安全建设管理-（一）定级和备案

安全建设管理

等级保护对象建设过包括系统定级和备案、安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付等阶段，每个阶段都涉及多项活动。只有对这些活动实施科学、完善的管理，才能保证系统建设的进度、质量和安全。

安全建设管理对安全建设过程提出了安全控制要求，涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。

以下将以三级等级保护对象为例，描述安全建设管理各个控制要求项的测评内容、测评方法、证据、案例等。

 

控制点

1.定级和备案

确定等级保护对象的安全保护等级是建设符合网络安全等级保护要求的等级保护对象、实施网络安全等级保护的基础。等级保护对象的运营使用单位或其他主管部门，应当在等级保护对象安全保护等级确定后30日内到公安机关办理备案手续。

a)

安全要求（重要）：应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。

要求解读：《等级保护对象安全等级保护定级报告》是全国各类等级保护对象定级报告的通用模板（参见网络安全等级保护网，www.djbh.net）。

测评方法

1.核查定级文档是否明确了系统的安全保护等级。

2.核查定级文档是否给出了定级的方法和理由。

期望结果

有明确描述定级方法、理由和最终定级结果的定级报告书。

b)

安全要求（重要）：应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行讨论和审定。

要求解读：定级结果的准确性需要安全技术专家论证评审。若初步定级结果为第二级、第三级，可组织本行业和网络安全行业专家进行评审；若初步定级结果为四级，则需请国家网络安全等级保护专家评审委员会专家进行评审。

测评方法

1.核查是否已组织相关部门或有关专家对定级结果进行了论证和审定。

2.核查是否有定级结果的评审和论证记录文件。

期望结果

有相关专家对定级结果的论证意见。

c)

安全要求（重要）：应保证定级结果经过相关部门的批准。

要求解读：定级结果需由上级部门或本单位相关部门的批准。

测评方法

1.核查定级结果是否获得了相关主管部门的批准。

2.核查是否有定级结果审批文件。

期望结果

有主管部门或本单位相关部门的审批意见。

d)

安全要求（关键）：应将备案材料报主管部门和相应公安机关备案。

要求解读：有主管部门的，备案材料需报主管部门和相应公安机关备案。没有主管部门的，备案材料需报相应公安机关备案。

测评方法

1.核查备案材料是否已在主管部门和相应公安机关备案。

2.核查是否有备案证明。

期望结果

有主管部门和公安机关的备案证明。