为规范全省网络安全等级保护工作,现就部分单位在工作中存在的问题进行如下说明:
一、备案主体不当问题。根据《信息安全等级保护管理办法》(公通字〔2017〕43号)第五条规定,履行信息安全等级保护义务的单位应当为信息系统的运营、使用单位。信息系统的研发方、销售方、运维方以及安全产品、网络设备等软硬件产品的提供方等均不得作为网络安全等级保护备案主体。
二、无测评资质的集成方对测评项目进行分包、转包等问题。根据《网络安全法》《信息安全等级保护管理办法》及《网络安全等级保护测评机构管理办法》规定,网络运营者应当选择符合规定条件的测评机构,定期对网络的安全保护状况开展等级测评工作,无测评资质的单位、企业等一律不得承接分包、转包、代理测评项目。
三、测评机构协助开展等保备案问题。测评机构作为具备网络安全等级保护测评资质的专业机构,可以为备案单位开展网络安全等级保护提供技术支撑,但不得替代备案单位履行备案义务。各单位也不能将是否协助取得备案证明作为衡量测评机构技术实力的标准。
领取专属 10元无门槛券
私享最新 技术干货