等保工作的前两个流程就是定级和备案,单位需要确定本单位信息系统的等保级别,并将定级资料交给所在地方的相关机构。一般情况下,各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网总队。特定行业有要求的另说。也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
1、系统该定二级还是三级?
通用原则:有交易金额的,下单买卖的,要采集用户信息(身份信息、住址之类)的,云平台、10万用户信息以上、有GPS定位的,网约车平台、涉及公众的监控、大数据,确定为关键信息基础设施的原则上都定三级。
以下必须定三级:影响100W人,地市30%人口、100w用户信息泄露、严重影响政府形象、地理、人口资源,注册用户100W ,造成1000W以上直接损失,公众服务、医疗消防、生产调度、交通,水电气油行业。
2、SaaS平台是否一定要定级三级?
不一定,定级多少可参考通用原则。
3、是按多个系统测评还是可以按一个系统+多个子系统测评?
只要是2个或多个系统直接业务是关联融合的,数据是共用的,可以按1主多子来测评。
4、定级谁真正说了算?
原则:等保2.0要求从原来的“自主定级、自主保护”原则,转变为以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。定级以《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》为依据。
专家评审:目前省属单位、深圳、珠海、惠州、肇庆、河源等地区已经要求,广州目前还没有实施。
