‘壹’ 网络安全等级保护制度
关于网络安全等级的保护制度是:规范计算机系统安全建设和使用的标准以及管理办法。安全工作的整个流程分为五个环节,包括定级、备案、建设整改、等级测评、监督检查,网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。
法律依据
《中华人民共和国网络安全法》 第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
‘贰’ 【2019年整理】等级保护标准体系简介
网络安全保护等级定义:
网络安全等级保护是指国家通过制定统一的安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。网络安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
实行网络安全等级保护制度,能够充分调动国家、公民、法人和其他组织的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国网络安全的发展将起到重要推动作用。
二、网络安全保护等级划分
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
① 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
③ 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
④ 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
⑤ 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
三、网络安全等级定级流程
一步:定级;(定级是等级保护的首要环节)
二步:备案;(备案是等级保护的核心)
三步:建设整改;(建设整改是等级保护工作落实的关键)
四步:等级测评;(等级测评是评价安全保护状况的方法)
五步:监督检查。(监督检查是保护能力不断提高的保障)
证书案例
‘叁’ 网络安全预警分为几级
网络安全预警分为几级如下 :
网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安宏知汪全事件、一般网络安全事件。
中华人民共和国人民警察法》第六条第十二款规定,人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。
1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有猛游关部门制定”。
2008年国务院“三定”方案,赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责
‘肆’ 网络安全等级保护2.0国家标准
等级保护2.0标准体系主要标准如下:1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保携慎护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级(自主保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但辩嫌敬不损害国家安全、社会秩序和公共利益;
第二级(指导保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级(监督保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级(强制保护级),等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级(专控保护级),等级保护对象受到破坏后,会对国家安全造成特别严重损害
相较于1.0版本,2.0在内容上到底有哪些变化呢?
1.0定级的对象是信息系统,2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。
再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。
总结通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。 法律依据:《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实者卖网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
‘伍’ 网络安全等级保护2.0标准正式实施的时间是
2019年12月1日网络安全等级保护2.0国家标准的正式实施,标志着我国网络安全等级保护制度进入了全新时代。作为国家等级保护标准体系的核心标准之一的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(以下简称“定级指南”)于2020年4月28日发布,2020年11月1日正式实施。
定级指南规定了非涉及国家秘密的等级保护对象的定级方法和流程,通过指导网络运营者合理划分定级对象和准确的确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定了良好的基础。
01 等级保护对象扩大了
等保保护定级对象主要包括:信息系统、通信网络设施和数据资源等
信息系统就是我们在1.0时候的定级对象,指的是各类信息系统;
通信网络设施指的是为信息流通、网络运行等起基础支撑作用的网络设备设施,主要包括电信网、广播电视传输网和行业或单位的专用通信网等;
数据资源指的是具有或预期具有价值的数据集合,数据资源主要是拥有大量各类有价值的数据,那么这些单位需要保护好这些数据资源,自然需要对该数据资源进行定级,我们可以想象的这类数据有:人社数据、医保数据、公积金数据、个人财产数据(银行、房产、保险等)等信息。
需要注意的是:
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;
当安全责任主体不同时,大数据应独立定级;涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级;
不是所有的这类数据都需要独立去定级,日常中主要存在数据进行集中化后的场景,例如一些地方的大数据局或者政务中心将各行业的一些数据要过来后进行相关应用或使用时应当对这些数据进行独立定级。
02 定级要素与安全保护等级新关系
当公民、法人和其他组织的合法权益造成特别严重损害时依然定为二级。
根据2.0的定级指南中定级要数与安全保护等级的关系表我们发现当公民、法人和其他组织的合法权益造成特别严重损害时依然为二级,这块在征求意见稿中是第三级。
定级要素与安全保护等级的关系如下:
03 受侵害的客体表现形式有哪些
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织.
侵害国家安全的事项包括以下方面:
1.影响国家政权稳固和领土主权、海洋权益完整;
2.影响国家统一、民族团结和社会稳定;
3.影响国家社会主义市场经济秩序和文化实力;
4.其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
1.影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;影响公共场所的活动秩序.公共交通秩序;
2.影响人民群众的生活秩序;
3.其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:
1.影响社会成员使用公共设施;
2.影响社会成员获取公开数据资源;
3.影响社会成员接受公共服务等方面;
4.其他影响公共利益的事项。
业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果:
1.影响行使工作职能;
2.导致业务能力下降;
3.引起法律纠纷;
4.导致财产损失;
5.造成社会不良影响;
6.对其他组织和个人造成损失;
7.其他影响。
侵害公民法人和其他组织的合法权益是指受法律保护的公民.法人和其他组织所享有的社会权利和利益等受到损害。
确定受侵害的客体时.首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益.最后判断是否侵害公民,法人和其他组织的合法权益。
04 定级新流程
对于新建网络、运营者应当依照等级保护相关法律法规要求和本标准,在规划设计阶段确定其安全保护等级;对于跨省或者全国统一联网运行的网络可以由行业主管(监管)部门统一组织定级工作。安全保护等级初步确定为第二级及以上的等级保护对象,其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核,最终确定其安全保护等级。
定级中的一般工作流程:
专家评审:定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,并出具专家评审意见 。
主管部门审批:定级对象的运营、使用单位应将初步定级结果报请行业主管(监管)部门核准,并出具核准意见。
公安机关审核:定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
企业合规通过等保2.0,完成备案审核后还需通过整改建设、等级评测的工作流程。
网堤安全一站式等保合规解决方案
等级保护的各个阶段有着不同的工作重点,网堤安全凭借着深厚的技术实力和丰富的安全服务项目经验,针对等级保护各个阶段同时可提供专业的等保咨询服务、安全防护产品、安全技术服务和安全运营服务。为各行业、各种场景的安全等级保护建设、提供全流程的保驾护航。
法律依据:
《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或未经授权的访问,防止网络数据泄漏或者被窃取、篡改。
‘陆’ 网络安全等级保护制度中等级检验定价决定权在谁手里
等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。网络安全等级保护制度2.0(以下简称“等保2.0”)配合着多项已经生效和/或正在制定的法律法规及国家标准实施,智慧安全港建议各企业重视相关内容的学习,加强信息保护合规系统建设,以便为即将可能开展的执法工作做好准备,本文对等保2.0的重要内容作出了梳理。
为适应新技术的发展,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
一、发布主体
国家市场监督管理总局、国家标准化管理委员会
二、相关标准
《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》告简、《信息安全技术网络安全等级保护安全设计技术要求》
三、重要日期
等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。
四、历史沿革
2017年,《网络安全法》首次提出“网络安全等级保护制度”的概念,并明确相关具体要求。2018年,《网络安全等级保护条例(征求意见稿)》(以下简称“《等级保护条例》”)提出“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管”。
五、重点内容
1
《等级保护条例》
关键内容:条例适用范围
在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用《等级保护条例》,个人及家庭自建自用的网络除外。
关键内容:网络安全等级保护制度由哪个部门负责/领导?
关键内容:网络安全等级分为哪几级?
关键内容:作为网络运营者,(程序上)企业应该怎么做?
S1【网络定级】:在规划设计阶段确定网络的安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,应当依法变更网络的安全保护等级。
S2【定级评审】:对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。
S3【定级备案】:第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
S4【备案审核】:公安机关应当对网络运营者提交的孝巧备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。
S5【上线检测】:新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
S6【等级测评】:第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告袜慎裤。
S7【安全整改】:网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。
S8【自查工作】:网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。
2
《信息安全技术 网络安全等级保护基本要求》
关键内容:不同安全保护等级的等级保护对象应具备的基本安全保护能力
关键内容:安全要求的分类
3
《信息安全技术 网络安全等级保护测评要求》
关键内容:测评方法
4
《信息安全技术网络安全等级保护安全设计技术要求》
关键内容:不同等级的系统安全保护环境设计目标
六、等保2.0的实施对企业有哪些影响?
根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;二级系统大概50万个左右;三级系统大概5万个;四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;五级系统属国家级、国防类的系统,比如核电站、军用通信系统。
七、网络安全等级保护常见注意事项
1、等级测评并非安全认证
很多人容易把等保测评等同于安全认证。等保测评并非相当于ISO20000系列的信息技术服务管理认证,也并非于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度,是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。
等级保护测评没有相应的证书,如何才能证明信息系统已经符合等级保护安全要求了呢?目前这主要是由公安部授权委托的全国一百多家测评机构,对信息系统进行安全测评,测评通过后出具《等级保护测评报告》,拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。
2、等保制度只是基本要求
等保制度只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但就目前的测评结果来看,几乎没有任何一个被测系统能全部满足等保要求。一般情况下,目前等级保护测评过程中,只要没发现高危安全风险,都可以通过测评。但是,安全是一个动态而非静止的过程,而不是通过一次测评,就可以一劳永逸的。 企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。
3、内网系统也需要做等级测评
首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
其次,在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。2017年肆虐全球的永恒之蓝勒索病毒攻击,导致了大量内网系统瘫痪,这提醒我们内网系统的安全防护同样不能马虎。所以不论系统在内网还是外网都得及时开展等保工作。
4、系统上云或者托管在其他地方就也需做等级测评
目前,比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己,所以,还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务,部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。
5、不可根据自己的主观意愿来定级
目前的等级保护对象(信息系统)的安全级别分为五个等级,如果定了1级,不需要做等级测评,自主进行保护即可。定2级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定。如果定高了,有可能造成投资的浪费;定低了则有可能造成重要信息系统得不到应有的保护,应该谨慎定级。
等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
6、系统备案场所
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。
目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区,运营部门在北京朝阳区,需要到北京朝阳区办理定级备案手续,当然,前提是北京朝阳区必须有正规办公地址。
有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且,有些单位的运维团队和注册经营地址也不一致。这种情况下,云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样会方便属地公安对系统进行监管。
所以,大部分情况下,还是需要到系统的运维人员实际所在地进行定级备案
‘柒’ 网络安全分为几个级别
网络安全分为四个级别,详情如下:
1、系统安全
运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。
2、网络的安全
网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。
3、信息传播安全
网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上大云自由传翰的信息失控。
4、信息内容安全
网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。
(7)气象网络安全等级定级指导扩展阅读
网络安全的影响因素:
自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等。
网络协议中的缺陷,例如TCP/IP协议的安全问题等等。网络安全威胁主要包括两类:渗入威胁和植入威胁。渗入威胁主要有:假冒、旁路控制、授权侵犯。
‘捌’ 网络安全等级保护级别
网络信息系统安全等级保护分为五级,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级,五级防护水平一级最低,五级最高。
网络安全等级保护级别具体介绍?
1、第一级(自主保护级),会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
2、第二级(指导保护级),会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
3、第三级(监督保护级),会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
4、第四级(强制保护级),会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
5、第五级(专控保护级),会对国家安全造成特别严重损害。
国家质量技术监督局标准规定了计算机信息系统安全保护能力的五个等级:
第一级:用户自主保护级,_第二级:系统审计保护级,第三级:安全标记保护级,第四级:结构化保护级,第五级:访问验证保护级。
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
总结网络安全等级保护的级别划分是根据网络系统在国家安全、经济建设、社会生活中的重要程度,以及网络系统遭到破坏后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益
法律依据:《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取
‘玖’ 规定网络安全等级保护指导思想原则和要求
等级保护在贯彻落实过程中,必定有一定的原则需要遵守,今天,我们通过对比和中有关描述,来看一下有关原则哪些是一如既往不变的部分,哪些是在不断发展中拓展出来的内容。有关贯彻落实信息安全等级保护制度的原则,最要由《关于印发的通知》公通字[2004]66号文提出。下面看具体内容:
贯彻落实信息安全等级保护制度的原则(等级保护国家信息安全等级保护坚持自主定级、自主保护的原则,对信息系统分等级进行保护,按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则。
(1)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。
(2)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。
(3)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(4)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。
国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统:教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统:网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
安全等级保护基本模型
贯彻落实网络安全等级保护制度的原则(等级保护网络安全等级保护工作应当按照主动防御、整体防控、突出重点、综合保障的原则,重点保护关键信息基础设施和其他涉及国家安全、国计民生、公共利益的网络的运行安全和数据安全。网络运营者在网络建设过程中,应同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。国家网络安全等级保护坚持分等级保护、分等级监管的原则,对网络分等级进行保护,按标准进行建设、管理和监督。在落实网络安全等级保护制度中,还应遵循以下几点要求:
一是明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与网络安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的网络安全保护责任。
二是依照标准,开展保护。国家运用强制性法律及规范标准,要求网络运营者按照网络安全建设和管理要求,科学准确定级,实施保护策略和措施。
三是同步建设,动态调整。网络在新建、改建、扩建时应当同步建设网络安全设施,保障网络安全与信息化建设相适应。因网络的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求重新确定其安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
四是指导监督,重点保护。国家指定网络安全监管职能部门通过备案、指导、检查、督促整改等方式,对网络安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的关键信息基础设施,主要包括:电信网、广电网、互联网、移动互联网、物联网、行业专网等网络基础设施;各行业、各部门、各单位的指挥调度、内部办公、管理控制、生产作业、公众服务等业务信息系统和网站;能源、交通、水利、市政等领域的工业控制系统;互联网企业的网络平台、重要业务系统和网站;数据中心、大数据服务平台、云计算服务平台、智能设备设施及数据资源;其他关系国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的网络和信息系统。
这个原则最早是由《关于印发
的通知》公通字[2004]66号文提出,等级保护即网络安全等级保护制度的原则与等级保护在文字上描述有一定的出入,不过有关原则和指示精神是一脉相承一以贯之的。从66号文我们看到,文件将安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
有关《关于印发
的通知》公通字[2004]66号文五个“有利于”在以前的公众号文章中已经简单说过,见《等保重要政策文件66号文明确四个责任》。总体来讲,保障网络(信息)安全,维护国家安全、公共利益和社会稳定,仍然是当前信息化发展中迫切需要解决的重大问题。