关于发布《信息安全等级保护管理办法》的正式通知
致各省、自治区、直辖市公安厅(局),保密局,国家密码管理局(或国家密码管理委员会办公室),信息化领导小组办公室,以及新疆生产建设兵团的相关部门,还有中央和国家机关各部委的保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体的保密委员会办公室:
为加速推动信息安全等级保护工作的进程,规范其管理流程,并进一步提升信息安全保障的能力和水平,旨在维护国家安全、社会稳定以及公共利益,同时保障并促进信息化建设的健康发展,公安部、国家保密局、国家密码管理局以及国务院信息化工作办公室联合制定了《信息安全等级保护管理办法》。现将此办法正式印发给你们,请务必认真贯彻执行。
关于信息系统安全等级保护备案证明的办理流程
信息系统安全等级保护的备案审批工作,由各省、市公安局的网安大队负责。整个审批流程大约需要2个月的时间。
信息系统安全等级保护备案共分为五个级别:
1. 一级:通常由企业进行自评测,不颁发证书,一般企业较少选择。
2. 二级:适用于系统收集用户信息量少、访问量低且无交易的系统。
3. 三级:针对用户量大、有交易行为且访问量大的系统。
4. 四级:主要涵盖银行系统、部队系统等重要领域。
5. 五级:专指国防单位的系统。
具体的申请流程如下:
首先,根据公司的实际情况,由专家进行定级。接着,收集公司的基本材料并提交给网安大队进行备案。备案通过后,会获得备案编号或证书,并安排评测机构进行系统评测。根据评测结果,企业需按照要求进行详细的整改,以达到评测标准。最后,出具评测报告并提交给网安大队。
在评测和整改过程中,主要涉及以下几个方面:
1. 物理系统:若企业拥有自己的实际机房,则需评测机房的防火、防盗、防雷、防水等安全措施;若使用云服务器,则无需评测物理系统。
2. 安全制度与人员配备:包括日常的安全管理制度、系统维护人员的配备以及日常的培训计划等。
3. 软件系统:需配合安全系统软件,如网络结构、入侵防范、备份恢复、数据完整性、保密性、身份认证、区域边界访问控制、资源控制、审计管理等。
根据网安部门的规定,三级备案需每年进行一次复测,二级备案则每两年进行一次复测。