『壹』 網路安全等級保護制度
關於網路安全等級的保護制度是:規范計算機系統安全建設和使用的標准以及管理辦法。安全工作的整個流程分為五個環節,包括定級、備案、建設整改、等級測評、監督檢查,網路安全等級保護制度是國家網路安全的基本制度、基本國策網路安全等級保護是黨中央、國務院決定在網路安全領域實施的基本國策。
法律依據
《中華人民共和國網路安全法》 第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
『貳』 【2019年整理】等級保護標准體系簡介
網路安全保護等級定義:
網路安全等級保護是指國家通過制定統一的安全等級保護管理規范和技術標准,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。網路安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高網路安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。
實行網路安全等級保護制度,能夠充分調動國家、公民、法人和其他組織的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國網路安全的發展將起到重要推動作用。
二、網路安全保護等級劃分
信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為五級,從第一級到第五級逐級增高。
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
三、網路安全等級定級流程
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
『叄』 網路安全預警分為幾級
網路安全預警分為幾級如下 :
網路安全事件分為四級:特別重大網路安全事件、重大網路安全事件、較大網路安宏知汪全事件、一般網路安全事件。
中華人民共和國人民警察法》第六條第十二款規定,人民警察履行「監督管理計算機信息系統的安全保護工作」的職責。
1994年《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)第九條明確規定,「計算機信息系統實行安全等級保護,安全等級的劃分標准和安全等級保護的具體辦法,由公安部會同有猛游關部門制定」。
2008年國務院「三定」方案,賦予公安部「監督、檢查、指導信息安全等級保護工作」法定職責
『肆』 網路安全等級保護2.0國家標准
等級保護2.0標准體系主要標准如下:1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保攜慎護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
第一級(自主保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但辯嫌敬不損害國家安全、社會秩序和公共利益;
第二級(指導保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
第三級(監督保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
第四級(強制保護級),等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
第五級(專控保護級),等級保護對象受到破壞後,會對國家安全造成特別嚴重損害
相較於1.0版本,2.0在內容上到底有哪些變化呢?
1.0定級的對象是信息系統,2.0標準的定級的對象擴展至:基礎信息網路、雲計算平台、物聯網、工業控制系統、使用移動互聯技術的網路以及大數據平台等多個系統,覆蓋面更廣。
再者,在系統遭到破壞後,對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。
最後,等保2.0標准不再強調自主定級,而是強調合理定級,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,定級更加嚴格。
總結通過建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。 法律依據:《中華人民共和國網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實者賣網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
『伍』 網路安全等級保護2.0標准正式實施的時間是
2019年12月1日網路安全等級保護2.0國家標準的正式實施,標志著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標准體系的核心標准之一的GB/T 22240-2020《信息安全技術 網路安全等級保護定級指南》(以下簡稱「定級指南」)於2020年4月28日發布,2020年11月1日正式實施。
定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程,通過指導網路運營者合理劃分定級對象和准確的確定安全保護等級,為後續的安全建設整改、等級測評等工作奠定了良好的基礎。
01 等級保護對象擴大了
等保保護定級對象主要包括:信息系統、通信網路設施和數據資源等
信息系統就是我們在1.0時候的定級對象,指的是各類信息系統;
通信網路設施指的是為信息流通、網路運行等起基礎支撐作用的網路設備設施,主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等;
數據資源指的是具有或預期具有價值的數據集合,數據資源主要是擁有大量各類有價值的數據,那麼這些單位需要保護好這些數據資源,自然需要對該數據資源進行定級,我們可以想像的這類數據有:人社數據、醫保數據、公積金數據、個人財產數據(銀行、房產、保險等)等信息。
需要注意的是:
當安全責任主體相同時,大數據、大數據平台/系統宜作為一個整體對象定級;
當安全責任主體不同時,大數據應獨立定級;涉及到大量公民個人信息以及為公民提供公共服務的大數據平台/系統,原則上其安全保護等級不低於三級;
不是所有的這類數據都需要獨立去定級,日常中主要存在數據進行集中化後的場景,例如一些地方的大數據局或者政務中心將各行業的一些數據要過來後進行相關應用或使用時應當對這些數據進行獨立定級。
02 定級要素與安全保護等級新關系
當公民、法人和其他組織的合法權益造成特別嚴重損害時依然定為二級。
根據2.0的定級指南中定級要數與安全保護等級的關系表我們發現當公民、法人和其他組織的合法權益造成特別嚴重損害時依然為二級,這塊在徵求意見稿中是第三級。
定級要素與安全保護等級的關系如下:
03 受侵害的客體表現形式有哪些
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.
侵害國家安全的事項包括以下方面:
1.影響國家政權穩固和領土主權、海洋權益完整;
2.影響國家統一、民族團結和社會穩定;
3.影響國家社會主義市場經濟秩序和文化實力;
4.其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面:
1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;
2.影響人民群眾的生活秩序;
3.其他影響社會秩序的事項。
侵害公共利益的事項包括以下方面:
1.影響社會成員使用公共設施;
2.影響社會成員獲取公開數據資源;
3.影響社會成員接受公共服務等方面;
4.其他影響公共利益的事項。
業務信息安全和系統服務安全受到破壞後,可能產生以下侵害後果:
1.影響行使工作職能;
2.導致業務能力下降;
3.引起法律糾紛;
4.導致財產損失;
5.造成社會不良影響;
6.對其他組織和個人造成損失;
7.其他影響。
侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。
確定受侵害的客體時.首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益.最後判斷是否侵害公民,法人和其他組織的合法權益。
04 定級新流程
對於新建網路、運營者應當依照等級保護相關法律法規要求和本標准,在規劃設計階段確定其安全保護等級;對於跨省或者全國統一聯網運行的網路可以由行業主管(監管)部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象,其運營者應當依據標准要求分別進行專家評審、主管部門核准和公安機關備案審核,最終確定其安全保護等級。
定級中的一般工作流程:
專家評審:定級對象的運營、使用單位應組織信息安全專家和業務專家等,對初步定級結果的合理性進行評審,並出具專家評審意見 。
主管部門審批:定級對象的運營、使用單位應將初步定級結果報請行業主管(監管)部門核准,並出具核准意見。
公安機關審核:定級對象的運營、使用單位應按照相關管理規定,將初步定級結果提交公安機關進行備案審查,審查不通過,其運營使用單位應組織重新定級;審查通過後最終確定定級對象的安全保護等級。
企業合規通過等保2.0,完成備案審核後還需通過整改建設、等級評測的工作流程。
網堤安全一站式等保合規解決方案
等級保護的各個階段有著不同的工作重點,網堤安全憑借著深厚的技術實力和豐富的安全服務項目經驗,針對等級保護各個階段同時可提供專業的等保咨詢服務、安全防護產品、安全技術服務和安全運營服務。為各行業、各種場景的安全等級保護建設、提供全流程的保駕護航。
法律依據:
《網路安全法》第二十一條規定:
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或未經授權的訪問,防止網路數據泄漏或者被竊取、篡改。
『陸』 網路安全等級保護制度中等級檢驗定價決定權在誰手裡
等保制度是網路安全從業者開展網路安全工作的重要指導體系和制度。網路安全等級保護制度2.0(以下簡稱「等保2.0」)配合著多項已經生效和/或正在制定的法律法規及國家標准實施,智慧安全港建議各企業重視相關內容的學習,加強信息保護合規系統建設,以便為即將可能開展的執法工作做好准備,本文對等保2.0的重要內容作出了梳理。
為適應新技術的發展,由公安部牽頭組織開展了信息技術新領域等級保護重點標准申報國家標準的工作,等級保護正式進入2.0時代。
一、發布主體
國家市場監督管理總局、國家標准化管理委員會
二、相關標准
《信息安全技術 網路安全等級保護基本要求》、《信息安全技術 網路安全等級保護測評要求》告簡、《信息安全技術網路安全等級保護安全設計技術要求》
三、重要日期
等保2.0相關國家標准於2019年5月10日正式發布。2019年12月1日開始實施。
四、歷史沿革
2017年,《網路安全法》首次提出「網路安全等級保護制度」的概念,並明確相關具體要求。2018年,《網路安全等級保護條例(徵求意見稿)》(以下簡稱「《等級保護條例》」)提出「國家實行網路安全等級保護制度,對網路實施分等級保護、分等級監管」。
五、重點內容
1
《等級保護條例》
關鍵內容:條例適用范圍
在中華人民共和國境內建設、運營、維護、使用網路,開展網路安全等級保護工作以及監督管理,適用《等級保護條例》,個人及家庭自建自用的網路除外。
關鍵內容:網路安全等級保護制度由哪個部門負責/領導?
關鍵內容:網路安全等級分為哪幾級?
關鍵內容:作為網路運營者,(程序上)企業應該怎麼做?
S1【網路定級】:在規劃設計階段確定網路的安全保護等級。當網路功能、服務范圍、服務對象和處理的數據等發生重大變化時,應當依法變更網路的安全保護等級。
S2【定級評審】:對擬定為第二級以上的網路,其運營者應當組織專家評審;有行業主管部門的,應當在評審後報請主管部門核准。跨省或者全國統一聯網運行的網路由行業主管部門統一擬定安全保護等級,統一組織定級評審。行業主管部門可以依據國家標准規范,結合本行業網路特點制定行業網路安全等級保護定級指導意見。
S3【定級備案】:第二級以上網路運營者應當在網路的安全保護等級確定後10個工作日內,到縣級以上公安機關備案。因網路撤銷或變更調整安全保護等級的,應當在10個工作日內向原受理備案公安機關辦理備案撤銷或變更手續。
S4【備案審核】:公安機關應當對網路運營者提交的孝巧備案材料進行審核。對定級准確、備案材料符合要求的,應在10個工作日內出具網路安全等級保護備案證明。
S5【上線檢測】:新建的第二級網路上線運行前應當按照網路安全等級保護有關標准規范,對網路的安全性進行測試。新建的第三級以上網路上線運行前應當委託網路安全等級測評機構按照網路安全等級保護有關標准規范進行等級測評,通過等級測評後方可投入運行。
S6【等級測評】:第三級以上網路的運營者應當每年開展一次網路安全等級測評,發現並整改安全風險隱患,並每年將開展網路安全等級測評的工作情況及測評結果向備案的公安機關報告襪慎褲。
S7【安全整改】:網路運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。
S8【自查工作】:網路運營者應當每年對本單位落實網路安全等級保護制度情況和網路安全狀況至少開展一次自查,發現安全風險隱患及時整改,並向備案的公安機關報告。
2
《信息安全技術 網路安全等級保護基本要求》
關鍵內容:不同安全保護等級的等級保護對象應具備的基本安全保護能力
關鍵內容:安全要求的分類
3
《信息安全技術 網路安全等級保護測評要求》
關鍵內容:測評方法
4
《信息安全技術網路安全等級保護安全設計技術要求》
關鍵內容:不同等級的系統安全保護環境設計目標
六、等保2.0的實施對企業有哪些影響?
根據誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,網路運營者成為等級保護的責任主體,如何快速高效地通過等級保護測評成為企業開展業務前必須思考的問題。
一級系統簡單,不需要備案,影響程度很小,因此不作為重點監管對象;二級系統大概50萬個左右;三級系統大概5萬個;四級系統量級較大,比如支付寶、銀行總行系統、國家電網系統,有1000個左右;五級系統屬國家級、國防類的系統,比如核電站、軍用通信系統。
七、網路安全等級保護常見注意事項
1、等級測評並非安全認證
很多人容易把等保測評等同於安全認證。等保測評並非相當於ISO20000系列的信息技術服務管理認證,也並非於ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度,是國家意志的體現。落實等級保護制度為了國家法律法規的合規需求。
等級保護測評沒有相應的證書,如何才能證明信息系統已經符合等級保護安全要求了呢?目前這主要是由公安部授權委託的全國一百多家測評機構,對信息系統進行安全測評,測評通過後出具《等級保護測評報告》,拿到了符合等保安全要求的測評報告就證明該信息系統符合了等級保護的安全要求。
2、等保制度只是基本要求
等保制度只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但就目前的測評結果來看,幾乎沒有任何一個被測系統能全部滿足等保要求。一般情況下,目前等級保護測評過程中,只要沒發現高危安全風險,都可以通過測評。但是,安全是一個動態而非靜止的過程,而不是通過一次測評,就可以一勞永逸的。 企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。
3、內網系統也需要做等級測評
首先,所有非涉密系統都屬於等級保護范疇,和系統在外網還是內網沒有關系;《網路安全法》規定,等級保護的對象是在中華人民共和國境內建設、運營、維護和使用的網路與信息系統。因此,不管是內網還是外網系統,都需要符合等級保護安全的要求。
其次,在內網的系統往往其網路安全技術措施做的並不好,甚至不少系統已經中毒不淺。2017年肆虐全球的永恆之藍勒索病毒攻擊,導致了大量內網系統癱瘓,這提醒我們內網系統的安全防護同樣不能馬虎。所以不論系統在內網還是外網都得及時開展等保工作。
4、系統上雲或者託管在其他地方就也需做等級測評
目前,比較多的小型企業客戶偏向於把系統部署在雲平台與IDC機房。這些雲平台、IDC機房一般都通過了等級測評。不過,根據「誰運營誰負責,誰使用誰負責,誰主管誰負責」的原則,系統責任主體仍然還是屬於網路運營者自己,所以,還是得承擔相應的網路安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
部署在雲平台的系統還需要購買雲平台的安全服務或者第三方安全服務,部署在IDC機房的系統還需要購買相應的安全設備以滿足等保安全要求。
5、不可根據自己的主觀意願來定級
目前的等級保護對象(信息系統)的安全級別分為五個等級,如果定了1級,不需要做等級測評,自主進行保護即可。定2級以上就需要進行等級測評。系統級別的確定需要根據系統的重要性進行決定。如果定高了,有可能造成投資的浪費;定低了則有可能造成重要信息系統得不到應有的保護,應該謹慎定級。
等保1.0的要求是自主定級,有主管部門的需要主管部門審核,最終報送公安機關進行審核。等保2.0之後定級流程新增了「專家評審」和「主管部門審核」兩個環節,這樣定級過程將會變得更加規范,定級也會更加准確。
6、系統備案場所
《信息安全等級保護管理辦法》規定,等級保護的主體單位為信息系統的運營、使用單位。備案主體一般不會是開發商、系統集成商,而是最終的用戶方。
目前有些單位的注冊地跟運營地不一致,正常情況下需要去運營地區的網安部門辦理備案手續。比如客戶注冊地在北京海淀區,運營部門在北京朝陽區,需要到北京朝陽區辦理定級備案手續,當然,前提是北京朝陽區必須有正規辦公地址。
有些單位的系統部署在雲平台,雲平台的實際物理地址往往和雲系統網路運營者不在同一地址。而且,有些單位的運維團隊和注冊經營地址也不一致。這種情況下,雲系統應當在系統實際運維團隊所在地市網安部門進行系統備案,因為這樣會方便屬地公安對系統進行監管。
所以,大部分情況下,還是需要到系統的運維人員實際所在地進行定級備案
『柒』 網路安全分為幾個級別
網路安全分為四個級別,詳情如下:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。
2、網路的安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。
(7)氣象網路安全等級定級指導擴展閱讀
網路安全的影響因素:
自然災害、意外事故;計算機犯罪; 人為行為,比如使用不當,安全意識差等;黑客」 行為:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等。
網路協議中的缺陷,例如TCP/IP協議的安全問題等等。網路安全威脅主要包括兩類:滲入威脅和植入威脅。滲入威脅主要有:假冒、旁路控制、授權侵犯。
『捌』 網路安全等級保護級別
網路信息系統安全等級保護分為五級,第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級,五級防護水平一級最低,五級最高。
網路安全等級保護級別具體介紹?
1、第一級(自主保護級),會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
2、第二級(指導保護級),會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
3、第三級(監督保護級),會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
4、第四級(強制保護級),會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
5、第五級(專控保護級),會對國家安全造成特別嚴重損害。
國家質量技術監督局標准規定了計算機信息系統安全保護能力的五個等級:
第一級:用戶自主保護級,_第二級:系統審計保護級,第三級:安全標記保護級,第四級:結構化保護級,第五級:訪問驗證保護級。
信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。
總結網路安全等級保護的級別劃分是根據網路系統在國家安全、經濟建設、社會生活中的重要程度,以及網路系統遭到破壞後,對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益
法律依據:《中華人民共和國網路安全法》第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取
『玖』 規定網路安全等級保護指導思想原則和要求
等級保護在貫徹落實過程中,必定有一定的原則需要遵守,今天,我們通過對比和中有關描述,來看一下有關原則哪些是一如既往不變的部分,哪些是在不斷發展中拓展出來的內容。有關貫徹落實信息安全等級保護制度的原則,最要由《關於印發的通知》公通字[2004]66號文提出。下面看具體內容:
貫徹落實信息安全等級保護制度的原則(等級保護國家信息安全等級保護堅持自主定級、自主保護的原則,對信息系統分等級進行保護,按標准進行建設、管理和監督。信息安全等級保護制度遵循以下基本原則。
(1)明確責任,共同保護。通過等級保護,組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作;各方主體按照規范和標准分別承擔相應的、明確具體的信息安全保護責任。
(2)依照標准,自行保護。國家運用強制性的規范及標准,要求信息和信息系統按照相應的建設和管理要求,自行定級、自行保護。
(3)同步建設,動態調整。信息系統在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級。等級保護的管理規范和技術標准應按照等級保護工作開展的實際情況適時修訂。
(4)指導監督,重點保護。國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統的信息安全保護工作進行指導監督。
國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網路和重要信息系統,主要包括:國家事務處理信息系統(黨政機關辦公系統);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關繫到國計民生的信息系統:教育、國家科研等單位的信息系統;公用通信、廣播電視傳輸等基礎信息網路中的信息系統:網路管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。
安全等級保護基本模型
貫徹落實網路安全等級保護制度的原則(等級保護網路安全等級保護工作應當按照主動防禦、整體防控、突出重點、綜合保障的原則,重點保護關鍵信息基礎設施和其他涉及國家安全、國計民生、公共利益的網路的運行安全和數據安全。網路運營者在網路建設過程中,應同步規劃、同步建設、同步運行網路安全保護、保密和密碼保護措施。國家網路安全等級保護堅持分等級保護、分等級監管的原則,對網路分等級進行保護,按標准進行建設、管理和監督。在落實網路安全等級保護制度中,還應遵循以下幾點要求:
一是明確責任,共同保護。通過等級保護,組織和動員國家、法人和其他組織、公民共同參與網路安全保護工作;各方主體按照規范和標准分別承擔相應的、明確具體的網路安全保護責任。
二是依照標准,開展保護。國家運用強制性法律及規范標准,要求網路運營者按照網路安全建設和管理要求,科學准確定級,實施保護策略和措施。
三是同步建設,動態調整。網路在新建、改建、擴建時應當同步建設網路安全設施,保障網路安全與信息化建設相適應。因網路的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求重新確定其安全保護等級。等級保護的管理規范和技術標准應按照等級保護工作開展的實際情況適時修訂。
四是指導監督,重點保護。國家指定網路安全監管職能部門通過備案、指導、檢查、督促整改等方式,對網路安全保護工作進行指導監督。國家重點保護涉及國家安全、經濟命脈、社會穩定的關鍵信息基礎設施,主要包括:電信網、廣電網、互聯網、移動互聯網、物聯網、行業專網等網路基礎設施;各行業、各部門、各單位的指揮調度、內部辦公、管理控制、生產作業、公眾服務等業務信息系統和網站;能源、交通、水利、市政等領域的工業控制系統;互聯網企業的網路平台、重要業務系統和網站;數據中心、大數據服務平台、雲計算服務平台、智能設備設施及數據資源;其他關系國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的網路和信息系統。
這個原則最早是由《關於印發
的通知》公通字[2004]66號文提出,等級保護即網路安全等級保護制度的原則與等級保護在文字上描述有一定的出入,不過有關原則和指示精神是一脈相承一以貫之的。從66號文我們看到,文件將安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國信息安全的發展將起到重要推動作用。
有關《關於印發
的通知》公通字[2004]66號文五個「有利於」在以前的公眾號文章中已經簡單說過,見《等保重要政策文件66號文明確四個責任》。總體來講,保障網路(信息)安全,維護國家安全、公共利益和社會穩定,仍然是當前信息化發展中迫切需要解決的重大問題。