为什么要做网络安全等级保护测评
What?—什么是等级保护测评
网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管、对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。基于历史客观原因,信息安全等级保护制度、网络安全等级保护度,及网络、信息系统,虽然称谓不同,但本质是一致的。“网络”是指由计算或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
网络安全等级保护按照信息系统重要性和遭受破坏后的危害性分成五个安全保护等级。(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核审核后颁发备案证明。 备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展登记测评;公安机关对第二级网络进行指导,对三、四级网络定期开展监督、检查。
|
定级要素与安全保护等级的关系 |
||||
|
等级 |
对象 |
侵害客体 |
侵害程度 |
监管强度 |
|
第一级 |
一般网络 |
合法权益 |
损害 |
自主保护 |
|
第二级 |
一般网络 |
合法权益 |
严重侵害 |
指导 |
|
社会秩序和公共利益 |
特别严重侵害 |
|||
|
第三级 |
重要网络 |
合法权益 |
特别严重损害 |
监督检查 |
|
社会秩序和公共利益 |
严重损害 |
|||
|
国家安全 |
危害 |
|||
|
第四级 |
特别重要网络 |
社会秩序和公共利益 |
特别严重损害 |
强制监督检查 |
|
国家安全 |
严重危害 |
|||
|
第五级 |
极端重要网络 |
国家安全 |
特别严重危害 |
专门监管监察 |
Why?—为什么要做等级保护测评
|
法律法规 要求 |
2017年《网络安全法》第21条:
|
|
《网络安全法》第38条:
|
|
|
《网络安全法》第59条:
|
|
|
2008年国务院“三定”方案,赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。 |
|
|
1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条明确规定:“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定"。 |
|
|
《中华人民共和国人民警察法》第六条第十二款规定:人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。 |
|
|
行业要求 |
金融、政府、电力、广电、教育等行业政策及行业标准导向 |
|
企业系统安全的要求 |
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处, |
How?—如何做等级保护测评
|
序号 |
流程 |
负责方 |
说明 |
|
1 |
定级 |
网络运营者
|
|
|
2 |
备案 |
网络运营者 |
网络运营者按照当地公安机关的要求,将网络定级备案材料向公安机关备案,公安机关对定级准确符合要求的网络系统发放备案证明。 |
|
3 |
等级测评 |
测评机构 |
网络运营者选择符合国家规定条件的测评机构,对第三级以上网络(含国家关键信息基础设施)每年开展登记测评,查找发现问题隐患,提出整改意见。 |
|
4 |
安全建设整改 |
网络运营者
|
网络运营者根据网络的安全保护等级,按照国家标准开展安全建设整改。 |
|
5 |
监督检查 |
公安机关 |
公安机关每年对网络运营者开展网络安全等级保护工作的情况和网络的安全状况实施执法检查 |
在这个信息发达的互联网时代,网络几乎是每个企业和个人生活的必需品,***也说过:“网网络安全为人民,网络安全靠人民”,只有每个企业领会网络安全法的精神,从自身做起,管理好自己的信息系统安全,整个国家的网络空间安全就会越来越清朗。