如何开展信息系统网络安全等级保护工作.pdf

如何开展信息系统网络安全等级保护工作

作者：王昌明

来源：《中国信息化周报》2020年第28期

我国十分重视网络安全工作，近年来一直在着手国家的网络安全法律法规体系建设工作，

2017年颁布实施的《中华人民共和国网络安全法》（以下简称《网络安全法》）标志着我国

网络安全工作有了基础性的法律框架，有了网络安全的“基本法”。作为“基本法”解决了以下几

个问题：一是明确了部门、企业、社会组织和个人的权利、义务和责任;二是规定了国家网络

安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为

法律，为政府部门的工作提供了法律依据，体现了依法行政、依法治国要求;四是建立了国家

网络安全的一系列基本制度，这些基本制度具有全局性、基础性特点，是推动工作、夯实能

力、防范重大风险所必需的。

开展网络安全等级保护工作的意义

作为信息系统的运营使用单位，在网络安全管理工作中应该承担什么样的责任呢？在《网

络安全法》中明确规定，“应当依照法律、法规的规定和国家标准、行业标准的强制性要求，

采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范违法

犯罪活动，维护网络数据的完整性、必威体育官网网址性和可用性。”由此可以看出，作为系统的运行使用

单位在网络安全管理中扮演着十分重要的角色。那如何落实这些要求呢？其中非常重要的一个

手段就是开展网络安全等级保护的相关工作，信息系统安全等级保护是国家网络安全保障工作

的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家网络安全

保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。

网络安全等级保护主要工作流程

开展等级保护工作主要分为五个阶段，包括：定级、备案、测评、建设整改和监督审查。

主要工作流程详见图1。

作为信息系统的运营使用单位，如何按照以上步骤开展等级保护工作呢？下面我们就着重

介绍一下信息系统开展等级保护相关工作的步骤。

首先，应开展信息系统定级工作。主要包含以下几个方面的工作：首先应明确的定级对

象，确定系统安全保护等级，安全保护等级的确定如图2所示。

确定系统安全保护等级后，应起草《网络安全等级保护定级报告》，填写《信息系统安全

等级保护备案表》，召开定级专家会，聘请网络安全相关专家，专家应具有网络安全相关资

质，至少有一名专家应具有网络安全等级测评师（高级）资质，出具系统定级专家意见。

其次，根据所辖公安机关网络安全主管部门的要求，准备网络安全等级保护相关材料。材

料主要包括：定级报告、定级备案表、专家论证意见、安全管理制度（三级以上系统）以及当

地公安机关要求的其他材料。将定级材料上交所辖公安机关网络安全主管部门，取得定级备案

证明。

再次，开展系统等级保护测评工作。聘请有资质的单位开展系统网络安全等级测评工作。

如果信息系统未进行过安全设计和安全加固，建议先进行差距分析，整改加固后再进行等级保

护测评，由测评机构出具等级测评报告。最后，根据等级测评报告对系统进行整改加固，并根

据系统保护等级定期开展等级保护测评工作。

信息系统网络安全等级保护防护要求

如何能够做好等级保护测评前的准备工作，提高通过等级保护测评的可能性，下面我们就

以三级系统为例，从管理体系建设和技术防护措施两个方面进行阐述：

在网络安全管理方面，首先应制定网络安全工作的总体方针和安全策略，用以阐明本单位

的网络安全工作的总体目标、范围、原则和安全框架等。同时需要建立网络安全管理制度体系

和操作规程，涵盖单位组织架构、人员管理、系统建设、系统运维等各个方面，组织专家或相

关部门对管理制度进行审定，管理制度通过正式有效方式下发至安全相关的各个部门，对制度

进行版本控制、定期审阅和修订制度。明确网络安全管理机构、明确管理机构各负责人岗位和

岗位职责。制定授权审批制度，明确授权审批的事项和审批流程、保存审批记录。定期召开网

络安全事项的会议，保存会议纪要。编制与公安、网信、运营商、安全公司、系统上下游单位

的联络表单。日常网络安全检查和定期进行全面的网络安全检查相结合，保存检查记录。制定

人员管理制度，明确人员录用、离岗相关等要求。制定网络安全培训的计划，定期开展人员网

络安全培训和考核的记录。在系统建设方面，应按照国家和行业的标准积极开展等级保护的定

级备案相关工作，取得系统备案证明。明确系统建设的总体安全策略和安全方针，起草系统安

全详细设计方案，并组织有关专家或部门对方案进行审定，出具审定意见。在设备采购时应根

据系统需要