网络安全等级保护制度2.0
时间:2023-06-21 01:45:01 | 来源:网站运营
时间:2023-06-21 01:45:01 来源:网站运营
网络安全等级保护制度2.0:
一、网络安全等级保护制度的历史沿革(从等保1.0到等保2.0)1994年,《中华人民共和国计算机信息系统安全保护条例》明确规定“计算机信息系统实行安全等级保护”。
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》提出需要“加强信息安全保障工作的总体要求和主要原则,并实行信息安全等级保护”,并要求“重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年,《关于信息安全等级保护工作的实施意见》确认了信息安全等级保护制度的原则、基本内容、工作要求等内容。
2007年,《信息安全等级保护管理办法》明确了“国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理”,并对相应内容进行了详尽规定。
随后,2008年到2012年之间,若干国家标准陆续出台,推动了安全等级保护制度的建设。以上一系列的法律法规及国家标准,共同组成了“等保1.0”体系。
简单来说,“等保1.0“体系以信息系统为对象,确立了五级安全保护等级,并从信息系统安全等级保护的定级方法、基本要求、实施过程、测评工作等方面入手,形成了一套相对完整的、有明确标准的,且涵盖了制度与技术要求的等级保护规范体系。然而,随着网络安全形势日益严峻,“等保1.0”体系逐渐难以持续应对不容乐观的网络安全新时代,于是“等保2.0”体系应运而生。
2017年,《网络安全法》首次提出“网络安全等级保护制度”的概念,并明确相关具体要求。2018年,《网络安全等级保护条例(征求意见稿)》(以下简称“
《等级保护条例》”)提出“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管”,并阐述了相关工作原则、网络等级、技术要求等内容。《等级保护条例》更新了由《信息安全等级保护管理办法》建立的信息安全等级保护制度,标志着国家对信息安全技术与网络安全保护迈入2.0时代。随后,2019年,若干国家标准陆续出台,推动了安全等级保护制度的建设。可以说,2017年以来,以《网络安全法》生效为标志,围绕《等级保护条例》为核心的一系列法律法规及国家标准,共同组成并开启了“等保2.0”体系。
等保1.0到等保2.0法律法规及国家标准主要大事件一览二、《等级保护条例》梳理与简介为方便读者快速厘清《等级保护条例》的主要内容,我们将在下文采取问答方式为大家就相关内容进行介绍,并将对应法条进行标注以供诸君快速查证:
1.《等级保护条例》适用范围是什么?在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用《等级保护条例》,个人及家庭自建自用的网络除外。同时,《等级保护条例》提出“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管”。此处所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统(第2、3条)。
2. 网络安全等级保护制度由哪个部门负责/领导?《等级保护条例》下,网络安全等级保护制度相关工作由多部门和/或机构共同负责和/或领导,具体来说(第5条):
| No. | 部门和/或机构 | 职责 |
| 1 | 中央网络安全和信息化领导机构 | 统一领导网络安全等级保护工作 |
| 2 | 国家网信部门 | 负责网络安全等级保护工作的统筹协调 |
| 3 | 国务院公安部门 | 主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫 |
| 4 | 国家保密行政管理部门 | 主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理 |
| 5 | 国家密码管理部门 | 负责网络安全等级保护工作中有关密码管理工作的监督管理 |
| 6 | 国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。 |
3. 网络安全等级分为哪几级?根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级(第15条)。
| 第一级: | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络; |
| 第二级: | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络; |
| 第三级: | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络; |
| 第四级: | 一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络; |
| 第五级: | 一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。 |
4. 作为网络运营者,(程序上)企业应该怎么做?网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。
第一步【网络定级】:网络运营者应当在规划设计阶段确定网络的安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级(第16条)。
第二步【定级评审】:对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见(第17条)。
第三步【定级备案】:第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续(第18条)。
第四步【备案审核】:公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明(第19条)。
第五步【上线检测】:新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行(第22条)。
第六步【等级测评】:第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告(第23条)。
第七步【安全整改】:网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患(第24条)。
第八步【自查工作】:网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告(第25条)。
网络安全等级保护制度8步走5. 作为网络运营者,(内容上)企业应该怎么做?网络运营者应当依法履行下列一般安全保护义务,保障网络和信息安全(第20条):
| 1 | 确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度; |
| 2 | 建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度; |
| 3 | 落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程; |
| 4 | 落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施; |
| 5 | 落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志; |
| 6 | 落实数据分类、重要数据备份和加密等措施; |
| 7 | 依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用; |
| 8 | 落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施; |
| 9 | 落实联网备案和用户真实身份查验等责任; |
| 10 | 对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告; |
| 11 | 法律、行政法规规定的其他网络安全保护义务。 |
第三级以上网络的运营者除履行上述一般网络安全保护义务外,还应当履行下列特殊安全保护义务(第21条):
| 1 | 确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度; |
| 2 | 制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过; |
| 3 | 对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度; |
| 4 | 对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理; |
| 5 | 落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接; |
| 6 | 落实重要网络设备、通信链路、系统的冗余、备份和恢复措施; |
| 7 | 建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告; |
| 8 | 法律和行政法规规定的其他网络安全保护义务。 |
除一般安全保护义务和特殊安全保护义务外,《等级保护条例》还针对产品服务采购使用的安全要求(第28条)、技术维护要求(第29条)、监测预警和信息通报要求(第30条)、数据和信息安全保护要求(第31条)以及应急处置要求(第32条)等内容对网络运营者提出了要求。受限于篇幅限制,本文在此不逐一列举。除此以外,《等级保护条例》还规定了涉密网络的安全保护、密码管理、网络安全等级保护的监督管理、相应法律责任等内容
[2]。
三、等保2.0与等保1.0相比新在哪1. 适用范围更广了。等保2.0将“信息系统安全”的概念扩展到了“网络安全”,其中所谓“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
2. 重视程度更高了。首先,从主管部门来看,等保1.0的相关工作主要由公安部、国家保密局、国家密码管理局等以及国务院信息化工作办公室(已撤销)等部门负责监督、检查、指导。而等保2.0在进一步明确上述部门职责的基础上,还安排了中央网络安全和信息化领导机构统一领导网络安全等级保护工作,同时,由国家网信部门负责网络安全等级保护工作的统筹协调。其次,《等级保护条例》还引入了网络安全约谈制度,即“省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门”(第62条)。
3. 要求更全面也更高了。尽管等保1.0和等保2.0都采用了5级定级的标准,但划分标准却不尽相同。同时,相比等保1.0,等保2.0的要求更加全面细致,这对企业来说也就意味着更多的责任与更高的标准。关于等保2.0的具体介绍请详见笔者文章:《网络安全等级保护制度2.0:系列标准解读(基本要求、测评要求、设计技术要求)》。
四、结语《等级保护条例》作为《网安法》的重要配套文件,后续将配合多项已经生效和/或正在制定的法律法规及国家标准实施,帮助国家顺利迈入等保2.0时代。我们建议各企业在此新旧交替之际,加强内部网络安全和信息保护合规系统建设,以便为即将可能开展的执法工作做好准备。
在线咨询
