微信公众号
微博账号
咨询投诉邮箱
无障碍阅读
站点切换
您当前所在的位置:网络安全等级保护备案
| 实施主体 | 威海市公安局 | 承办机构 | 威海市公安局网安支队 |
|---|---|---|---|
| 基本编码 | 37300901100101 | 实施编码 | 1137100000435928053373009011001 |
| 是否支持网上支付 | 办件类型 | 2 | |
| 事项版本 | 12438.0 | 事项状态 | |
| 服务对象 | 2,3,4,5,6,9 | 通办范围 | |
| 是否支持快递申请 | 1 | 办理形式 | 1,3,2 |
| 是否存在中介服务 | 0 | 是否存在特别程序 | |
| 是否进驻政务大厅 | 1 | 送达方式 | |
| 行使层级 | 3 | 权限划分 | 暂无 |
| 申请材料联系人 | 姜清波 | 申请材料收件人联系电话 | 0631-5897072 |
| 申请人材料邮寄地址 | 山东省威海市环翠区塔山中路317号威海市政务服务中心3楼E区智慧公安综合服务大厅市公安综合窗口E07、E06 | ||
| 实施主体性质 | 1 | 数量限制 | 暂无 |
| 权力来源 | 1 | 到办事现场次数 | 0次 |
| 法定时限 | 承诺期限 | ||
| 是否收费 | 0 | 联办机构 | 暂无 |
| 办理方式 | 2 | 办理结果类型 | 10 |
| 办理结果名称 | 信息系统网络安全等级保护备案证明 | ||
| 网办深度 | 4 | ||
| 本事项支持 | 1,2,3,4,5,6,7 | ||
| 咨询方式 |
窗口咨询地址:山东省威海市环翠区塔山中路317号威海市政务服务中心3楼E区智慧公安综合服务大厅市公安综合窗口E07、E06 咨询电话:0631-5897072 |
||
| 监督投诉方式 |
窗口投诉地址:山东省威海市环翠区塔山中路317号威海市政务服务中心9楼914室(监督监察科) 投诉电话:0631-5897000 |
||
| 受理地点、时间 |
受理地点:山东省威海市环翠区塔山中路317号威海市政务服务中心3楼E区智慧公安综合服务大厅市公安综合窗口E07、E06 窗口名称:市公安综合窗口 窗口编号:E07,E06 受理时间:工作日星期一至星期五,上午08:30-12:00,下午13:30-17:30(法定节假日除外) |
||
| 依据名称 | 制定机关 | 发布令号(文号) | 具体规定内容 | 原文下载地址 |
| 《信息安全等级保护管理办法》 | 公安部,国家保密局,国家密码管理局,国务院信息化工作办公室 | 公通字〔2007〕43号 | 第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。 | 查看原文 |
第二级以上网络运营者应当在网络的安全保护等级确定后向公安机关备案。
| 材料名称 | 材料类型 | 纸质材料份数 | 材料形式 | 材料必要性 | 备注 | 示范文本 | 空白样表 | 来源渠道 | 来源渠道说明 |
| 《网络安全建设设计方案或整改设计方案》 | 2 | 2 份 | 3 | 必要 | 第三级以上信息系统应当提供材料 | 样表下载 | 空表下载 | 10 | 无 |
| 《网络安全等级保护定级报告》 | 1 | 2 份 | 3 | 必要 | 第二级以上信息系统 | 样表下载 | 空表下载 | 10 | 中华人民共和国公安部监制 |
| 《网络安全专用产品清单及相应的安全监测证书、安全认证证书或销售许可证明》 | 2 | 2 份 | 3 | 必要 | 第三级以上信息系统应当提供材料 | 样表下载 | 空表下载 | 20 | 中华人民共和国公安部 |
| 《网络安全等级保护备案表》 | 1 | 3 份 | 3 | 必要 | 第二级以上信息系统 | 样表下载 | 空表下载 | 10 | 中华人民共和国公安部监制 |
| 《网络安全组织机构及管理制度清单》 | 2 | 2 份 | 3 | 必要 | 第三级以上信息系统应当提供材料 | 样表下载 | 空表下载 | 10 | 无 |
| 《使用的安全服务清单》 | 3 | 1 份 | 3 | 非必要 | 第三级以上信息系统应当提供 | 样表下载 | 空表下载 | 10 | 公安部规章 |
| 《网络拓扑结构及说明》 | 1 | 2 份 | 3 | 必要 | 第三级以上信息系统应当提供材料 | 样表下载 | 空表下载 | 10 | 无 |
| 《行业主管部门指导定级文件》或《网络安全等级保护专家评审意见》 | 1 | 1 份 | 3 | 必要 | 第二级以上信息系统应当提供材料 | 样表下载 | 空表下载 | 10 | 专家定级评审会 |
| 环节名称 | 办理内容 | 办理期限 | 审查标准 | 办理结果 |
| 备案材料接收 | 公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐 全的应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在五日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。 | 5 | 《信息安全等级保护备案实施细则》 | 向备案单位出具《信息系统安全等级保护备案材料接收回执》 |
| 备案材料审核 | 对提交的备案材料进行以下审核: (一)备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致; (二)信息系统所定安全保护等级是否准确。 | 5 | 《信息安全等级保护备案实施细则》第九条、第十条要求。 | 对符合等级保护要求的,出具加盖本级公安机关印章(或等级保护专用章)的《备案表》;对不符合等级保护要求的应当在十个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。 |
| 备案证明出具 | 《备案表》中表一、表二、表三内容经审核合格的,公安机关公共信息网络安全监察部门应当出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。《备案证明》由公安部统一监制。 | 0 | 《信息安全等级保护备案实施细则》第十一条 | 《信息系统安全等级保护备案证明》 |
暂无法律救济
暂无行使内容
| 中介服务项目名称 | 法律依据 |
问题1:
为什么要做等级保护?
回答: (一)法律规章要求 《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。 第二十一条规定:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 第三十八条规定:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 第五十九条规定:网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 (二)行业要求 在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。 (三)企业系统安全的需求 信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
问题2: 可根据自己的主观意愿定级?
回答: 首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的,是以事实为根据,而不是拍脑袋决定的。 目前的等级保护对象(信息系统)的安全级别分为五个等级:第一级为最低级别,第五级为最高级别。如果等级保护对象定为一级,不需要做等级测评,自主进行保护即可。定第2级及以上就需要进行等级测评。 2020年11月1日,GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》正式实施,第2级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别,这样定级过程就更加规范,定级也会更加准确。
问题3: 等级保护工作如何开展?
回答: 等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,每一环节都需要系统运营、使用单位重点留意。
问题4: 内网系统就不需要做等保测评了?
回答: 首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
问题5: 等级保护有哪些规范标准?
回答: 等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个: GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 36326-2018 信息技术 云计算云服务运营通用要求 GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求 GB/T 28448-2019信息安全技术 网络安全等级保护测评要求 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南 GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求 GM/T 0054-2018 信息系统密码应用基本要求 GB/T 35273-2020 信息安全技术 个人信息安全规范
问题6: 等保测评做过一次就可以,以后随便做不做?
回答: 在《信息安全等级保护管理办法》公通字[2007]43号中,关于系统测评时间有明确规定,二级信息系统未明确测评时间,三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次,五级信息系统虽有要求但在实际工作中几乎很难遇到五级信息系统。 等保工作是一个持续的工作,等保工作也是一个周期性的工作。做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保测评,一方面是合规,更多的是切切实实协助监管单位做好单位的网络安全工作。
问题7: 不做等保没关系,只要不出事就行?
回答: 《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。 不做等保即是违法,这并不是危言耸听。目前国内已经有很多公开报道的,因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。
问题8: 网络安全等级保护是什么?
回答: 网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
问题9: 等级保护涉及范围?
回答: 等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)。
回答: (一)法律规章要求 《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。 第二十一条规定:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 第三十八条规定:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 第五十九条规定:网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 (二)行业要求 在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。 (三)企业系统安全的需求 信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
问题2: 可根据自己的主观意愿定级?
回答: 首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的,是以事实为根据,而不是拍脑袋决定的。 目前的等级保护对象(信息系统)的安全级别分为五个等级:第一级为最低级别,第五级为最高级别。如果等级保护对象定为一级,不需要做等级测评,自主进行保护即可。定第2级及以上就需要进行等级测评。 2020年11月1日,GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》正式实施,第2级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别,这样定级过程就更加规范,定级也会更加准确。
问题3: 等级保护工作如何开展?
回答: 等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,每一环节都需要系统运营、使用单位重点留意。
问题4: 内网系统就不需要做等保测评了?
回答: 首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
问题5: 等级保护有哪些规范标准?
回答: 等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个: GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 36326-2018 信息技术 云计算云服务运营通用要求 GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求 GB/T 28448-2019信息安全技术 网络安全等级保护测评要求 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南 GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求 GM/T 0054-2018 信息系统密码应用基本要求 GB/T 35273-2020 信息安全技术 个人信息安全规范
问题6: 等保测评做过一次就可以,以后随便做不做?
回答: 在《信息安全等级保护管理办法》公通字[2007]43号中,关于系统测评时间有明确规定,二级信息系统未明确测评时间,三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次,五级信息系统虽有要求但在实际工作中几乎很难遇到五级信息系统。 等保工作是一个持续的工作,等保工作也是一个周期性的工作。做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保测评,一方面是合规,更多的是切切实实协助监管单位做好单位的网络安全工作。
问题7: 不做等保没关系,只要不出事就行?
回答: 《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。 不做等保即是违法,这并不是危言耸听。目前国内已经有很多公开报道的,因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。
问题8: 网络安全等级保护是什么?
回答: 网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
问题9: 等级保护涉及范围?
回答: 等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)。