网络安全等级保护服务方案.pdfVIP

网络安全等级保护服务方案--第1页

XXX2022年等级保护测评服务项目建设方案

一、项目必要性

（一）项目建设背景

近年来为适应业务发展的需求，遵循国家、单位的相关要求，XXX坚持开展信

息化建设，各类应用系统及硬件设备的投入使用极大的推动了信息化建设的进程。

随着单位对整体IT系统（硬件、软件、网络、视频等）的可用性要求日益提高，网

络安全等级保护工作的有效开展已经成为确保业务系统安全稳定可靠运行的必要条

件，可以有效解决当前日益增长的需求和严峻的网络安全形势之间的矛盾，提高

XXX软、硬件、业务应用软件的运行维护效率，确保信息系统正常运行。

（二）网络安全等级保护基本情况介绍

1．基本概念

网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以

及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息

系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分

等级响应、处置。网络安全等级保护是国家网络安全保障的基本制度、基本策略、

基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保

障，是网络安全保障工作中国家意志的体现。网络安全等级保护工作包括定级、备

案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后，运营、使用

单位或者其主管部门应当选择符合国家要求的测评机构，依据《网络安全等级保护

测评要求》等技术标准，定期对定级对象安全等级状况开展等级测评。

网络安全等级保护就是分等级保护、分等级监管，是将全国的信息系统（包括

网络）按照重要性和遭受损坏后的危害性分成五个安全保护等级（从第一级到第五

级，逐级增高）。

2．阶段流程

网络安全等级保护包括定级、备案、建设整改、测评实施和监督检查5个阶段。

具体解释如下：

网络安全等级保护服务方案--第1页

网络安全等级保护服务方案--第2页

（1）定级

现阶段要开展网络安全等级保护的信息系统（网络、机房等），不再自主定级，

而是通过“确定定级对象——初步确定等级——专家评审——主管部门审核——

公安机关备案审查——最终确定等级”这种线性的定级流程，系统定级必须经过专家

评审和主管部门审核，才能到公安机关备案，整体定级更加严格。

（2）备案

进行国际联网的计算机信息系统，由计算机信息系统的使用单位报省级以上人民

政府公安机关备案。

已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，

由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到

所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的

信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系

统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案，XXX的

应用系统应当在XX省公安厅网络安全保护总队备案。

（3）建设整改

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管

理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制

定并落实安全管理制度。

（4）等级测评

信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息

系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，

特别是高危风险。测评的结论分为：优、良、中、差。

（5）监督检查

公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护

工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、

检查、指导，如实向公安机关提供有关材料。