¿Cuáles son las acciones prescritas para el nivel de protección?

El trabajo de protección de nivel sigue las leyes y regulaciones pertinentes, con soporte completo para el proceso de políticas y acciones de proceso prescritas. El siguiente es el proceso básico de protección de nivel.

1.1 Diagrama de flujo de implementación básico

1.1.1 Identificación y clasificación del sistema

1. Determinar los objetos de clasificación: Según las “Medidas de Gestión de Protección a Nivel del Sistema de Información” y "Lineamientos para la Clasificación del Nivel de Protección de los Sistemas de Información" para determinar el nivel de seguridad de los sistemas de información y objetos protegidos.

2. Determinación preliminar del nivel: al analizar el tipo de sistema, la categoría de información, el alcance del servicio y la dependencia comercial del sistema, determine los objetos infringidos después de que se destruya el sistema y el grado de infracción de los objetos. , Determinar de manera integral el grado de infracción. Determine preliminarmente el nivel del sistema.

3. Evaluación de expertos: la unidad operativa del objeto de calificación debe organizar expertos en seguridad de la información y expertos en negocios para evaluar la racionalidad de los resultados de calificación preliminares y emitir opiniones de evaluación de expertos.

4. Revisión por parte de las autoridades competentes: una vez completada la revisión de expertos, los resultados de la calificación preliminar se informarán a las autoridades competentes de la industria o a las autoridades superiores para su revisión.

5. Revisión de la agencia de seguridad pública: envíe los resultados de las calificaciones preliminares a la agencia de seguridad pública para su revisión de registros. Si el equipo no pasa la evaluación, la unidad operativa organizará una nueva clasificación después de pasar la revisión y finalmente se determinará el nivel de protección de seguridad del objeto clasificado.

1.1.2 Archivo del sistema

1. Preparación de documentos: La unidad operativa del sistema de información deberá preparar los materiales de archivo y completar el "Formulario de registro de protección del nivel de seguridad del sistema de información".

2. Archivo del sistema: Las unidades operativas y de usuario del sistema de información deben pasar por los procedimientos de archivo con el departamento de seguridad de la red de la agencia de seguridad pública local a nivel municipal o superior.

3. Revisión de aceptación y presentación: El órgano de seguridad pública revisará los materiales de presentación si la clasificación es precisa y los materiales cumplen con los requisitos, se emitirá un certificado de presentación bajo la supervisión unificada del Ministerio de. Seguridad Pública. Si se determina que la clasificación es inexacta, se notificará a la unidad de presentación para que la vuelva a examinar y confirme.

Evaluación de protección de nivel 1.1.3

Los operadores y usuarios de sistemas de información deben seguir las "Medidas de gestión de protección del nivel de seguridad del sistema de información", los "Requisitos de evaluación de protección del nivel de seguridad del sistema de información" y " "Medidas de gestión de protección del nivel de seguridad del sistema de información". "Pautas del proceso de evaluación de la protección del nivel de seguridad del sistema", contrate una agencia de evaluación de seguridad certificada para realizar una evaluación del nivel de protección de seguridad del sistema de información y prepare un informe de evaluación de nivel de acuerdo con las "Medidas de gestión de protección del nivel de seguridad del sistema de información". Plantilla de informe de evaluación de nivel" (versión 2019).

La evaluación del nivel de protección se lleva a cabo mediante indagación, consulta y verificación de información, registros e información de inspección, inspección in situ, pruebas de penetración, escaneo de vulnerabilidades, etc. A través de la evaluación de nivel, analizar y juzgar la brecha entre las medidas de seguridad tomadas por el sistema de información actual y los requisitos de los estándares de protección de nivel, analizar los problemas de seguridad existentes, descubrir los problemas que deben resolverse en la rectificación de la protección de seguridad del sistema de información, y formar los requisitos de seguridad para la rectificación de la construcción de seguridad.

1.1.4 Rectificación

La unidad operativa deberá realizar una construcción segura de acuerdo con los requisitos de protección de grado y las especificaciones y estándares relevantes basados ​​en los resultados de la evaluación de protección de grado y las sugerencias de rectificación. Desarrollar un sistema de gestión de seguridad, mejorar las medidas de seguridad para las instalaciones de seguridad e implementar medidas técnicas de seguridad.

1.1.5 Supervisión e inspección periódicas

Los órganos de seguridad pública deben supervisar, inspeccionar y proporcionar orientación sobre los sistemas de información de las unidades operativas y utilizadas de vez en cuando de acuerdo con las normas de gestión y especificaciones de inspección. Si se comprueba que han incumplido sus obligaciones jerárquicas de protección, los órganos de seguridad pública podrán imponerles las sanciones correspondientes conforme a la ley. Las normas de sanción se refieren a la "Ley de Ciberseguridad de la República Popular China", la "Ley Penal de la República Popular China" y el "Reglamento de Protección del Nivel de Ciberseguridad".