近日,不少企业收到工信部群发的短信,告知“凡是取得增值电信许可证的企业,需要做网站定级备案”,并提到“不提交会影响核查年报”,并留了相关网址。新洲企服第一时间与相关机构咨询,了解了此次定级备案的工作要点。
一、安全等级划分及定级方法
安全等级 |
描述 |
第1级 |
定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。 |
网络和业务运营商依据国家和通信行业有关标准进行保护。 |
第2级 |
定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。 |
网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。 |
第3级 |
第3.1级 |
定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。 |
网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。 |
第3.2级 |
定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。 |
网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。 |
第4级 |
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。 |
网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。 |
第5级 |
定级对象受到破坏后,会对国家安全造成特别严重损害。 |
网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。 |
如上表所示,安全级别为1-5个级别,级别越高定级对象受到破坏后,对国家安全或者对社会秩序、经济运行和公共利益,或者对网络和业务运营商合法权益造成的损害程度越大;那么为了避免造成不良影响,主管部门对其监督检查力度越强。定级对象的社会影响力、规模和服务范围、所提供服务的重要性决定了其等级,且决定因素相对独立。
社会影响力主要是指:定级对象受到破坏后对国家安全、会秩序、经济运行、公共利益的损害程度。
社会影响力定义 |
赋值 |
定级对象受到破坏后不损害国家安全、社会秩序、经济运行和公共利益 |
1 |
定级对象受到破坏后不损害国家安全,对社会秩序、经济运行和公共利益造成轻微损害 |
2 |
定级对象受到破坏后对国家安全造成较大损害,或者对社会秩序、经济运行和公共利益造成较为严重的损害 |
3 |
定级对象受到破坏后对国家安全造成严重损害,或者对社会秩序、经济运行和公共利益造成特别严重损害 |
4 |
定级对象受到破坏后对国家安全造成特别严重损害 |
5 |
规模和服务范围是指:定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小 。
规模和服务范围定义 |
赋值 |
定级对象被破坏后对较少的用户造成影响、或者对较小的地区造成影响 |
1 |
定级对象被破坏后对较多的用户造成影响、或者对较大的地区造成影响 |
2 |
定级对象被破坏后对很多的用户造成影响、或者对很大的地区造成影响 |
3 |
定级对象被破坏后对非常多的用户造成影响、或者对非常大的地区造成影响 |
4 |
定级对象被破坏后对特别多的用户造成影响、或者对特别大的地区造成影响 |
5 |
所提供服务的重要性是指:定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小 。
规模和服务范围定义 |
赋值 |
定级对象被破坏后对较少的用户造成影响、或者对较小的地区造成影响 |
1 |
定级对象被破坏后对较多的用户造成影响、或者对较大的地区造成影响 |
2 |
定级对象被破坏后对很多的用户造成影响、或者对很大的地区造成影响 |
3 |
定级对象被破坏后对非常多的用户造成影响、或者对非常大的地区造成影响 |
4 |
定级对象被破坏后对特别多的用户造成影响、或者对特别大的地区造成影响 |
5 |
官方给出的定级公式方法如下:
具体的赋值,请参考《电信网和互联网网络安全防护定级备案实施指南》。
以短消息网X为例
假定α=β=γ=1/3
定级要素赋值
社会影响力2
规模和服务范围2
所提供服务的重要性2
安全等级是第2级
以固定通信网中的本地网Y为例
假定α=0.4,β=γ=0.3
定级要素赋值
社会影响力3
规模和服务范围2
所提供服务的重要性3
安全等级是3.1 级
二、安全等级确定阶段主要工作
1,识别电信网和互联网的基本信息、技术信息、管理信息。
2, 划分和确定定级对象,详细描述定级对象
网络/系统类型 |
子网络/子系统类型 |
1,划分的定级对象 |
A类定级对象 |
B类定级对象 |
互联网 |
- |
业务及应用系统 |
- |
增值业务网- 消息网 |
- |
短消息网 |
- |
多媒体消息网 |
- |
消息网相关的信息服务单位系统 |
- |
增值业务网- 智能网 |
- |
本地智能网 |
- |
省内智能网 |
- |
全国智能网 |
- |
非核心生产单元 |
企业办公系统 |
省公司办公系统 |
- |
集团公司办公系统 |
- |
客服呼叫中心 |
地市客服呼叫中心 |
|
省客服呼叫中心 |
- |
集团客服呼叫中心 |
- |
企业门户网站 |
省公司门户网站 |
- |
集团公司门户网站 |
- |
3, 初步确定定级对象的安全等级,形成定级报告,定级结果评审和备案。若定级对象包含两个或两个以上的安全等级,需针对每一个安全等级分别形成定级报告
三、定级报告格式说明
(一)定级对象命名规则
根据划分的颗粒度,定级对象命名规则是:
1、划分到A类型定级对象:
[运营企业简称][网络类型][地域范围][A类型定级对象名称]
例如:
中国电信 移动通信网 某省 省内校园网:定级报告名称为《中国电信移动网通信网某省省内校园网定级报告》
2、划分到B类型定级对象:
[运营企业简称][网络类型][地域范围][A类型定级对象名称]
[B类型定级对象名称]
例如:
IP承载网 某省某市 IP城域网 汇聚层:
定级报告名称为《中国电信IP承载网某省某市IP城域网汇聚层定级报告》
3、若B类型定级对象仍需进一步划分为N个不同安全等级的定级对象,则:
[运营企业简称][网络类型][地域范围][A类型定级对象名称]
[B类型定级对象名称][(第m部分)]其中,1≤m≤ N。
例如:
中国移动 移动通信网电路域 某省某市 本地网 核心交换网 (第一部分):定级报告名称为《中国移动移动通信网电路域某省某市本地网核心交换网(第一部分)定级报告》
4、对于对于各类型非核心生产单元:
[运营企业简称][所属公司][系统类型]
例如:
新洲基业 北京 官网系统,定级报告的名称为《新洲基业北京官网系统定级报告》
(二)定级备案报告的模板
官方给出的定级备案模板如下:
四、部分定级对象建议安全等级
网络/系统类型 |
子网络/子系统类型 |
划分的定级对象 |
建议安全等级 |
非核心生产单元 |
企业办公系统 |
省公司办公系统 |
1级、 2级 |
集团公司办公系统 |
2级 |
客服呼叫中心 |
地市客服呼叫中心 |
1级、2级 |
省客服呼叫中心 |
1级、2级 |
集团客服呼叫中心 |
1级、2级 |
企业门户网站 |
省公司门户网站 |
2级 |
集团公司门户网站 |
2级 |
互联网 |
|
业务及应用系统 |
1级、2级、3.1级 |
电信网和互联网相关系统 |
业务运营支撑系统 |
地市业务运营支撑系统 |
1级、2级、3.1级 |
省业务运营支撑系统 |
2级、3.1级 |
全国业务运营支撑系统 |
2级、3.1级、3.2级 |
地市网管系统 |
1级、2级、3.1级 |
省网管系统 |
2级、3.1级、3.2级 |
全国网管系统 |
2级、3.1级、3.2级 |
根据工信部年报中提到的,除了定级报告以外,一并提供的还有符合性测试表(定级系统可以下载表格)、三同步报告、风险评估报告、整改报告。其中公司有移动应用且评级在二级以上的企业,必须由第三方测试机构提供《风险评估报告》(测评机构需有通信网络安全委员会颁发的风险评估服务资质)。
综上所述,此次工信部的定级备案工作是专业性很强的、覆盖面很全的普查性备案,从挂钩年报通过这一层来看是非常重视此次工作的。企业如果在整个环节过程中不认真填写或不按要求提供对应的报告会被退回(备案未通过)。由于定级备案工作中很多环节要求填写人员的专业度很高,仅由往年负责年报的人员填写难度较大。如果企业在填写中还有任何问题,欢迎加我微信咨询交流:naitang_2019或打我们公司400电话4000200296,会有专业人员为您解答问题。
本文由新洲基业独家深度解析,转载请写明出处并保留联系方式,一经发现,必定追究。
