网络安全等级保护之备案
网络安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。在备案时需要提交备案所需资料,并遵从备案工作流程。
一、备案需要什么资料
办理信息系统安全保护等级备案手续时,应当提交《信息系统安全等级保护备案表》。二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交如下资料:① 信息系统安全等级保护定级报告纸质材料,一式两份;② 信息系统安全等级保护备案表纸质材料,一式两份;③ 上述备案的电子档,并制作出光盘提交。
信息系统安全等级保护备案表主要由4张表单构成。表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三的每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交。具体内容请参考附录《信息系统安全等级保护备案》。
第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
二、备案工作流程
1、确定定级对象
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,确定定级对象。
2、初步确定安全保护等级
各信息系统主管部门和运营使用单位要按照《信息安全技术 网络安全等级保护定级指南》,初步确定定级对象的安全保护等级。
3、专家评审与审批
初步确定信息系统安全保护等级后,可以聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
4、备案
根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后 30 日内,到当地公安机关网监部门办理备案手续。新建第二级以上信息系统,应当在投入运行后 30 日内,由其运营、使用单位到当地公安机关网监部门办理备案手续。
三、如何受理备案
各信息系统主管部门和运营使用单位办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
地市级以上公安机关受理本辖区内备案单位的备案。隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关受理备案。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部受理备案,其他信息系统由北京市公安局受理备案。隶属于中央的非在京单位的信息系统,由当地省级公安机关(或其指定的地市级公安机关)受理备案。如各部委统一定级信息系统在各地的分支系统(包括终端连接、安装上级系统运行的没有数据库的分系统),需要到本地公安机关备案。
跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关受理备案。
四、公安机关受理备案要求
受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。
公安机关收到备案单位提交的备案材料后,公安机关对下列内容进行严格审核:① 备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致;② 信息系统所定安全保护等级是否准确。对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在 5日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。
经审核通过后,对符合等级保护要求的,公安机关应当自收到备案材料之日起的 10 个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《信息系统安全等级保护备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在 10 个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
《信息系统安全等级保护备案表》中表一、表二、表三内容经审核合格的,公安机关应当出具《信息系统安全等级保护备案证明》。受理备案的公安机关应当及时将备案文件录入到数据库管理系统,并定期逐级上传《信息系统安全等级保护备案表》中表一、表二、表三内容的电子数据。上传时间为每季度的第一天。
受理备案的公安机关应当建立管理制度,对备案材料按照等级进行严格管理,严格遵守保密制度,未经批准不得对外提供查询。
公安机关受理备案时不得收取任何费用。
五、定级不准怎么办
公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
对拒不备案的,公安机关应当依据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部门通报。依照规定向中央和国家机关通报的,应当报经公安部同意。