江蘇信息系統(tǒng)安全等級保護備案是本文主要內容�。江蘇信息系統(tǒng)安全等級保護備案(簡稱“等保備案”)是依據《網絡安全法》《信息安全等級保護管理辦法》等法律法規(guī),對省內信息系統(tǒng)實施分級安全管理的強制性制度�����。該制度要求企業(yè)�、機關和事業(yè)單位根據信息系統(tǒng)的重要程度及其遭受破壞后可能造成的危害程度,將系統(tǒng)劃分為五個等級(一級至五級)����,并向公安機關申請備案。其中�����,二級及以上信息系統(tǒng)必須備案�,三級及以上還需額外提供系統(tǒng)拓撲、安全管理制度等材料��,并通過專業(yè)測評���。江蘇省內����,備案由設區(qū)的市級以上公安機關網安部門受理�����,涵蓋南京、蘇州����、無錫等13個地市,確保全省信息系統(tǒng)安全可控��。
江蘇信息系統(tǒng)安全等級保護備案業(yè)務范圍與適用場景
等保備案適用于涉及關鍵信息基礎設施����、重要數據存儲或公共服務的各類信息系統(tǒng),主要包括:
1. 政務與公共服務:市(地)級以上黨政機關網站�、社保、稅務���、醫(yī)療等民生服務系統(tǒng)����。
2. 金融與關鍵行業(yè):銀行�、證券、電力�、交通等行業(yè)的交易、調度及管理平臺�,如江蘇省交通技師學院的教務系統(tǒng)即納入等保管理。
3. 企業(yè)信息化:涉及用戶隱私的電商平臺�����、企業(yè)ERP系統(tǒng)�,以及云計算、大數據等新興技術平臺�。
不同等級對應不同監(jiān)管強度,例如二級系統(tǒng)每兩年測評一次�,三級系統(tǒng)需每年測評,而四級系統(tǒng)則每半年一次�。
一、什么是等保測評?
“等?����!奔淳W絡安全等級保護����,是指對網絡信息和信息載體按照重要程度劃分等級,并基于分級�,針對性地開展安全保護工作。等保測評用于評估網絡系統(tǒng)或應用是否滿足相應的安全保護等級要求���,是網絡安全等級保護工作的重要環(huán)節(jié)之一��。開展等保測評能夠幫助網絡運營者識別系統(tǒng)存在的安全隱患����,及時對系統(tǒng)進行整改加固。簡單來說���,它就像給企業(yè)網絡做一次“全面體檢”��。
早在2017年8月��,公安部評估中心就根據網信辦和信安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《信息安全技術 網絡安全等級保護基本要求》一個標準���。(GB/T 22239—2019代替 GB/T 22239-2008)該標準于2019年5月10日發(fā)布,于2019年12月1日開始實施����。
二、江蘇等保測評定級標準
當前我國實行的網絡安全等級保護制度�,將等級保護對象按照受破壞時所侵害的客體和對客體造成侵害的程度,從低到高劃分了五個安全保護等級�,其中最常見的定級對象是二級等保對象與三級等保對象:
(1) 第一級:等級保護對象受到破壞后,會對公民�����、法人和其他組織的合法權益造成損害,但不損害國家安全���、社會秩序和公共利益;
(2) 第二級:等級保護對象受到破壞后,會對公民��、法人和其他組織的合法權益產生嚴重損害�����,或者對社會秩序和公共利益造成損害���,但不損害國家安全;
(3) 第三級:等級保護對象受到破壞后���,會對公民、法人和其他組織的合法權益產生特別嚴重損害��,或者對社會秩序和公共利益造成嚴重損害��,或者對國家安全造成損害;
(4) 第四級:等級保護對象受到破壞后��,會對社會秩序和公共利益造成特別嚴重損害��,或者對國家安全造成嚴重損害;
(5) 第五級:等級保護對象受到破壞后,會對國家安全造成特別嚴重損害�。
三、江蘇等保測評流程等保測評流程
包括以下幾個主要步驟:
誰要做等保?需要開展等保(網絡安全等級保護)的單位或系統(tǒng)主要包括以下幾類:
1. 法律明確要求的單位根據《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》等規(guī)定���,以下單位必須開展等保:國家機關(政府����、事業(yè)單位等)����、關鍵信息基礎設施運營者、國有企業(yè)及重點行業(yè)單位(如電力�����、水利�、教育、社保等)
2. 涉及重要數據或公共服務的單位金融行業(yè)(銀行���、證券���、保險、支付機構等)醫(yī)療行業(yè)(醫(yī)院�����、醫(yī)保系統(tǒng)、健康大數據平臺等)交通行業(yè)(鐵路�、航空、地鐵���、網約車平臺等)互聯網企業(yè)(大型電商��、社交平臺�����、云計算服務商等)……
3. 存儲或處理敏感信息的系統(tǒng)只要信息系統(tǒng)涉及以下內容,通常需要做等保:公民個人信息��、重要業(yè)務數據�����、關鍵業(yè)務系統(tǒng)(如OA系統(tǒng)����、ERP系統(tǒng)、數據庫等)
4. 其他需要提升安全防護的單位即使不屬于強制范圍��,但若企業(yè)希望提升網絡安全防護能力,或客戶/合作方要求(如政府項目投標)��,也可自愿做等保��。
四����、等保1.0、2.0有什么區(qū)別?
【等保1.0】以1994年國務院頒布的147號令《計算機信息系統(tǒng)安全保護條例》為指導標準�,以2008年發(fā)布的《GB/T22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求 》為指導的網絡安全等級保護辦法,業(yè)內簡稱等保����,即目前的等保 1.0。
【等保2.0】以《中華人民共和國網絡安全法》為法律依據����,以2019年5月發(fā)布的《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》為指導標準的網絡安全等級保護辦法,業(yè)內簡稱等保2.0��。
【1.0�����、2.0的區(qū)別】
等保2.0提出新的技術要求和管理要求�,強調“一個中心�,三重防護”�����,關鍵點包括可信技術��、安全管理中心���,以及云計算����、物聯網等新興領域的安全擴展要求���。對應地,企業(yè)在安全防護體系建設���、風險評估和管理上需要更加全面����,并需關注所在行業(yè)的安全要求和定級標準�。
五、等保評測常見問題如下
1����、如何執(zhí)行系統(tǒng)備案動態(tài)更新工作?
全面梳理與重新填報:
運營者需全面梳理已備案系統(tǒng)的情況�,對于已完成定級備案的第二級(含)以上網絡系統(tǒng)�����,無論網絡系統(tǒng)是否涉及級別變更�����,運營者均需重新依據2025版定級報告和備案表模板進行編寫和填報���,并及時按照屬地公安機關網安部門要求及時報送�。
2�����、系統(tǒng)備案動態(tài)更新是否需要組織召開專家評審����,組織召開專家評審會的基本原則是什么?
系統(tǒng)備案動態(tài)更新的專家評審及組織原則:已完成定級備案的網絡系統(tǒng)若發(fā)生級別變更或重大變化的需重新組織召開專家評審會。鼓勵行業(yè)主管部門集中組織召開本行業(yè)內網絡系統(tǒng)的專家評審會��。
3��、備案單位如何選擇備案地?
備案受理主體原則及特殊情況:原則上由地市級以上公安機關網安部門受理備案。省級公安機關可以根據實際情況�����,指定具有受理備案條件的縣級公安機關受理備案��。備案地確定規(guī)則:備案單位工商注冊登記地�、實際業(yè)務運營機構所在地、安全管理機構所在地�����、網絡設備所在地等不一致的����,以備案單位安全管理機構、運維所在地為主受理備案�����。若安全管理機構和運維所在地等不一致的�����,以安全管理機構所在地為主受理備案��。
4�、跨省或全國聯網運行的網絡系統(tǒng)如何選擇備案地?
屬地管轄備案原則:跨省、省內跨地(市)��,或全國聯網運行的網絡系統(tǒng)��,按照屬地管轄原則由省級公安機關網安部門受理備案或其指定地市級公安機關網安部門受理備案����。統(tǒng)一定級分支系統(tǒng)的備案受理安排:跨省或全國統(tǒng)一聯網運行并由主管部門統(tǒng)一定級的網絡系統(tǒng)在各地運行、應用的分支系統(tǒng)(包括由上級主管部門定級���,在當地有應用的網絡)�,由所在地地市級以上公安機關網安部門受理備案�。
5、已定級備案的跨省或全國聯網運行的網絡系統(tǒng)如何選擇備案更新地?
原備案至公安部的網絡系統(tǒng)已轉交至江蘇市公安局網安總隊進行受理��,此次備案動態(tài)更新地請咨詢江蘇市公安局網絡安全保衛(wèi)總隊�����。
6����、備案證明如何更新及有效期如何確認?
有效期的管理規(guī)定:《網絡安全等級保護備案證明》有效期為三年�。2025年1月1日前備案的����,有效期自2025年1月1日起算。完成等級測評后有效期自動延長一年�����。延期申請的要求:期滿需要延期的���,應當于期滿前三個月內向受理備案的公安機關申請延期���。
了解網站等級保護代辦價格、最新政策���、辦理要求����、準備材料等內容��,點擊文章尾部或右側“在線客服”為您提供專人一對一服務�����。
今天介紹了江蘇信息系統(tǒng)安全等級保護備案怎么辦理的內容���。如果您公司需要辦理該資質���,請聯系大通天成在線客服。也可以撥打我們的電話13391522356����。
