工信部定级备案 与 公安部等保备案 的区别?

目前国内的2B IT信息系统的市场,对于安全认证的需求越来越大,因此对于目前主流的两个安全备案机制进行整理,方便大家准确理解客户的需求。

  • 目前党政机关提出的安全备案的需求,一般指的是公安部等保备案。

  • 互联网厂家、运营商等场景可能会涉及到工信部定级备案

两个安全备案:

  • 工信部定级备案

  • 公安部等保备案(网络安全等级保护测试与评估)

一、工信部定级备案

根据《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》工信厅网安函(2018)216号第三条第(一)项要求:定级备案,各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”(https://mii-aqfh.cn)对本单位所有正式上线运行的网络和系统进行定级备案。

定级备案.jpg

二、公安部等保备案

“等保”,即信息安全等级保护,是我国网络安全领域的基本国策、基本制度。等保是一个全方位系统安全性标准,不仅仅是程序安全,包括:物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。目前实施的等保2.0标准,于2019年12月1日正式实施。

等保备案是在各地网安分局,没有线上申报平台,需要递交纸质材料。

等保分五个级别,越高安全性越好,常见的业务可能会落在二~三级左右。

  • 【等保一级】等保一级为“用户自主保护级”,是等保中最低的级别,该级别无需测评,提交相关申请资料,公安部门审核通过即可。

  • 【等保二级】等保二级为“系统审计保护级”,是目前使用最多的等保方案,所有“信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。”范围内网站均可适用,可支持到地级市各机关、事业单位及各类企业的系统应用,比如:网上各类服务的平台(尤其是涉及到个人信息认证的平台),市级地方机关、政府网站等等。

  • 【等保三级】等保三级等为“安全标记保护级”,级别更高,支持“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。”范围,适用于“地级市以上的国家机关、企业、事业单位的内部重要信息系统”,比如省级政府官网、银行官网等等。

  • 【等保四级】等保四级等保适用于国家重要领域、涉及国家安全、国计民生的核心系统,比如中国人民银行就是目前唯一四级等保的中国央行门户集群。

  • 【等保五级】等保五级等保是目前我国最高级别,一般应用于国家的机密部门。

等保包括五个阶段:1、定级、2、备案、3、建设整改、4、等级测评、5、监督检查。定级对象(即需要过等保的对象)建设整改后,需要选择符合国家要求的测评机构,按《网络安全等级保护基本要求》等技术标准进行等级测评,之后向监管单位提交测评报告。

总体而言,公安部等保需要外部测评机构的参与,整体的严格程度也是大于工信部的定级备案的。