等级保护最后定级环节是什么
等级保护最后定级环节是公安机关审核。
定级工作步骤:摸底调查,掌握网络底数;确定定级对象;初步确定网络的安全保护等级;专家评审;主管部门核准;公安机关备案;公安机关审核。
定级范围
已经投入运行的网络、新建网络都要定级。
新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步使用网络安全设施,落实安全保护措施。
等级确定
第一级、第二级网络为一般网络,第三级、第四级、第五级网络为重要网络。
确定定级对象
确定定级对象参考
起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干安全域或单元去定级。
用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象的条件。不能将某一类信息系统作为一个定级对象去定级。
各单位网站、邮件系统要作为独立的定级对象。如果网站的后台数据库管理系统安全级别较高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会提供服务的报名考试系统)也要作为独立的定级对象。
对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,要按照定级指南的要求,合理确定定级对象。
确认负责定级的单位是否对所定级网络负有业务主管责任。也就是说,业务部门应主导对业务网络的定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
具有网络的基本要素。作为定级对象的网络、信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
注:不应将某个单一的系统组件.(例如服务器、终端、网络设备等)作为定级对象。
定级要素
网络的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
定级时应主要考虑网络被破坏对国家安全、社会稳定的影响,以及境内外各种敌对势力、敌对分子针对重要网络入侵攻击破坏和窃取秘密等因素。
专家评审
在初步确定网络的安全保护等级后,为了保证定级合理、准确,应聘请由公安机关组织成立的网络安全等级保护专家进行评审,并出具评审意见。
公安机关审核
备案材料送交公安机关后,公安机关会对网络定级的准确性进行审核。公安机关的审核是定级工作的最后一道防线。网络定级基本准确的,公安机关颁发由公安部统一监制的《网络安全等级保护备案证明》(下称《备案证明》)。
定级不准的,公安机关会告知网络运营者,建议其组织专家重新进行定级评审,并报上级主管部门核准。网络运营者仍然坚持原定等级的,公安机关也会受理其备案,但会当书面告知其承担由此引发的责任和后果,经上级公安机关同意,同时通报备案单位的上级主管部门。
在这个过程中,网络运营者还是可以“坚持己见”到底的,关键是由此产生的这个责任是需要自行承担,一旦发生安全事件(故),则可能面临上级主管部门的处罚和本级公安机关的处罚。所以,网络运营者应当遵循科学合理定级,或遵从上级主管部门文件精神结合《定级指南》进行定级。
在定级环节,理论上是没有测评机构的相关工作。然而,网络运营者可以咨询或寻找测评机构服务,这样可以促进做到科学、合理、准确。此过程中,机构的责任局限于协助辅助,不具备完全替代网络运营者单位的能力,不应当产生误解。