煤炭企業如何開展等級保護工作
煤炭企業關注點
01
什么是等級保護?
首先來看官方概念:對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、 傳輸、處理這些信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。(《關于信息安全等級保護工作的實施意見》公通字〔2004〕66號)。
簡單來說,就是對信息系統實行分等級保護,分等級監管。信息系統的安全保護等級從低到高分為一到五級,等級越高,安全保障措施的要求也越高。
需要說明的是,自2017年出臺《網絡安全法》以后,為與國家法律法規保持一致,同時也為了適應信息化發展現狀,等級保護中“信息系統”的內涵延申為“網絡”,指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
02
誰需要做等保?
《網絡安全等級保護條例》(征求意見稿)中明確規定“在中華人民共和國境內建設、運營、維護、使用網絡,開展網絡安全等級保護工作以及監督管理,適用本條例。個人及家庭自建自用的網絡除外。”也就是說,除非是個人和家庭自建自用的網絡,否則,都需要按照國家有關規定開展等級保護工作。
03
煤礦企業開展等級保護
需要完成的工作內容有哪些
等級保護的五個規定動作:定級、備案、建設整改、等級測評、監督檢查。(實際工作中我們常常把定級備案兩個動作合二為一)煤礦企業作為網絡運營者,應當依法開展網絡定級備案、安全建設整改、等級測評和自查等工作,并接受管理部門的監督檢查。
注意,等保≠定級備案 等保≠等級測評
定級是等級保護工作的首要環節和關鍵環節,準確定級并按照相應等級的標準開展建設整改,通過等級測評發現差距和問題隱患,再進行整改加固,全過程接受監督檢查,才能夠真正的保障和提升網絡安全保護能力。
04
煤礦企業等級保護
工作流程?
實際工作中,煤礦企業一般按照以下流程開展等保工作:
1)定級備案:煤礦企業需要梳理本礦區范圍內所有建設、運營、維護、使用的信息系統,按照國家標準和行業有關管理規范確定出哪些系統需要定級、定幾級(初步確定為二級以上的網絡需組織專家評審并報主管部門審核),并到公安機關進行備案,取得系統的備案證明。
2)建設整改:對照國家標準,按照相應等級的要求從管理、技術兩個層面開展建設整改工作,包括健全完善網絡安全管理制度,進行機房環境、網絡設備、安全設備等的升級改造,使信息系統達到等級保護的標準。
3)等級測評:聘請專業的等保測評機構對已定級備案的系統開展等級測評,并按照測評結論再進行整改加固。
等級測評和建設整改的順序沒有固定的先后之分,也可以先通過等級測評的手段發現問題再有針對性的進行整改。
05
不同級別的系統,
監管要求有什么不同?
第一二級國家認為是一般資產,三級以上包含重要資產以及關鍵資產,不同級別對應的監管力度也不一樣。第一級自主保護,監管部門不做特殊要求,第二級為指導保護級別,第三級為監督保護級別,四五級系統煤礦企業一般不涉及,此處不做贅述。
06
等級保護工作結果
上報要求?
根據山西省出臺的兩個煤礦企業等級保護規范性文件,小編梳理了煤礦企業等保工作過程中需上報的內容:
|
定級備案 階段 |
定級對象(系統)清單、備案表、 定級報告、專家評審意見書、 主管部門審核意見書、 網絡資產情況、備案證明 |
|
建設整改 階段 |
整改報告 |
|
等級測評 階段 |
|
07
不做等保有什么影響?
等級保護標準體系中一個很重要的標準叫做《信息系統安全等級保護基本要求》,英文叫“Base Line”,這是我們的底線,底線做不到,那就不達標,公安會給你開出整改通知書,強行要求整改;《網絡安全法》的出臺,標志著等級保護已經成為法律制度,不做等保就是違法;在《煤炭企業網絡安全等級保護管理辦法》中也明確提到,省級能源主管部門和公安機關在履行網絡安全等級保護監督管理職責中,發現煤炭企業網絡存在較大安全風險隱患或者發生安全事件的,可以約談煤炭企業的法定代表人、主要負責人。
也就是說,落實等保制度,首先是國家法律法規要求,其次按照等級保護的一整套標準規范,可以提高網絡安全防護水平,再次不落實等保制度,單位及相關負責人都要承擔相應的紀律、法律責任,關乎每個人的切身利益。
