负责依照国家网络安全等级保护的管理规范和技术标准,确定其等级保护对象的安全保护等级,有主管部门的,应报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家网络安全等级保护管理规范和技术标准,进行等级保护对象安全保护的规划设计;使用符合国家有关规定,满足等级保护对象安全保护等级衙求的信息技术产品和网络安全产品,开展安全建设或者改建工作;制定、落实各项安全管理制度,定期对等级保护对象的安全状况 、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级网络安全事件的响应、处盟预案,对网络安全事件分等级进行应急处盟。
在安全运行与维护阶段,等级保护对象因需求变化等原因导致局部悯整,而其安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;当等级保护对象发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进入等级保护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程 。等级保护对象在运行与维护过程中,发生安全事件时可能会发生应急响应与保障 。
GB∕T 25058-2019 信息安全技术 网络安全等级保护实施指南
等级保护对象定级阶段的目标是运营、使用单位按照国家有关管理规范和定级标准,确定等级保护对象及其安全保护等级,并经过专家评审。运营、使用单位有主管部门的,应经主管部门审核、批准,并报公安机关备案审查。为了突出重点保护的等级保护原则,运营、使用单位应对大型等级保护对象进行划分,划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素 ,运营 、使用单位应根据本单位的具体情况确定等级保护对象的分解原则。
依据选择的等级保护对象划分原则,参考行业/领域定级指导意见(若有行业/领域定级指导意见),运营、使用单位应将大型等级保护对象进行划分,划分出相对独立的对象作为定级对象,应保证每个相对独立的对象具备定级对象的基本特征。在等级保护对象划分的过程中,应首先考虑组织管理的要索,然后考虑业务类型、物理区域等要素。承载比较单一的业务应用或者承载相对独立的业务应用的对象应作为单独的定级对象
来源:计算机与网络安全
