1.1基本實現流程圖
1.1.1系統識別和分級
1.確定分類對象:根據《信息系統等級保護管理辦法》和《信息系統等級保護分類指南》的要求,確定信息系統和保護對象的安全等級。
2.等級的初步確定:通過分析系統的類型、信息類別、服務範圍以及業務對系統的依賴程度,確定系統被破壞後的被侵權客體以及對客體的侵權程度,綜合判斷侵權程度。初步確定系統的等級。
3.專家評估:評級對象的運營使用單位應組織信息安全專家和業務專家對初步評級結果的合理性進行評估,並出具專家評估意見。
4.主管部門審核:專家評審完成後,將初步定級結果報行業主管部門或上級主管部門審核。
5.公安機關審核:將初步定級結果提交公安機關備案審查。考核不合格的,運營使用單位應當組織重新定級;通過審查後,最終確定分級對象的安全防護等級。
1.1.2系統備案
1.資料準備:信息系統運營使用單位準備備案材料,填寫《信息系統安全等級保護備案表》。
2.系統備案:信息系統運營使用單位應當到所在地市級以上公安機關網絡安全部門辦理備案手續。
3.受理備案審查:公安機關對備案材料進行審查,分級準確、材料符合要求的,頒發公安部統壹監制的備案證明。發現定級不準的,通知備案單位重新審查確定。
1.1.3級保護評價
信息系統運營者和用戶需要按照《信息系統安全等級保護管理辦法》、《信息系統安全等級保護評估要求》和《信息系統安全等級保護評估流程指引》,聘請經過認證的安全評估機構對信息系統安全保護進行等級評估,並按照《信息系統安全等級評估報告模板》( 2019版)編制等級評估報告。
等級保護的評估通過詢問情況、查詢核對資料、檢查記錄和資料、現場檢查、滲透測試、漏洞掃描等方式進行。通過等級評估,分析判斷當前信息系統采取的安全措施與等級保護標準要求的差距,分析安全方面存在的問題,找出信息系統安全保護整改需要解決的問題,形成安全建設整改的安全要求。
1.1.4整流
運營單位根據等級保護評估結果和整改建議,按照等級保護要求和相關規範標準進行安全施工。制定安全管理制度,完善安全設施的安全措施,落實安全技術措施。
1.1.5定期監督檢查
公安機關應當根據管理辦法和檢查規範,不定期對運營和使用單位的信息系統進行監督、檢查和指導。發現其未履行等級保護義務的,公安機關可依法給予相應處罰。處罰標準參照《中華人民共和國網絡安全法》、《中華人民共和國刑法》和《網絡安全等級保護規定》。