【等保培训】信息安全等级保护之信息系统备案工作

信息系统安全等级保护培训-备案工作部分海南神州希望网络有限公司苏阳浪定级、审批、备案一般流程回顾基本流程如下图所示：备案软件安装前准备2.备案表填写说明备案表的组成备案表由四张表单构成：•表一是单位信息，每个单位填写一张。•表二是信息系统基本信息。•表三是信息系统定级信息；（表二、表三每个信息系统填写一张）。•表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。•表二、三、四可以复印使用，使用时要注意编号。如一个单位有6个信息系统，则只需要填写一张表一，分别填写六个表二、三、四。•备案表一式二份，由备案单位和受理备案的公安机关分别盖章后，一份由备案单位保存，一份交受理备案公安机关存档。2.备案表填写说明•填表范围：本表由第二级（含）以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；•如某单位共有6个信息系统进行备案，则填写过程中要遵循表二（1/6）、表二（2/6）……表二（6/6）的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统，则表四的编号要和同一信息系统的表二、三的编号保持一致。如，单位共有6个信息系统，其中有一个第三级以上信息系统A，则该单位需要填写1张表一，6张表二和表三，1张表四。假设A系统表二的编号为表二（2/6），则相对应的表四的编号也应当是表四（2/6）。2.备案表填写说明六、备案单位：本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。七、受理备案单位：本表封面中的“受理备案单位”填写受理备案民警所在部门的名称。此项由受理备案的公安机关负责填写。八、行政区划代码：表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码，该代码需与《中华人民共和国行政区划代码》（GB2260-1995）一致。以北京市举例，标准6位地址码的构成如下：110000北京市，110101东城区……。2.备案表填写说明九、单位负责人：表一中的“单位负责人”是指负责本单位信息安全的领导。十、责任部门：表一中的“责任部门”是指单位内负责信息系统安全的部门。如果单位内的信息系统分别由不同的责任部门管理，则可以分别填写表一。责任部门联系人：表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任部门联系人有多个，则可以分别填写表一。2.备案表填写说明•隶属关系：表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位，按照国家标准《单位隶属关系代码》(GB/T12404-1997)分为：中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他•单位类型：党委机关是指隶属于各级中国共产党委员会及其所属专门部门。政府机关是指隶属于各级人民政府的部门或单位。•行业类别：该项为单选项。以单位主要从事的业务为依据进行选择，如公安院校，则应选择教育而非公安。•信息系统总数：是指本单位内所拥有的信息系统个数，包括第一级信息系统。•系统名称：表二中“系统名称”是指信息系统进行立项建设或有明文规定的全称。2.备案表填写说明十二、系统编号：由备案单位给出的本单位备案信息系统的编号。备案单位所属信息系统编号不能重复；系统承载业务情况：（1）业务类型：该项为单选项。是指信息系统所承载的主要业务。其中1生产作业是指：主要为完成本单位生产直接提供服务的。2指挥调度是指：主要用于本单位内进行指挥、调度等工作的。3管理控制是指：主要进行管理工作的。4内部办公是指：主要为单位内部办公提供服务的。5公众服务是指：主要为社会公众提供服务的。（2）业务描述：是指系统所承载业务的具体描述，主要包括系统所承载的业务信息包括哪些，信息系统的主要功能等。系统服务情况：（1）服务范围：该项为单选项。如果信息系统跨全国的所有省，则选择10全国，如果没有跨全国所有省，则选择11跨省，同时填写具体的跨省数。跨地（市、区）类似。（2）服务对象：该项为单选项。单位内部人员：是指仅为本单位内部人员服务。社会公众人员：是指为社会大众提供服务。两者均包括：是指既包括单位内部人员也包括社会公众人员。如果仅为某些特定人群服务，请选择其它，并填写具体服务的对象名称。2.备案表填写说明•十三、系统网络平台：（1）覆盖范围：该项为单选项。1局域网：信息系统所依托的网络结构是在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等；2城域网：是指该信息系统所依托的网络是一种大型的局域网，通常使用与局域网相似的技术。它可以覆盖一组邻近的公司办公室和一个城市，既可能是私有的也可能是公用的。比较常见的一个城市的政府公务网、教育城域网等；3广域网：是指信息系统所依托的网络是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市，甚至一个国家；如上述三个选项均不是，请选择其他，并在其后的横线中填写具体的网络覆盖范围类型名称。（2）网络性质：1业务专网：是指信息系统所依托的网络是单位为开展某项业务专门架设或租用专门线路构成的；2互联网：是指承载信息系统的网络是完全依托互联网（Internet）的。2.备案表填写说明•系统互联情况：该项为多选项。1与其它行业系统连接：是指该信息系统与本行业以外的其他行业的信息系统进行连接或共享数据。2与本行业其他单位系统连接：是指该信息系统与行业内其他单位的信息系统进行连接或共享数据。3与本单位其他系统连接：是指该信息系统与本单位内的其他信息系统进行连接。如果上述选项均不是，则选择其它，并在其后的横线中注明具体的互联情况。2.备案表填写说明•十四、关键产品使用情况：（1）产品类型：是指信息系统（包括网络）中使用的信息技术产品的类型，其中安全专用产品：是指根据《计算机信息系统安全专用产品检测和销售许可证管理办法》规定，用于保护计算机信息系统安全的专用硬件和软件产品，主要包括：扫描类产品（包括入侵检测、防御等产品），防雷产品，防火墙，数据完整类（包括身份认证、访问控制、签章、指纹识别等），网络安全（包括网吧安全管理、审计产品等），病毒产品等。网络产品：是指除上述安全产品外的其它网络产品，主管包括：路由器、网关、网闸等。操作系统：是指管理计算机系统全部硬件、软件资源及数据资源，控制程序运行，改善人机界面，为其它应用软件提供支持等的，使计算机系统所有资源最大限度地发挥作用，为用户提供方便的、有效的、友善的服务界面的专用软件，常见的操作系统有Windows系列，Linux系列，Unix系列等；数据库：是指帮助用户依照某种数据模型组织起来并存放数据的软件，这里主要指数据库软件。常见的数据库软件有Oracle、Sybase、DB2、SQLserver、Access、MySQL、BD2等；服务器：又叫主机。主要是为信息系统集中提供各种类型服务的主机。2.备案表填写说明•（2）数量：软件产品的数量按购买的套数算，不以实际安装的台数计算。硬件产品的数量以购买的台（件）数计算，如果没有则数量填0。（3）使用国产品率：是指信息系统中使用国产的某类信息技术产品数量占使用该类信息技术产品总数量的比例。全部使用，是指该信息系统中使用的该类信息技术产品全都是国产品（品牌、型号等可以不同）。全部未使用，是指该信息系统中使用的该类信息技术产品全都不是国产品。部分使用率，是指当某类产品部分使用国产品时，国产品的使用率。以某类操作系统为例，如某信息系统的主机（服务器）上共使用了3套操作系统，其中微软操作系统2套，红旗操作系统1套，则该信息系统中使用操作系统的国产品率就是33%（1/3），再如某信息系统中共使用了20个路由器，其中10个国内产品，10个国外产品，此外还使用了20个网关，其中15个国内产品，5个国外产品，则该信息系统中使用网络产品的国产品率就是62.5%（10+15/20+20）。•国产品是指该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主知识产权。2.备案表填写说明•十五、系统采用服务情况：是指信息系统在规划、设计、建设、运维、终止等生命周期的各个阶段采用的由供应商、组织机构或人员所执行的一系列的安全过程或任务。（1）服务类型。等级测评：是指依据等级保护测评标准对相应等级信息系统开展的标准符合性测评，测评完成后出具符合相应等级要求（符合《基本要求》）的测评报告，报公安机关备案；风险评估：是指信息安全风险评估；灾难恢复：是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程；应急响应：是指对影响计算机系统和网络安全的不当行为（事件）进行标识、记录、分类和处理，直到受影响的服务恢复正常运行的过程；系统集成：是指系统集成商使用硬件和软件资源来满足用户的特定需求的过程；安全咨询：是指为开展信息系统安全工作，由信息系统运营使用或主管部门发起的咨询工作；安全培训：是指为开展安全工作对相应人员进行的培训；如果在上述服务外还采用了其他服务，可以选其它，并在其后的横线中标明具体的内容。2.备案表填写说明•（2）服务责任方类型：是指提供服务的服务单位是属于本行业的，还是属于国内其他行业（单位），还是国外服务商。国内服务商是指服务机构在我国境内注册成立，由中国公民、法人或国家投资的企事业单位。•等级测评单位名称：是指开展等级测评工作的测评单位的全称。•何时投入运行使用：是指信息系统正式投入运行使用的时间。试运行时间不算在内。•系统是否是分系统：分系统是指大系统分支应用的信息系统或完成大系统部分功能的信息系统。•上级系统名称：如果该信息系统是分系统，则需要填写该项。上级系统是指分系统所隶属或归属的信息系统。2.备案表填写说明•十六、确定业务信息安全保护等级、确定系统服务安全保护等级、信息系统安全保护等级：是指根据《定级指南》确定业务和系统服务等级后，信息系统最终的安全保护等级由业务信息安全等级和系统服务安全等级两个较高者确定。•专家评审情况：是指请专家对信息系统定级情况进行评审的情况。其中第四级以上信息系统须由国家信息安全保护等级专家评审委进行评审。•主管部门：是指本单位信息系统所承载业务的上级主管部门。只有该类主管部门对信息系统定级的准确与否具有发言权。如果业务主管部门不明确，也可以将本单位的上级行政主管部门作为其主管部门。如果业务主管部门和行政主管部门均不明确，则可以不填。一般而言，部委的主管部门就是其自身，省厅的主管部门也是其自身。2.备案表填写说明•系统定级报告：是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。•系统拓扑结构及说明：是指信息系统中的服务器、工作站的网络配置和相互间的连接方式图及其说明。•系统安全组织机构及管理制度：是指根据《基本要求》进行系统整改后建立的信息安全组织机构及管理制度。•系统安全保护设施设计实施方案或改建实施方案：是指根据信息系统所定安全保护等级与《基本要求》对相应等级的要求，制定的系统设计实施方案（新建系统）或改建实施方案（已有系统）。2.备案表填写说明•系统使用的安全产品清单及认证、销售许可证明：是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。•系统等级测评报告：是指由符合条件的等级测评单位根据信息系统确定的安全保护等级，依据《基本要求》、《测评准则》等标准对信息系统开展测评后出具的报告，提交公安机关备案的测评报告必须是测评合格的报告。•十七、上级主管部门审批意见：是指上级主管部门对信息系统定级情况的审批意见。