工信部年报中要求企业必须做的的“定级备案”“三同步情况报告”“风险评估报告”分别指的是什么?
近日,如果已经开始做“增值电信业务许可证”年检的企业,应该会发现年报系统的“网络信息安全”分项的《网络信息安全表》的第9项网络安全工作落实情况下有如下要求,如下文:
原文:请登录工信部网络安全防护管理系统(https://zzqy.mii-aqfh.cn/cnspmsv.web/),根据要求填写以下有关内容:1、企业网络和业务系统定级备案、三同步要求落实情况,需提供定级备案报告、三同步落实情况报告。2、企业自主开展或委托第三方专业机构开展网络安全防护符合性评测、风险评估的情况,需提供符合性评测及风险评估报告、整改报告等。3、利用移动应用开展公众服务的企业需提供由第三方专业机构开展移动应用安全的情况,并附评估报告。填写说明:1、自2019年起,企业需在部“通信网络安全防护管理系统”中填报定级备案报告、三同步情况报告。2、企业定级备案后的系统均需做符合性评测和风险评估,其中安全等级为二级的系统,每两年做一次符合性评测和风险评估,安全等级为三级的系统,每年做一次符合性评测和风险评估。3、以上评测和评估均可自行开展评估或委托第三方。
那么究竟上述要求中提到的定级备案、三同步落实情况报告以及相应的符合性评测、风险评估报告都是什么?都在哪里办理和测试呢?下面由我来给大家做详细说明。
什么是三同步?
根据《中华人民共和国网络安全法》、工信部11号令《通信网络安全防护管理办法》, 保障在新建、改建、扩建通信网络工程时, 应实施网络安全配套设施与主体工程的同步规划、同步建设、同步验收等安全工作, 提出网络安全三同步管理。主要包括适用的网络范围、遵循的法律法规、行业规范和企业规范、涉及的责任部门分工及各管控阶段实施内容。
三同步适用的范围:
适用新建、改建、扩建及相关技术改造通信网络、业务平台、系统。覆盖的专业项目类型包括核心网、数据网、传输网、有线接入网、无线接入网、业务网、业务运营支撑系统、其它自用或合作运营类系统。也就是我们持“增值电信业务许可证”的企业都是适用范围。
三同步报告应该包括哪些内容?
根据工信部已颁布的定级网络单元安全系列防护标准, 包括《电信网和互联网安全防护管理指南》、《电信网和互联网安全等级保护实施指南》、《电信网和互联网安全风险评估实施指南》、《电信网和互联网灾难备份及恢复实施指南》及已发布的56个专业网的安全防护要求、检测要求、基线配置要求,三同步报告至少应该包括管理职责分工和管理内容两个部分内容。
管理职责分工应按照部门,将工程规划、工程建设、落实项目中需投资解决的隐患问题的资金、安全职能管理、后期维护、验收等工作按照部门分工。
管理内容应该包括:规划阶段、立项阶段、上线风险评估阶段、安全验收阶段,并落实具体的流程环节。
什么是工信部定级备案?
根据《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》工信厅网安函〔2018〕261号第三条第(一)项要求:定级备案,各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”(https://zzqy.mii-aqfh.cn/cnspmsv.web/)对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。
工信部定级备案具体要求?
适用主体:所有参与年检的增值电信业务持证企业(含全网、地网)
定级标准:《互联网安全防护要求》、《互联网安全防护检测要求》
备案机构:发牌机构(全网资质为工信部、地网资质为省通信管理局)
测评项目:分为安全等级保护、安全风险评估、灾难备份及恢复三大项检测
测评机构:有中国通信企业协会通信网络安全委员会颁发“通信网络安全服务能力评定”
法律后果:不做将有年报不通过、进入工信部灰名单、责令企业整改的风险。
按照规定,审核内容应查验项目文件完整性, 包括项目建议书、风险评估报告、整改报告、验收结论、网络基础设施备案表、WEB设施备案表、网络单元定级备案情况。如果企业定级为二级以上,且有移动应用的企业需要第三方提供的报告,如果是一级,可以上传自测报告。
公安部与各大部委牵头的信息安全等级保护是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
那么,工信部的定级备案与公安部的等保备案有什么不同呢?
适用主体不同:
定级备案对象是指持有“增值电信业务许可证”的企业,等保对象涵盖了电子政务、金融业(含借贷行业)、征信、电力、广电、海关、交通、教育、税务、卫生、烟草、档案、国土、智慧城市建设、网约车、铁路等几乎所有涉网企业。
测评项目不同:
等保测试项目分为技术措施和管理制度两大检测项,不同等级测评项目几百项不等。
备案机构不同
等保备案是在各地网安分局,且没有线上申报平台,需要递交纸质材料。
测试机构不同
定级备案和等保备案的测试机构是不同的主管单位推荐的。等保是国家网络安全等级保护工作协调小组办公室。
当然,如果觉得很麻烦也可选择新洲咨询这样的代理机构,全程为企业进行协助办理。企业只需要配合提供相关资料配合测试整改即可。
