安全資訊

問(wèn)題一：

問(wèn)：公安部門(mén)要求什么時(shí)間完成等保測評？我們還沒(méi)有定級，預算經(jīng)費也沒(méi)有報，如何開(kāi)展工作?

答：根據公安文件要求的時(shí)間開(kāi)展測評工作，如果還沒(méi)有定級，則根據定級要求和流程，先向公安遞交定級備案文件，預算納入下一年度工作計劃，在經(jīng)費未落實(shí)前，可以先行進(jìn)行系統了解、系統加固配合工作。

定級專(zhuān)家評審時(shí)間：每季度或每半年（或不定期），由公安組織專(zhuān)家評審。

問(wèn)題二：

問(wèn)：定級對象范圍是什么？一般是以什么界限來(lái)劃分？是不是所有的系統都要申報？

答：定級對象范圍：

1、起支撐、傳輸作用的信息網(wǎng)絡(luò )（包括專(zhuān)網(wǎng)、內網(wǎng)、外網(wǎng)、網(wǎng)管系統），網(wǎng)絡(luò )要合理劃分區域；

2、用于生產(chǎn)、調度、管理、作業(yè)、指揮、辦公等目的的各類(lèi)業(yè)務(wù)系統，跨省或者全國聯(lián)網(wǎng)運行信息系統的分支系統也要單獨定級；

3、各單位網(wǎng)站等。

問(wèn)題三：

問(wèn)：實(shí)際操作中如何定級？區別？

答：第二級信息系統：適用于縣級某些單位中的重要信息系統；地市級以上國家機關(guān)、企事業(yè)單位內部一般的信息系統。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統和管理系統等。

第三級信息系統：一半適用于地市級以上國家機關(guān)、企事業(yè)單位內部重要的信息系統，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統和管理系統；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調度、管理、指揮、作業(yè)、控制等方面的重要信息系統以及這類(lèi)系統在省、地市的分支系統；中央各部委、?。▍^、市）門(mén)戶(hù)網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡(luò )系統等。

在實(shí)際操作中，可參考備案單位自主定級分類(lèi)指南。

問(wèn)題四：

問(wèn)：遞交的備案資料都包括哪些內容？

答：（舉例北京）

紙質(zhì)版：

1. 信息系統安全等級保護備案表一式兩份（封面單位名稱(chēng)處蓋章）。應填寫(xiě)完整、無(wú)漏項，不得改動(dòng)備案表版面格式。機打，不可手寫(xiě)，單面打印。

2. 信息系統安全等級保護定級報告一式兩份（定級表格處蓋章）。機打，單面打印。

3. 信息安全承諾書(shū)簽字蓋章。法人親筆簽字

4. 相關(guān)證件復印件各一份：工商營(yíng)業(yè)執照(或執業(yè)許可證、事業(yè)單位證書(shū)、非盈利性機構證書(shū)等許可證明)、法人代表身份證、組織機構代碼證（如三證合一，省略）。

5. 法人授權書(shū)（被授權人需攜帶本人身份證原件及復印近）。

6. 實(shí)際辦公地的房產(chǎn)證或租房合同復印件。

7.主機托管合同或云主機租用合同的復印件。

8. 企業(yè)內部信息安全部門(mén)、技術(shù)部門(mén)組織架構人員登記信息表，左上角蓋章（表格中確定兩位24小時(shí)應急處置網(wǎng)絡(luò )安全事件聯(lián)系人）。

9.從事互聯(lián)網(wǎng)金融的企業(yè)（如網(wǎng)貸P2P平臺、證券交易系統等），備案時(shí)需提交紙質(zhì)版《信息安全等級保護備案證明使用承諾書(shū)》法人親筆簽字，加蓋單位公章。其他行業(yè)無(wú)需提交。

(備案面審提交時(shí)請按照以上順序排列材料)

電子版壓縮包要求：

以“單位全稱(chēng)-系統名稱(chēng)”命名壓縮包，將以下文件放入壓縮包內，提交紙質(zhì)材料的同時(shí)在釘釘內向負責民警提交電子版壓縮包。原件掃描件要求，分辨率300dpi---jpg格式。

1.備案表、定級報告和信息安全承諾書(shū)蓋章掃描件

2.備案表和定級報告word版；

3.三級系統需提交備案表表四全部?jì)热荨?/span>

4.信息安全部、技術(shù)部組織架構人員登記信息表，可編輯版。

5.工商營(yíng)業(yè)執照副本原件掃描件(或執業(yè)許可證、事業(yè)單位證書(shū)、非盈利性機構證書(shū)等許可證明)、組織機構代碼證原件掃描件（如三、五證合一，省略）

法人代表身份證原件掃描件；

備案表表一中單位負責人身份證原件掃描件；

8.從事經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)行業(yè)及有交易投資活動(dòng)的信息系統的企業(yè)需要提交《信息安全等級保護備案證明使用承諾書(shū)》。

問(wèn)題五：

問(wèn)：《定級報告》一般都包括哪些部分？

答：

1、定級依據

包括與本次信息系統定級相關(guān)的法規、標準、規范和文件等，例如《管理辦法》、《定級指南》、本行業(yè)的安全管理規定等確定信息系統安全保護等級所需依據的文件。

2、信息系統劃分

詳細描述信息系統的管理機構和管理職責、網(wǎng)絡(luò )結構和對外邊界、承載業(yè)務(wù)種類(lèi)、處理的主要信息等。如果定級范圍內劃分出多個(gè)作為定級對象的信息系統，應描述劃分結果、劃分方法和理由。

3、 信息系統描述

描述定級信息系統的邊界，包括外部邊界和與其他系統相連的內部邊界，定級系統的邊界設備，系統內的主要設備，系統承載的業(yè)務(wù)應用。

問(wèn)題六：

問(wèn)：有哪些情況是無(wú)需專(zhuān)家評審的？

答：信息系統運營(yíng)使用單位有上級主管部門(mén)，且對信息系統的安全保護等級有定級指導意見(jiàn)或審核批準的，可無(wú)需在進(jìn)行等級專(zhuān)家評審。

主管部門(mén)一般指行業(yè)的上級主管部門(mén)或監管部門(mén)。如果是跨地域聯(lián)網(wǎng)運營(yíng)使用的信息系統，則必須由上級主管部門(mén)審批，確保同類(lèi)系統或分支系統在各地域分別定級的一致性。

二級及二級以上的信息系統需要專(zhuān)家評審。

問(wèn)題七：

問(wèn)：整個(gè)周期是多長(cháng)？其中現場(chǎng)測評時(shí)間？

答：整個(gè)測評周期包括前期調研、現場(chǎng)測評、后期報告編寫(xiě)等，一般情況下一個(gè)二級系統會(huì )占用3-4周，一個(gè)三級系統會(huì )占用4-5周（指初次測評，不包括整改和加固時(shí)間）；

其中現場(chǎng)測評（指在被測系統單位現場(chǎng)的測評）的時(shí)間根據系統的數量而定：一般一個(gè)二級系統會(huì )占用3-4個(gè)工作日，一個(gè)三級系統會(huì )占用5-6個(gè)工作日（兩組同時(shí)進(jìn)行，每組兩人）。

問(wèn)題八：

問(wèn)：整改會(huì )不會(huì )涉及到要購置設備？如果有些不符合項目不能馬上關(guān)閉能不能通過(guò)備案？

答：根據《GB T22239-2019信息安全技術(shù)信息系統安全等級保護基本要求》，三級系統有如下要求：

A、應提供主要網(wǎng)絡(luò )設備、通信線(xiàn)路和數據處理系統的硬件冗余，保證系統的高可用性；

B、應建立備用供電系統；

以上檢查項需要購置設備，對二級系統沒(méi)有此要求，但在二級系統中，構成系統網(wǎng)絡(luò )安全的必要硬件則必須有；

根據現場(chǎng)實(shí)際檢查情況進(jìn)行備案，包括整改措施、整改計劃、風(fēng)險評估等。