“S”、“A” 信息系统安全包括业务信息安全和系统服务安全。 S:业务信息安全  A:系统服务安全     按照上述表格,可能出现的系统级别如下: 第一级:S1A1 第二级:S1A2,S2A2,S2A1 第三极:S1A3,S2A3,S3A3,S3A2,S3A1 第四级:S1A4,S2A4,S3A4,S4A4,S4A3,S4A2,S4A1   PS:《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定,相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。大数据安全保护等级不低于第三级。此外,若上述平台被确定为关键信息基础设施的,原则上其安全保护等级应不低于第三级。   备案 备案工作包括信息系统备案、受理、审核和备案信息管理。网络运营者和受理备案的公安机关应按照《信息安全等级保护备案实施细则》(公信安【2007】1360号)的要求办理网络备案工作。   1. 备案地点 ● 第二级以上(含)信息系统,确定等级后的30日内,由信息系统运营使用单位(备案单位)到地市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》。 ● 隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关网络安全保卫部门受理备案。 ● 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案。 ● 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网络安全保卫部门受理备案。 ● 各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。 《信息系统安全等级保护备案表》的内容包括: 1、单位基本情况 2、信息系统情况 3、信息系统定级情况 4、第三级以上信息系统提交材料情况   云计算平台的备案 需要说明的是:关于云计算平台的备案,考虑到云计算的资源分散、管理统一的特点,按照“责权一致,便于监管”的原则,确立了“云计算服务商应该向云计算平台运维管理主体所在地公安机关进行备案”的工作模式,具体分为以下几种典型场景。   第一,本地化的云计算服务商,其机房所在地和运维管理主体所在地一致,云计算服务商直接到当地公安机关备案并接受备案机关的监督管理。   第二,云计算平台跨省部署,涉及两类安全责任主体:网络设备、主机设备及虚拟资源的配置和安全管理均由在某地集中办公的运维部门(独立法人)统一负责;各地数据中心运营者(独立法人)负责物理环境安全(例如建筑物门禁、电力供应等)。 云计算服务商应到运维管理主体所在地公安机关备案,其运维管理的云计算服务相关的业务系统接受备案公安机关的监督管理。同时,各数据中心的物理环境安全接受机房所在地公安机关的监管,物理基础设施(含机房建筑、机电设备和安防及监控系统等)可作为定级对象。   第三,云计算平台跨省部署,各地数据中心均租用当地IDC的物理基础设施,网络设备、主机设备及虚拟资源的配置和管理均由集中在某地办公的运维部门统一管理。云计算服务商应到运维管理主体所在地公安机关备案,当地机房及云计算服务相关业务系统接收所在备案公安机关的监督管理。对于物理环境安全,云计算服务商应选择与其自身安全保护等级相匹配的IDC机房。   总结:定级备案基本流程     Ok, 今天关于等级保护第一步——信息系统定级与备案的相关细节就为大家介绍这么多,如有遗漏欢迎各位在下方留言补充,一起为广大网络运营者提供有效的指引。   获取更多等级保护资讯,请关注e安在线微信公众号!