等保备案,全称是信息安全等级保护备案,是国家对信息安全实行等级保护制度的重要措施之一。以下是等保备案的详细流程:
摸底调查:各行业主管部门、运营使用单位应组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。
确定定级对象:根据信息系统的业务类型、重要程度、处理信息的类别等因素,确定需要进行等保备案的信息系统。
依据标准:依据《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级。
等级划分:信息系统安全等级保护分为五级,级为低等级,第五级为高等级。不同等级对应不同的安全保护需求。
专家评审:聘请专家对初步确定的信息系统安全保护等级进行评审,确保定级的准确性和合理性。
审批同意:信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
根据信息系统的安全保护等级,准备相应的备案材料。主要包括:
《信息系统安全等级保护备案表》:填写信息系统的基本情况、定级情况等信息。
《信息系统安全等级保护定级报告》:详细描述信息系统的业务类型、重要程度、处理信息的类别以及定级依据和理由。
其他材料:根据信息系统的实际情况,可能还需要提供系统拓扑结构图、安全管理制度、安全保护设施设计实施方案、使用的信息安全产品清单及其认证和销售许可证明等材料。
线上提交:通过公安机关指定的网络安全等级保护备案系统,线上提交备案材料。
线下提交:部分地区可能还需要将纸质材料提交到属地公安机关网安部门进行审核。
审核流程:公安机关网安部门对提交的备案材料进行审核,确保材料的真实性和完整性。
审核结果:对符合等级保护要求的,公安机关网安部门将在规定时间内颁发《信息系统安全等级保护备案证明》;对不符合要求的,将通知备案单位予以纠正或重新提交审核。
备案单位领取到《信息系统安全等级保护备案证明》后,应妥善保管并按照要求进行公示和存档。同时,备案单位应持续关注信息安全等级保护要求的变化,及时对信息系统进行安全建设和整改。
八、后续工作安全建设:根据信息系统的安全保护等级,开展相应的安全建设工作,包括配置安全设备、制定安全策略、加强安全培训等。
等级测评:定期委托具备测评资质的测评机构对信息系统进行等级测评,确保信息系统的安全保护水平始终符合等级保护要求。
监督检查:接受公安机关网安部门的监督检查,及时整改存在的问题和隐患。
时间要求:已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内办理备案手续。
材料真实性:备案单位应确保提交的所有材料真实、准确、完整,不得提供虚假信息或隐瞒重要事实。
合规运营:备案单位应严格按照等级保护要求进行信息系统的运营和管理,确保信息系统的安全稳定运行。