發布日期:2023-03-21 20:58 瀏覽次數:
本標準規定了等級保護對象實施網絡安全等級保護工作的過程。
本標準適用于指導網絡安全等級保護工作的實施。
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB 17859 計算機信息系統 安全保護等級劃分準則
GB/T 22239 信息安全技術 網絡安全等級保護基本要求
GB/T 22240 信息安全技術 信息系統安全等級保護定級指南
GB/T 25069 信息安全技術 術語
GB/T 28448 信息安全技術 網絡安全等級保護測評要求
GB 17859、GB/T 22239、GB/T 25069和GB/T 28448界定的術語和定義適用于本文件。
4.1 基本原則
安全等級保護的核心是將等級保護對象劃分等級,按標準進行建設、管理和監督。安全等級保護實施過程中應遵循以下基本原則:
a)自主保護原則
等級保護對象運營、使用單位及其主管部門按照國家相關法規和標準,自主確定等級保護對象的安全保護等級,自行組織實施安全保護。
b)重點保護原則
根據等級保護對象的重要程度、業務特點,通過劃分不同安全保護等級的等級保護對象,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的等級保護對象。
c)同步建設原則
等級保護對象在新建、改建、擴建時應同步規劃和設計安全方案,投入一定比例的資金建設網絡安全設施,保障網絡安全與信息化建設相適應。
d)動態調整原則
應跟蹤定級對象的變化情況,調整安全保護措施。由于定級對象的應用類型、范圍等條件的變化及
其他原因,安全保護等級需要變更的,應根據等級保護的管理規范和技術標準的要求,重新確定定級對象的安全保護等級,根據其安全保護等級的調整情況,重新實施安全保護。
4.2 角色和職責
等級保護對象實施網絡安全等級保護過程中涉及的各類角色和職責如下:
a)等級保護管理部門
等級保護管理部門依照等級保護相關法律、行政法規的規定,在各自職責范圍內負責網絡安全保護和監督管理工作。
b)主管部門
負責依照國家網絡安全等級保護的管理規范和技術標準,督促、檢查和指導本行業、本部門或者本地區等級保護對象運營、使用單位的網絡安全等級保護工作。
c)運營、使用單位
負責依照國家網絡安全等級保護的管理規范和技術標準,確定其等級保護對象的安全保護等級,有主管部門的,應報其主管部門審核批準;根據已經確定的安全保護等級,到公安機關辦理備案手續;按照國家網絡安全等級保護管理規范和技術標準,進行等級保護對象安全保護的規劃設計;使用符合國家有關規定,滿足等級保護對象安全保護等級需求的信息技術產品和網絡安全產品,開展安全建設或者改建工作;制定、落實各項安全管理制度,定期對等級保護對象的安全狀況、安全保護制度及措施的落實情況進行自查,選擇符合國家相關規定的等級測評機構,定期進行等級測評;制定不同等級網絡安全事件的響應、處置預案,對網絡安全事件分等級進行應急處置。
d)網絡安全服務機構
負責根據運營、使用單位的委托,依照國家網絡安全等級保護的管理規范和技術標準,協助運營、使用單位完成等級保護的相關工作,包括確定其等級保護對象的安全保護等級、進行安全需求分析、安全總體規劃、實施安全建設和安全改造、提供服務支撐平臺等。
e)網絡安全等級測評機構
負責根據運營、使用單位的委托或根據等級保護管理部門的授權,協助運營、使用單位或等級保護管理部門,按照國家網絡安全等級保護的管理規范和技術標準,對已經完成等級保護建設的等級保護對象進行等級測評;對網絡安全產品供應商提供的網絡安全產品進行安全測評。
f)網絡安全產品供應商
負責按照國家網絡安全等級保護的管理規范和技術標準,開發符合等級保護相關要求的網絡安全產品,接受安全測評;按照等級保護相關要求銷售網絡安全產品并提供相關服務。
4.3 實施的基本流程
對等級保護對象實施等級保護的基本流程包括等級保護對象定級與備案階段、總體安全規劃階段、安全設計與實施階段、安全運行與維護階段和定級對象終止階段,見圖1。
圖1 安全等級保護工作實施的基本流程
在安全運行與維護階段,等級保護對象因需求變化等原因導致局部調整,而其安全保護等級并未改變,應從安全運行與維護階段進入安全設計與實施階段,重新設計、調整和實施安全措施,確保滿足等級保護的要求;當等級保護對象發生重大變更導致安全保護等級變化時,應從安全運行與維護階段進入等級保護對象定級與備案階段,重新開始一輪網絡安全等級保護的實施過程。等級保護對象在運行與維護過程中,發生安全事件時可能會發生應急響應與保障。
等級保護對象安全等級保護實施的基本流程中各個階段的主要過程、活動、輸入和輸出見附錄A。
以上為標準部分內容,如需看標準全文,請到相關授權網站購買標準正版。
