网站等级保护机构(网络安全等级保护认证)

一、评定简述

2007年7月26日，国家公安部、国家保密局、国家登陆密码管理处和国务院办公厅信息化管理工作中公司办公室协同公布《有关进行全国各地关键信息系统安全性等级保护评定工作方案》（公通字〔2007〕861号）。该通告为全国各地关键信息系统等级保护进行评定工作中得出规定文化建设。接着，2008 年6月19日国家规范公布《信息系统安全性保护级别评定手册》（GB/T22240—2008），为全国各地评定工作中得出方式具体指导。

1、评定范畴

《有关进行全国各地关键信息系统安全性等级保护评定工作方案》（公通字〔2007〕861 号）中明确提出了国内的关键信息系统评定范畴。关键信息系统范畴如下所示：

① 电信网、广电网领域的公共通信系统、电视广播网络架构等基本网络信息，营业性群众互联网信息服务项目单位、网络接入服务项目单位、大数据中心等单位的关键信息系统。

② 铁路线、金融机构、中国海关、税收、民用航空、电力工程、证劵、商业保险、外交关系、高新科技、发展趋势改革创新、科学技术、公安机关、人事部门工作和社保、财政局、财务审计、商、水利工程、国土规划、电力能源、交通出行、文化艺术、文化教育、统计分析、工商行政管理局、邮政快递等领域、单位的生产制造、生产调度、管理方法、办公室等关键信息系统。

③ 市（地）级以上国家机关的主要网址和办公室信息系统。

④ 涉及到国家密秘的信息系统。

2、评定工作中具体内容

（1）进行信息系统基本情况的摸排调研

各领域主管部门、经营应用单位要深入开展对隶属信息系统的摸排调研，全方位把握信息系统的总数、遍布、业务类型、运用或服务范围、体系结构等基本情况，依照《网络信息安全等级保护管理条例》和《信息系统安全性等级保护评定手册》的规定，明确评定目标。各领域主管部门要依据领域特性明确提出具体指导本地域、行业评定工作中的意见与建议。

（2）基本明确安全性保护级别

各信息系统主管部门和经营应用单位要依照《网络信息安全等级保护管理条例》和《信息系统安全性等级保护评定手册》，基本明确评定目标的安全性保护级别，拟定评定汇报。跨地区或是全国各地统一连接网络运作的信息系统可以由主管部门统一明确安全性保护级别。保密信息系统的级别明确依照国家保密局的相关要求和规范实行。

（3）审查与审核

基本明确信息系统安全性保护级别后，可以聘用权威专家开展审查。对拟明确为第四级以上信息系统的，由经营应用单位或主管部门请国家网络信息安全保护级别专家评审联合会审查。经营应用单位或主管部门参考审核意见最终明确信息系统安全性保护级别，产生评定汇报。当权威专家审核意见与信息系统经营应用单位或其主管部门建议不一致时，由经营应用单位或主管部门独立决策信息系统安全性保护级别。信息系统经营应用单位有上级领导领域主管部门的，所确认的信息系统安全性保护级别理应须经上级领导领域主管部门批核。

（4）报备

依据《网络信息安全等级保护管理条例》，信息系统安全性保护级别为第二级以上的信息系统经营应用单位或主管部门到公安部网站免费下载《信息系统安全性等级保护备案表》和輔助报备专用工具，持填好的备案表和运用輔助报备专用工具转化成的报备电子数据，到公安部门申请办理审批办理手续，递交相关报备原材料及电子器件数据库文件。归属于中央政府的在京单位，其跨地区或是全国各地统一连接网络运作并由主管部门统一评定的信息系统，由主管部门向国家公安部申请办理审批办理手续。跨地区或是全国各地统一连接网络运作的信息系统在全国各地运作、运用的支系系统软件，向本地设区的市级以上公安部门报备。

（5）备案管理方法

公安部门和国家信息保密部门承担审理报备并开展报备管理方法。信息系统报备后，公安部门理应对信息系统的报备状况开展审批，对合乎等级保护规定的，授予信息系统安全性保护级别报备证实。发觉不符《网络信息安全等级保护管理条例》及相关标准规定的，理应通告报备单位给予改正。发觉评定不准确的，理应通告经营应用单位或其主管部门再次审批明确。各个信息保密部门加强对保密信息系统评定工作中的具体指导、监管和查验。

求

（1）加强组织领导，贯彻落实确保

各地区、各单位要加强对本地域、行业网络信息安全等级保护工作中的组织协调，立即把握进展情况状况，并可机构创立专家团，确立服务支持能量。信息系统经营应用单位要创立等级保护调研组，落实责任单位、责任人和经费预算，确保评定工作中顺利开展。

（2）明确职责，密切配合

评定工作中由各个公安部门带头，会与国家信息保密部门、国家账号管理单位和信息化管理领导组工作部门一同组织实施。公安部门承担评定工作中的监管、查验、具体指导；国家信息保密部门承担保密系统软件评定工作中的监管、查验、具体指导；国家账号管理单位承担评定工作上相关登陆密码工作中的监管、查验、具体指导；信息化管理领导组工作部门承担评定工作中的单位间融洽。各信息系统主管部门机构行业、本单位信息系统经营应用单位进行评定工作中，催促其贯彻落实评定工作中工作任务。各信息系统经营应用单位根据《网络信息安全等级保护管理条例》和本通告规定，落实措施评定工作中。

（3）动员部署，进行学习培训

各地区、各单位要根据统一部署普遍开展宣传策划鼓励，举行多种形式的培训机构、研讨班等，逐层学习培训。国家公安部会与国家保密局、国家登陆密码管理处、国务院办公厅信息化管理工作中公司办公室对国家相关部委局、各省部级公安机关、信息保密、登陆密码和信息化管理领导组工作部门就《网络信息安全等级保护管理条例》和《信息系统安全性等级保护评定手册》等信息开展学习培训。信息系统主管部门对所管理的信息系统经营应用单位开展学习培训。全国各地参考以上学习培训方式进行业务培训。

（4）立即汇总，提意见

各地区、各单位要融合本地域、行业进行评定工作中的具体，认真梳理工作经验和不够，明确提出改善和健全评定方式的意见与建议。各地区、各单位承担等级保护的领导成员要及早汇总评定工作经历，产生评定工作总结报告，并立即申报国家公安部。

在通告中明确提出，在“本次评定工作中结束后，请各主管部门、经营应用单位依照《网络信息安全等级保护管理条例》和相关标准规范，再次进行信息系统安全性等级保护的体系基本建设或整顿、级别评测、对照检查等下一步工作”，与此同时规定“各个公安机关、信息保密、登陆密码单位要进行等级保护工作中的监管、定期检查具体指导”。

文中內容通过考证、整理和改编，部分出处：//www.xdzll.com