等级保护分级
第一级:用户自主保护级。
适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
第二级:系统审计保护级。
适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
第三级:安全标记保护级。
适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
第四级:结构化保护级。
适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
第五级:访问验证保护级。
适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
等保备案适用行业
1.教育行业:985、211大学必须做等保,教育部发文要求在线教育必须做等保;
2.医疗行业:各大医院系统必须做等保,互联网医院/互联网诊疗要想上线取得线上诊疗资质,必须过等保;
3.金融行业:不做等保不允许经营,P2P行业监管最严;
4.能源、通信、交通行业:上级主管部门要求;
5.政府机关,企事业单位,央企:等保和负责人的绩效考核挂钩;
6.征信行业:行业要求必须做等保;
7.软件开发:行业或者甲方要求必须做等保;
8.物联网:行业或者甲方要求必须做等保;
9.工业数据安全:行业或者甲方要求必须做等保;
10.大数据:行业或者甲方要求必须做等保;
11.云计算:阿里云,华为云,云电话,云视频,云服务等;
12.货运行业:企业办理网络货运营运资格证要求必须做等保三级;
13.酒店行业:个人隐私保密;
14.户外大屏、广告牌等用于公众宣传的项目:防止大范围散播政治、暴力、敏感信息。
等保备案基础材料
1.系统定级报告;
2.签订网络与信息安全承诺书;
3.专家评审意见及专家资质复印件;
4.营业执照复印件;
5.法人身份证复印件;
6.被授权人身份证复印件及办理备案工作的授权委托书;
7.备案单位办公地证明;
8.备案单位服务器托管协议。
等保备案申请流程
第一步:确定定级对象
各行业主管部门、运营使用单位应组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,确定定级对象。
第二步:初步确定安全保护等级
各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级。确定信息系统安全保护等级后,聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的,应当报上级行业主管部门审批同意。
第三步:等级备案
已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。公安机关经审查,符合等级保护要求的,应当在收到备案材料起的10个工作日内向备案单位颁发信息系统安全保护等级备案证明;发现不符合要求的,通知备案单位予以纠正;发现定级不准的,通知备案单位重新审核确定。
第四步:建设整改及测评
定级对象的运营和使用单位根据公安机关定级审查的结果,按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)的相关要求,在测评机构和相关技术支持单位的指导下,开展系统的安全建设及整改工作。
第五步:监督检查
公安机关全程负责网络安全等级保护工作的监督、检查和指导;公安机关工作中发现不符合管理规范和技术标准的,应当发出整改通知要求整改。
