等级保护三级相关要求

2020等级保护三级相关要求汇报人：时代新威等级保护组1324网络安全相关监管要求文件《公安机关互联网安全监督检查规定》(公安部第151号令)《网络安全法》医疗行业网络安全相关监管要求文件第一部分网络安全相关监管要求文件1.《中华人民共和国网络安全法》2017年6月2.《公安机关互联网安全监督检查规定》(公安部第151号令【2018】)3.《网络安全等级保护条例》（征求意见）公安部2018年6月4.《信息安全等级保护管理办法》（公通字【2007】43号）5.《个人信息和重要数据出境安全评估办法（征求意见稿）》

2017年4月，国家互联网信息办公室6.《数据安全管理办法（征求意见稿）》2019年5月国家互联网信息办公室7.《关键信息基础设施安全保护条例（征求意见稿）》

2017年7月国家互联网信息办公室8.《计算机信息系统安全保护条例》（国务院令第147号）9.《计算机软件保护条例》（国务院令【2013】第632号）《网络安全法》《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。《公安机关互联网安全监督检查规定》(公安部第151号令)第八条互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的，可以由其经常居住地公安机关实施。第十条公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督检查：（七）是否履行法律、行政法规规定的网络安全等级保护义务。第十三条公安机关开展互联网安全监督检查，可以采取现场监督检查或者远程检测的方式进行。1.卫办发〔2011〕85号《卫生行业信息安全等级保护工作的指导意见》的通知2.卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》的通知3.由国家卫生健康委员会、国家中医药管理局于2018年7月17日印发《互联网医院管理办法（试行）》4.国卫规划发〔2014〕24号《人口健康信息管理办法（试行）》的通知5.2016年卫健委发《2016三级综合医院评审标准考评办法(完整版)》6.国卫规划发〔2018〕23号《国家健康医疗大数据标准、安全和服务管理办法（试行）》的通知医疗行业网络安全相关监管要求文件5768《卫生行业信息安全等级保护工作的指导意见》等保工作实施流程及内容卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》的通知信息系统定级、备案材料第二部分《卫生行业信息安全等级保护工作的指导意见》国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级：

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

（3）三级甲等医院的核心业务信息系统；

（4）卫生部网站系统；

（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。《卫生行业信息安全等级保护工作的指导意见》《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》

卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》的通知二、相关要求

(一)卫生行业各单位要按照“遵循标准、重点保护，行业指导、属地管理，同步建设、动态完善”的原则，建立信息安全等级保护工作长效机制。(二)各省级卫生行政部门要督促本地区卫生行业各单位按照《指导意见》要求，开展信息安全等级保护工作。(三)各省级卫生行政部门等级保护工作联络员发生变化时，应当及时向我部报告。(四)各省级卫生行政部门要及时向我部报告工作进展情况，并于每年第四季度报送本地区信息安全等级保护工作总结。等保工作实施流程及内容（以下朝阳区为例，总体时间2-3个月）1.备案表2.定级报告3.专家汇报PPT4.专家评审意见（签字版本和专家资质）5.《网络与信息安全承诺书》6.《网络安全等级保护应急联系登记表》7.工商营业执照8.法人代表身份证9.前来交表同志身份证复印件、身份证原件10.法人授权委托书11.公司、个人房产证、租房合同复印件并加盖公章或由物业部门开具的房屋租赁或入驻证明原件12.系统拓扑图，系统使用网络IP地址13.系统服务器所在地说明，如租赁云端服务器需提供托管协议，及提供商等级保护备案证明复印件信息系统定级、备案材料9定级材料信息系统备案信息系统备案信息系统备案第三部分121110定级材料信息系统备案信息系统备案信息系统备案北京地区做等级保护有推荐的机构吗？北京大概有一百多家机构，其中大部分都是代理商，只有37家是网络安全等级保护测评机构推荐的，找测评机构的时候一定要檫亮眼睛了，第三方都是代理公司，外包的。在北京做等保，个人还是比较推荐时代新威，他们是等级保护测评测评机构推荐的，而且资质也还不错，喜欢的小伙伴可以去了解一下。信息系统备案1、线上资料审核通过后，备案单位准备好所有公安要求的纸质材料，待公安通知日期携带纸质资料去相关区公安分局网安大队进行递交材料。2、

公安机关现场对备案材料进行审核，材料符合要求的当日颁发由公安部统一监制的备案证明。3、备案单位领取到备案后电子版图片发给测评机构，测评机构在公安系统办理入场测评登记。通用要求分为管理和技术

通用要求-管理部分

《信息安全技术网络安全等级保护基本要求GBT22239-2019》《信息安全技术网络安全等级保护测评要求GBT28448-2019》《信息安全技术网络安全等级保护测评过程指南GB∕T28449-2018》《信息安全技术网络安全等级保护测试评估技术指南GB/T36627-2018》《信息技术信息安全技术信息安全管理体系要求ISO27001-2013》《计算机信息系统安全等级划分准则GB17859-1999》《信息安全技术信息系统安全管理要求GB/T20269-2006》《信息安全技术网络基础安全技术要求GB/T20270-2006》《信息安全技术信息系统通用安全技术要求GB/T20271-2006》《信息安全技术