您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节！

　　5.3 网络安全等级保护的基本内容

　　5.3.1 角色及其职责

　　1.国家监管部门

　　公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

　　2.等级保护协调工作小组

　　负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。

　　3.信息系统主管部门

　　负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

　　4.信息系统运营、使用单位

　　负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。

　　5.信息安全服务机构

　　负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。

　　6.信息安全等级测评机构

　　负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。

　　7.信息安全产品供应商

　　信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。

　　8.信息安全等级保护专家组

　　信息安全等级保护专家组宣传等级保护相关政策、标准；指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。

　　5.3.2 工作环节

　　根据《信息安全等级保护管理办法》的规定，等级保护主要由5个环节组成：定级、备案、建设整改、等级测评、安全监管。

　　1.定级

　　定级是信息安全等级保护的首要环节和关键环节，通过定级可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等基本信息，确定分级保护的重点。定级不准，系统备案、建设、整改、等级测评等后续工作都会失去意义，信息系统安全就没有保证。

　　依据《关于开展全国重要信息系统安全等级保护定级工作的通知》要求，信息系统定级按照自主定级、专家评审、主管部门审批、公安机关备案的工作流程进行。

　　首先，开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

　　其次，初步确定定级对象的安全保护等级，起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

　　第三，专家评审和主管单位审批。初步确定信息系统安全保护等级后，可以聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

　　第四，公安机关备案。公安机关对安全保护等级审核把关，合理确定信息系统安全保护等级。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。

　　2.备案

　　信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门需要到公安机关办理备案手续，提交有关备案材料及电子数据文件。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。公安机关负责受理备案并进行备案管理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的，应当通知备案单位予以纠正。

　　3.建设整改

　　信息系统确定等级后，按照等级保护标准规范要求，建立健全并落实符合相应等级要求的安全管理制度，明确落实安全责任；结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设。经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。

　　4.等级测评

　　等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。选择由省级（含）以上信息安全等级保护工作协调小组办公室审核并备案的测评机构，对第三级（含）以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评，对照相应等级安全保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，提出改进建议，按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统，可以参照上述要求开展等级测评工作。

　　5.监督检查

　　公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。信息安全等级保护检查工作采取询问情况，查阅、核对材料，调看记录、资料，现场查验等方式进行。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

　　5.3.3 实施过程的基本要求

　　各单位、各部门的重要信息系统要按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。

　　1.准确定级

　　信息系统的安全保护等级是信息系统本身的客观自然属性，不应以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。定级要站在国家安全、社会稳定的高度统筹考虑信息系统等级，而不仅从行业和信息系统自身安全角度考虑。不能认为信息系统级别定的高，花费的资金和投入的力量多而降低级别。同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。在定级实施过程中，各信息系统要依据国家标准或行业指导意见开展系统定级工作。

　　2.严格审批

　　公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。公安机关公共信息网络安全监察部门对定级不准的备案单位，在通知整改的同时，应当建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。备案单位仍然坚持原定等级的，公安机关公共信息网络安全监察部门可以受理其备案，但应当书面告知其承担由此引发的责任和后果，经上级公安机关公共信息网络安全监察部门同意后，同时通报备案单位上级主管部门。

　　3.及时备案

　　信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后30日内，到公安机关公共信息网络安全监察部门办理备案手续。公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的 10 个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的 10 个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

　　4.认真整改

　　以《信息系统安全等级保护基本要求》为基本目标，针对信息系统安全现状发现的问题进行整改加固，缺什么补什么。做好认真整改工作，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

　　5.科学测评

　　通过对测评机构进行统一的能力评估和严格审核，保证测评机构的水平和能力达到有关标准规范要求。加强对测评机构的安全监督，规范其测评活动，保证为备案单位提供客观、公正和安全的测评服务。

　　5.3.4 实施等级保护的基本原则

　　信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则：

　　1.明确责任，共同保护

　　通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。在重要信息系统安全方面，运营使用单位和主管部门是第一责任部门，负主要责任，信息安全监管部门是第二责任部门，负监管责任。

　　2.依照标准，自行保护

　　国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。

　　3.同步建设，动态调整

　　信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

　　4.指导监督，重点保护

　　国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。 网络安全法和网络安全等级保护2