根据《网络安全法》规定,网络运营单位都要按要求落实等级保护工作。等级保护工作分为五个环节:定级、备案、安全建设(整改)、等级测评、监督检查。备案作为等级保护工作的第二个环节,是后续等保工作的基础。今天这篇文章就对等保备案做一个详细解读,教大家怎么做等保备案。
定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。
第一步:定级
定级依据是《信息系统安全等级保护定级指南》。定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
第二步:准备备案材料
备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:
① 信息系统安全定级报告纸质材料,一式两份;
② 信息系统安全备案表纸质材料,一式两份;
③上述备案的电子档,并制作出光盘提交。
第三级以上信息系统同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
第三步:提交备案材料
定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。
《网络安全法》对等保备案的规定
1
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
2
新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
3
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
01
等保备案收费吗?
公安机关不对等保备案收取任何费用,企业准备好相关材料去到公安机关办理即可。但如果企业嫌等保备案太麻烦,委托第三方来帮忙准备材料等的话,可能就需要支付一定的服务费用。由于等保备案需要提交的材料比较繁琐而且专业,一般建议未做过等保的企业委托第三方进行备案。
02
等保备案和等保测评有什么区别?
等保备案和等保测评是等级保护工作的其中两个环节。我国实行网络安全等级保护制度,网络运营者需按照规定落实等级保护工作。等级保护工作具体又分为定级、备案、安全建设、等级测评、监督检查几个流程。
备案指申办单位持定级报告和备案表等材料到公安机关网安部门进行备案,测评指申办单位委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。也就是说,等保备案≠等保测评。
对于二级及以上的信息系统来说,等保备案和等保测评都是必须做的。有些省份还要求企业一定要做完测评并提交正式的测评报告,不然得不得证书。
03
等级保护测评多久做一次?
根据《信息安全等级保护管理办法》公通字200743号十四条:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
