前言
1、《中华人民共和国网络安全法》
2016年11月7日,《中华人民共和国网络安全法》(以下简称“网络安全法”)正式发布,2017年6月1日起施行,其中:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
2、中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
网络安全等级保护是指对国家秘密信息、法人和其他他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的网络系统分等级实行安全保护,对网络系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成5个等级(从第一级到第五级,逐级增高):
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
等级确定后,第二级(含)以上信息系统到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明。
备案单位根据信息系统安全等级,按国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度。
备案单位选择符合国家规定条件的测评机构开展等级测评。
公安机关对第二级信息系统安全防护工作进行指导,对第三、第四级信息系统安全防护工作定期开展监督、检查、指导。
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。
等级保护制度是国家安全保障工作的基本制度,是实现国家对重要网络系统重点保护的重大措施,是维护国家关键信息基础设施的重要手段。
等级保护也是国家网络安全保障工作的基本方法,目标就是维护国家关键信息基础设施安全、维护重要网络设施、重要数据安全。引入了测评技术、风险评估、灾难备份、应急处置等技术,将网络安全保障工作落实到了实处。
等级保护工作主要分为5个环节,分别是定级、备案、建设整改、等级测评和监督检查。定级是首要环节,通过定级,可以梳理各行业、各部门、各单位的网络系统类型、重要程度和数量等,确定网络安全保护的重点。建设整改是关键,通过建设整改使具有不同等级的网络系统达到相应等级的基本保护能力。等级测评工作的主体是第三方测评机构,通过开展等级测评,可以检验和评价安全建设整改工作的成效,判断安全保护能力是否达到相关标准要求。监督检查工作的主体是公安机关等网络安全职能部门,通过开展监督、检查和指导,维护重要网络系统安全和国家安全。
系统定级
运营使用单位按照国家等级保护有关规定及行业主管部门相关文件要求开展定级工作,可以组织专家进行评审。有上级主管部门的,应经上级主管部门审批,原则上跨省或全国统一联网运行的网络系统可以由其主管部门统一确定安全保护等级。最后,经公安机关审核把关,合理确定信息系统安全保护等级。
系统备案
第二级以上的信息系统,由运营使用单位到所在地设区的地市级以上公安机关网络安全保卫部门办理备案手续。公安机关对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。
安全建设整改
网络系统安全保护等级确定后,运营使用单位按照国家有关管理规范和技术标准,制定并落实安全管理制度,建设安全设施,落实安全技术措施。
等级测评
建设整改完成后,运营使用单位选择符合要求的测评机构,对网络系统安全保护状况开展等级测评,按照《信息系统安全等级测评报告模版》编写等级测评报告。
监督检查
公安机关等职能部门监督、检查、指导运营使用单位开展等级保护工作;定期对第三级以上的网络系统进行安全检查。
总之,各网络运营单位要按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查;严格审查系统所定级别,严格检查系统开展备案、整改、测评等工作情况。对故意将安全级别定低,逃避公安、保密、密码部门监管,造成发生重大网络安全案事件的,要依法追究相关单位和人员的责任。
随着大数据、云计算、物联网的飞速发展,使得网络保护对象、保护内容较之数年前变得更加多样复杂,在不久的将来,尤其是《网络安全法》颁布实施后,相关部门会出台新的等级保护法规、政策以及一系列标准,党委政府综治考核等重要工作也将纳入到等级保护制度的实施中去,大型互联网企业以及云计算、大数据等等也会有完善细化的保护标准,而等级保护也将由最初的用户单一被动防护为主,演变到主动防御、与公安机关的协同防御等阶段。
关于我们:
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
关注镌远科技,关注网络安全!
河北分公司:河北镌远网络科技有限公司
地址:河北省邯郸市丛台区中华北大街193号慧谷大厦14层
总公司:北京冠程科技有限公司
地址:北京市昌平区科技园区东区产业基地企业墅上区一号楼九单元四层
实训基地:河北省石家庄市电子信息学校冠程科技研究与实训中心
欢迎扫描关注我们,及时了解更多关于网络安全相关知识