2018年6月公安部正式下發了《網絡安全等級保護條例(征求意見稿)》,擬將網絡分為五個安全保護等級,擬規定未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息,不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息,不得泄露、篡改、損毀其收集的數據和個人信息,不得非授權訪問、使用、提供數據和個人信息。
隨著網絡時代的到來,智能化、自動化、大數據、物聯網已經越來越普遍,數據信息保護的地位和作用越來越突出。“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。”在中央網絡安全和信息化領導小組第一次會議上,習近平總書記提出網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題。《中華人民共和國網絡安全法》于2017年6月1日開始正式實施。
立法明確網絡安全等級保護制度
第二十一條明確,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。第二十一條,強調了等級保護工作,是從國家層面對等級保護工作的法律認可,是網絡安全法關于等級保護工作最重要的一條。簡單的來說,單位不做等級保護工作就是違法。
第三十八條明確,關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構,對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
第五十九條明確,網絡運營者不履行網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
哪些單位需要做等級保護
《中華人民共和國網絡安全法》強調在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,并配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。那么哪些單位需要做等級保護呢?
(一)政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等;
(二)金融行業:金融監管機構、各大銀行、證券、保險公司等;
(三)電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等;
(四)能源行業:電力公司、石油公司、煙草公司;
(五)企業單位:大中型企業、央企、上市公司等;
(六)其它有信息系統定級需求的行業與單位。
等級保護流程
(一)定級。信息系統安全等級,由系統運用、使用單位根據《信息系統安全等級保護定級指南》自主確定信息系統的安全保護等級。新建信息系統在設計、規劃階段確定安全保護等級。
(二)備案。運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營后30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核,對符合要求的在10個工作日內頒發等級保護備案證明。
(三)等級測評。運營、使用單位或者主管部門應當選擇合規測評機構,定期對信息系統安全等級狀況開展等級測評。三級及以上信息系統至少每年進行一次等級測評,四級及以上信息系統至少每半年進行一次等級測評,五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告,并出具測評結果通知書,明示信息系統安全等級及測評結果。
(四)系統安全建設整改。運營使用單位按照管理規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實安全管理制度。對于未達到安全等級保護要求的,運營、使用單位應當進行整改。整改完成應當將整改報告報公安機關備案。
(五)監督檢查。公安機關依據信息安全等級保護管理規范,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
等級保護分級要求
企業或單位應根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的根據定級指南來,總之定級一定要合理定級,附合單位實際情況,不要過度定級,也不能定級過低,不然還要重新評測,會增加成本浪費和提高難度。
(一)第一級(自主保護級)。信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
(二)第二級(指導保護級)。信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
(三)第三級(監督保護級)。信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
(四)第四級(強制保護級)。信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
(五)第五級(專控保護級)。信息系統受到破壞后,會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級準則和等級劃分。
等級防護是一項事關企業生存和發展的信息安全保護系統工程,等級評測從物理安全、網絡安全、主機安全、安全管理制度等十個維度,總共300多項內容的評測,并不是一個簡單的事情,企業單位新系統開發建設后,都應及時開展等級保護測評或相關安全測試,避免系統帶病上線,將安全隱患消除在萌芽狀態,防止出現無法挽回的嚴重后果。
【全文完】版權聲明:
1、陜西弈聰網站內容中凡注明“來源:XXX(非陜西弈聰網站)”的作品,轉載自其它媒體,轉載目的在于傳遞更多信息,其中涉及的網站建設,網站優化,百度關鍵詞優化,西安軟件開發等技術細節并不代表本站贊同支持其觀點,并不對其真實性負責。對于署名“陜西弈聰”的作品系本站版權所有,任何人轉載請署名來源,否則陜西弈聰將追究其相關法律責任。
2、本站內容中未聲明為“原創”的內容可能源自其它網站,但并不代表本站支持其觀點,對此帶來的法律糾紛及其它責任與我方無關。如果此內容侵犯了您的權益,請聯系我方進行刪除。