- 发布
- 上海道商企业服务中心
- 电话
- 02162530000
- 手机
- 15021594806
- 发布时间
- 2025-04-03 16:48:34
在数字化时代,网络安全至关重要。对于上海的各类信息系统运营使用单位而言,办理等保测评备案是保障信息系统安全、合规运营的必要举措。下面,就为您详细介绍其办理流程和所需材料。
一、办理流程(一)摸底调查运营使用单位要全面深入地开展对所属信息系统的摸底调查工作。这包括详细了解信息系统的数量,明确其分布在哪些区域、部门;掌握信息系统的业务类型,比如是金融交易系统、政务办公系统还是电商销售系统等;知晓应用或服务范围,是面向本地用户、全国用户还是特定行业用户;梳理系统结构,包括硬件架构、软件架构以及网络拓扑结构等基本情况。例如,一家大型制造企业,需要清楚旗下的生产管理系统、供应链管理系统、客户关系管理系统等各自的架构和功能,以及它们之间的数据交互关系。
(二)确立定级对象依据相关规定,应用系统应按照业务类别不同单独确定为定级对象,而不以系统是否进行数据交换、是否独享设备为确定依据。例如,一个综合性的互联网服务平台,其新闻资讯业务、在线购物业务、社交互动业务等,虽然可能共享部分服务器等设备,也存在数据交换,但在确定定级对象时,需分别将这些业务对应的系统作为独立的定级对象。
(三)系统定级定级是等保测评备案工作的关键起始环节,是后续开展安全建设、测评、监督检查等工作的重要基础。各信息系统主管部门和运营使用单位要严格按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级。比如,一个涉及大量公民个人敏感信息,且对社会秩序和公共利益有较大影响的医疗信息系统,经评估可能初步确定为第三级。
(四)专家评审和主管部门审批运营使用单位在初步确定系统安全保护等级后,可以聘请行进行评审。专家凭借丰富的经验和知识,对定级的合理性、准确性进行评估,提出意见。若运营使用单位有上级行业主管部门,所确定的信息系统安全保护等级需报上级行业主管部门审批同意,确保定级符合行业整体规划和要求。
(五)备案申请信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后 30 日内,到当地公安机关网安部门办理备案手续。新建第二级以上信息系统,应当在投入运行后 30 日内,由其运营、使用单位到当地公安机关网安部门办理备案手续。备案单位需准备好备案所需材料,包括系统安全组织机构、三员审查表、管理制度及应急预案、安全保护设施设计实施方案、系统拓扑结构说明、安全产品清单及证书、《信息系统安全等级保护备案表》《信息系统安全等级保护定级报告》等,纸质材料一式两份,按要求填写并加盖单位签章。
(六)备案审核受理备案的公安机关会及时公布备案受理地点、备案联系方式等。收到备案材料后,对备案材料进行完整性审核,检查材料是否齐全、填写是否规范;进行定级准确审核,判断定级是否符合相关标准和规定。符合等级保护要求的第二级以上信息系统,公安机关会在收到备案材料起的 10 个工作日内向备案单位颁发信息系统安全保护等级备案证明,该备案证明由公安部统一监制。
(七)系统测评对于第三级以上信息系统,按要求需提交相关材料,并由的测评机构依据《信息安全技术 网络安全等级保护基本要求》等标准,对信息系统的安全技术措施和安全管理措施进行全面测评,包括网络安全、主机安全、应用安全、数据安全等多个方面,评估系统是否达到相应的安全保护等级要求。
(八)整改实施根据测评结果,运营使用单位要对信息系统存在的安全问题进行针对性整改。如果测评发现系统存在网络漏洞,就需要及时修复;若安全管理制度不完善,要进行补充和优化。通过整改,使信息系统达到相应安全保护等级的要求,提升信息系统的安全性和稳定性。
二、所需材料(一)系统安全相关材料系统安全组织机构、三员审查表、管理制度及应急预案:安全组织机构要明确机构名称、负责人、成员、职责分工等,确保信息系统安全管理工作有人负责、责任到人。三员审查表涵盖系统开发建设人员、维护人员、及管理人员,对人员的资质、权限等进行审查。管理制度包括安全管理规范、章程等,需有单位签章,从制度层面保障信息系统安全。应急预案则针对可能出现的安全事件,制定应对措施和流程,降低损失和影响。
系统安全保护设施设计实施方案或者改建实施方案,系统拓扑结构说明,安全产品清单及证书:安全保护设施设计实施方案或改建实施方案,详细阐述为保障信息系统安全所采取的技术措施和实施步骤。系统拓扑结构说明展示信息系统的网络架构、设备连接等情况,便于理解系统的布局。安全产品清单及证书列出所使用的安全产品,如防火墙、入侵检测系统等,并附上其认证、销售许可证明,证明产品的合法性和安全性。
(二)备案表格与报告《信息系统安全等级保护备案表》:纸质材料一式两份,包括《单位基本情况》《信息系统情况》《信息系统定级情况》和《第三级以上信息系统提交材料情况》。第二级以上信息系统备案时需提交表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后 30 日内提交表四及其有关材料,需有单位签章及电子版。
《信息系统安全等级保护定级报告》:纸质材料一式两份,每个备案的信息系统均需提供对应的报告。报告参照模板格式填写,内容涵盖信息系统的基本情况、定级依据、定级结果等,需有单位签章及电子版。
办理上海等保测评备案,运营使用单位需全面了解办理流程和所需材料,认真准备,积极配合公安机关和测评机构工作。若在办理过程中遇到疑问,可咨询上海市公安机关网安部门或的网络安全服务机构,确保顺利完成等保测评备案,提升信息系统的安全性和合规性。