最近,公司收到通信管理局网络安全威胁通报,要求我们开展通信网络定级备案、符合性评测和安全风险评估。之前公司做过了公安部要求的信息等级保护备案,那么这次要做的和上次的等级保护备案有什么区别呢?
首先从大的方面来说,等级保护备案是属于公安部管理的范围,工信部的定级备案是通信管理据要求做的事情。两个是不同部门的要求。
一张图快速了解等级保护备案和工信部定级备案区别:
1、文件规范不同
等保备案主要依据的是《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护设计技术要求》(GB/T25070-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)
工信部定级备案参考依据是《通信网络安全防护管理办法》(工业和信息化部令第11号)、《电信网和互联网安全等级保护实施指南》(YD/T 1729-2008)、《电信网和互联网网络安全防护定级备案实施指南》(YD/T 3799-2020)
2、保护对象不同
等保主要保护的对象是由计算机或其他终端及相关设备组成的系统,包括基础信息网络、云计算平台、大数据平台、物联网、工业控制、移动互联系统等。
而工信部定级备案保护的对象是网络和业务运营商的传输、承载各类电信业务的公众电信网(含公众互联网)及其组成部分,支撑和管理公众电信网及电信业务的业务单元和控制单元。
3、备案机关不同
等保备案由当地公安网安主管,工信部定级备案由电信管理机构主管,为各省通信管理局。
4、工作内容不同
等保备案主要是等级保护测评工作,而工信部定级备案需登录工信部网络安全防护管理系统填写相关内容并上传定级备案报告、三同步报告、符合性评测报告、风险评估及整改报告。
那么这次通信管理局给我们发的XX市通信管理局网络安全威胁通保具体是什么,要求我们做的到底做什么?
了解之后,大概就是需要我们去通信管理局的网站上填写我们系统的相关信息,主要是需要做三份报告和证明文件,主要是:
- 通信网络定级报告=》然后去网站提交等级备案。
- 符合性评测报告及证明文件=》去网站提交备案。
- 安全风险评估报告及证明文件=》去网站提交备案。
工信部定级备案的相关知识如下:
- 工信部定级备案适用主体:电信业务经营者,根据我们与监管部门沟通的情况,主要针对持牌企业,具体以年报时接到通知的企业为主,未接到通知的企业,无法获得备案系统账号,暂不用备案。
- 工信部定级备案适用客体:通信网络单元,主要是业务应用系统。
- 工信部定级备案定级标准:《互联网安全防护要求》、《互联网安全防护检测要求》等。
- 工信部定级备案等级要求:五级的全部强制备案。三级以上每年测评、每年评估。
- 工信部定级备案测评项目:分为安全等级保护、安全风险评估、灾难备份及恢复三大项检测。
- 工信部定级备案备案机构:发牌机构(外资及跨区为部,内资为各管局),根据我们与监管部门沟通的情况,被通知单位通过“通信网络安全防护管理系统”线上填报申请。
工信部不定级备案的法律后果:
(1)年报不通过;
(2)将予以整改、警告、罚款;
(3)网格运行单位要对检查发现的薄弱环节和安全风险进行深入整改,对相关责任部门和责任人进行问责处理。
工信部定级备案政策依据:
(1)《通信网络安全防护管理办法》
(2)《工业和信息化部办公厅关于开展XX年电信和互联网行业网络安全检查工作的通知》
(3)XX年年报通知要求等。
综上所述,工信部的定级备案工作是专业性很强的、覆盖面很全的普查性备案。企业如果在整个环节过程中不认真填写或不按要求提供对应的报告会被退回(备案未通过)。由于定级备案工作中很多环节要求填写人员的专业度很高,仅由往年负责年报的人员填写难度较大。如果企业在填写中遇到任何问题,欢迎咨询心周,会有专业人员为您解答问题。
