❶ 網路等級保護幾個級別
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序 和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
中華人民共和國人民警察法》第六條第十二款規定,人民警察履行「監督管理計算機信息系統的安全保護工作」的職責。
1994年《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)第九條明確規定,「計算機信息系統實行安全等級保護,安全等級的劃分標准和安全等級保護的具體辦法,由公安部會同有關部門制定」。
2008年國務院「三定」方案,賦予公安部「監督、檢查、指導信息安全等級保護工作」法定職責。
❷ 信息安全等級保護各級別的區別
網路信息系統安全等級保護分為五級,一級防護水平最低,最高等保為五級。
區別如下:
第一級(自主保護級):一般適用於小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息統
信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級):一般適用於縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。
信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級):一般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統。
跨省或全國聯網運行的用於生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網路系統等。
信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級):一般適用於國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。
信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級):一般適用於國家重要領域、重要部門中的極端重要系統。
信息系統受到破壞後,會對國家安全造成特別嚴重損害。
(2)公安部網路安全等級文件擴展閱讀:
計算機信息系統可信計算基能記錄下述事件:使用身份鑒別機制;將客體引入用戶地址空間(例如:打開文件、程序出始化);刪除客體;由操作員、系統管理員或(和)系統安全管理員實施的動作,以及其他與系統安全有關的事件。
對於每一事件,其審計記錄包括:事件 的日期和時間、用戶、事件類型、事件是否成功。對於身份鑒別事件,審計記錄包含請求的來源(例如:終端標識符)。
對於客體引入用戶地址空間的事件及客體刪除事件,審計記錄包含客體名及客體的安全級別。
對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄介面,可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算基獨立分辨的審計記錄。
計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。
計算機信息系統可信計算基包含能夠監控可審計安全事件發生與積累的機制,當超過閾值時,能夠立即向安全管理員發出報警。並且,如果這些與安全相關的事件繼續發生或積累,系統應以最小的代價中止它們。
❸ 中華人民共和國網路安全法中明確提出了等級保護的相關建設要求包括
2015年6月,第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網路安全法(草案)》。網路安全法草案於2015年7月6日至2015年8月5日在中國人大網上全文公布,並向社會公開徵求意見。2016年11月7日,十二屆全國人大常委會第二十四次會議經表決,通過了《中華人民共和國網路安全法》。2017年6月1日起正式施行。其中對網路安全等級保護制度作了明確規定。
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
條文解讀:
一、網路安全等級保護制度
網路安全等級保護制度是我國現行的網路安全領域的一項重要制度。1994年國務院制定的《計算機信息系統安全保護條例》規定:計算機信息系統實行安全等級保護,安全等級的劃分標准和安全等級保護的具體辦法由公安部會同有關部門制定。2007年公安部等部門制定的《信息安全等級保護管理辦法》規定,信息系統的安全保護等級根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定,分為五級,從第一級至第五級的保護要求漸次提高,並規定了每個等級的范圍、信息系統運營者的義務及應對措施等。公安部和標准化主管部門制定了相關標准,明確了網路安全等級定級標准、程序以及各個方面的具體要求。網路安全法總結實踐經驗,對該制度的名稱作了調整,改為網路安全等級保護制度,對其主要內容作了規定。國務院有關部門將逐步完善相關配套規定,確保網路安全等級保護制度落到實處。
二、網路安全等級保護制度的主要內容
網路安全等級保護制度的主要內容可以分為技術類安全要求和管理類安全要求兩大類。技術類安全要求主要從物理安全、網路安全、主機安全、應用安全和數據安全幾層面提出,通過在信息系統中部署軟硬體並正確配置其安全功能來實現;管理類安全要求主要從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出,通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面作出規定來實現。本條根據網路安全等級保護制度,對網路運營者的安全保護義務作了基本規定,主要包括以下幾個方面:
1.制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任。內部安全管理制度是網路運營者制定的有關網路安全管理組織架構、人員配備、行為規范、管理責任的規則;操作規程是網路運營者制定的有關人員在操作設備或辦理業務時應當遵守的程序或者步驟。網路運營者應當依照法律、行政法規及網路安全等級保護制度的規定,制定內部安全管理制度和操作規程,細化並落實安全管理義務,根據不同保護等級設置安全管理機構、安全管理人員、安全主管、安全管理負責人等,並明確相關機構和人員的職責。安全管理制度和操作規程規定的每一項具體制度、每一個操作步驟都應當有具體的責任人,哪個環節出了責任事故都要有相應的人員負責。
2.採取防範危害網路安全行為的技術措施。網路運營者應當依照法律、行政法規及網路安全等級保護制度的規定,切實採取技術防範措施,從技術上防範計算病和網路攻擊、網路侵入等網路安全風險。例如,安裝防病毒軟體,防範計算機病毒;安裝網路身份認證系統、網路入侵檢測系統、網路風險審計系統等,防範網路攻擊、侵入;安裝自動報警系統,當檢測到安全風險時自動報警等。
3.配備相應的硬體和軟體監測、記錄網路運行狀態、網路安全事件,按照規定留存相關網路日誌。網路日誌是對網路信息系統的用戶訪問、運行狀態、系統維護等情況的記錄,對於追溯非法操作、未經授權的訪問,並維護網路安全以及調查網路違法犯罪活動具有重要作用。我國相關行政法規和標准對網路日誌的留存及其期限作了規定,一些國家的法律也對留存網路日誌作了規定。網路安全法根據維護網路安全的需要,借鑒有關國家的做法,對網路日誌留存及留存的期限作了規定。同時,考慮到網路日誌的種類較多,哪些需要按照本條規定留存不少於六個月,需要根據維護網路安全的實際來確定,因此,本條規定,網路運營者應當按照規定留存相關的網路日誌不少於六個月。
4.採取數據分類、重要數據備份和加密等措施。數據分類就是按照某種標准,例如重要程度,對數據進行區分、歸類。數據備份就是為防止系統故障或者其他安全事件導致數據丟失,而將數據從應用主機的硬碟或陣列復制、存儲到其他存儲介質。數據加密就是通過加密演算法和密鑰將明文數據轉變為密文數據,從而實現數據的保密性。網路運營者應當依照本法和有關法律、行政法規以及網路安全等級保護制度的規定,採取數據分類、重要數據備份和加密措施,保護網路數據安全。
5.網路運營者的其他義務。除了本法規定的義務外,網路運營者還應當履行其他有關法律、行政法規規定的網路安全保護義務。
❹ 信息安全等級保護管理辦法
第一章 總則
第一條 為規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規,制定本辦法。
第二條 國家通過制定統一的信息安全等級保護管理規范和技術標准,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。
第三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。
第四條 信息系統主管部門應當依照本辦法及相關標准規范,督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。
第五條 信息系統的運營、使用單位應當依照本辦法及其相關標准規范,履行信息安全等級保護的義務和責任。
第二章 等級劃分與保悔慶護
第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
第七條 信息系統的安全保護等級分為以下五級:第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信舉團息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
第八條 信息系統運營、使用單位依據本辦法和相關技術標准對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。國家信息安全監管部門對該級信碧答握息系統信息安全等級保護工作進行監督、檢查。第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標准和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。第五級信息系統運營、使用單位應當依據國家管理規范、技術標准和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。
第三章 等級保護的實施與管理
第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。
第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批准 跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
第十一條 信息系統的安全保護等級確定後,運營、使用單位應當按照國家信息安全等級保護管理規范和技術標准,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。
第十二條 在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分准則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標准,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網路基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 資料庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 伺服器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標准同步建設符合該等級要求的信息安全設施。
第十三條 運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范,制定並落實符合本系統安全保護等級要求的安全管理制度。
第十四條 信息系統建設完成後,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標准,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查,第四級信息系統應當每半年至少進行一次自查,第五級信息系統應當依據特殊安全需求進行自查。 經測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
第十五條 已運營(運行)的第二級以上信息系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統,應當在投入運行後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。 隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
第十六條 辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評後符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審核批准信息系統安全保護等級的意見。
❺ 公安部擬將網路分為幾個安保等級
據人不同,公安部近日會同有關部門起草了《網路安全等級保護條例(徵求意見稿)》。《徵求意見稿》擬將網路分為五個安全保護等級,擬規定未經允許或授權,網路運營者不得收集與其提供的服務無關的數據和個人信息,不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息,不得泄露、篡改、損毀其收集的數據和個人信息,不得非授權訪問、使用、提供數據和個人信息。
在重大隱患處置方面,《徵求意見稿》擬規定,公安機關在監督檢查中發現重要行業或本地區存在嚴重威脅國家安全、公共安全和社會公共利益的重大網路安全風險隱患的,應報告同級人民政府、網信部門和上級公安機關。
此外,網路存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關可以責令其停止聯網、停機整頓。
❻ 信息安全技術網路安全等級保護基本要求正式實施
《信息安全技術信息系統安全等級保護基本要求》由中國標准出版社出版的圖書,作者是中華人民共和國國家質量監督檢驗檢疫總局、中國國家標准化管理委員會。
1內容簡介:《信息安全技術信息系統安全等級保護基本要求(GB/T22239-2008)》的附錄A和附錄B是規范性附錄。
《信息安絕雀全技術信息系統安全等級保護基本要求(GB/T22239-2008)》由公安部和全國信息安全標准化技術委員會提出。
《信息安全技術信息系統安全等級保護基本要求(GB/T22239-2008)》由全國信息安全標准化技術委員會歸口。
《信息安全技術信息系統安全等級保護基本要求(GB/T22239-2008)》起草單位:公安部信息安全等級保護評估中心。
《信息安全技術信息系統安全等級保護基陸族本要求(GB/T22239-2008)》主要起草人:馬力、任衛紅、李明、袁靜、謝朝海、曲潔、李升、陳雪秀、朱建平、黃洪、劉靜、羅崢、畢並悉早馬寧。
❼ 網路安全法中網路運行安全規定,國家實行什麼制度
網路安全法中網路運行安全規定,國家實行網路安全等級保護制度。
依據《中華人民共和國網路安全法》第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
(7)公安部網路安全等級文件擴展閱讀
2017年6月1日,《中華人民共和國網路安全法》(「《網路安全法》」)生效。《網路安全法》首次確立了「網路安全」等級保護(「等保」)制度,要求網路運營者按照網路安全等級保護制度的要求履行一系列安全保護義務。
2018年6月27日,公安部發布其會同中央網信辦、國家保密局、國家密碼管理局聯合制定的《網路安全等級保護條例(徵求意見稿)》(「《等保條例》」)。至此,作為《網路安全法》重要配套制度的網路安全等級保護制度初現輪廓。
《網路安全法》確立「網路安全」等級保護制度以前,我國已於2007年實施「信息系統安全」等級保護制度。十多年後,隨著移動應用、大數據、物聯網、人工智慧、區塊鏈等新技術的飛速發展,「信息系統安全」等級保護制度已明顯不適應新的技術、經濟環境。
《網路安全法》頒布後,國家信安標委陸續發布草案對原「信息系統安全」等保相關的國家標准進行修訂,並使用了「網路安全」等保的表述。
從《等保條例》以及國家標準的修訂來看,「網路安全」等保不是一個獨立於「信息系統安全」等保的新制度體系,而是「信息系統安全」等保在新技術、新經濟背景下代更新。
❽ 等級保護2.0國家標准
網路安全等級保護制度》2.0國家標准發布,其中關於企業數據保護有以下要求:應提供重要數據的本地數據備份與恢復能力;應提供異地數據備份功能,利用通信網路能將重要數據定時批量傳送至備用場地,應識別需要定期備份的重要業務信息、系統數據及軟體系統等;應規定備份信息的備份方式、備份頻度、存儲介質、保質期等;應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份程序和恢復程序等。該標準的發布標志著我國網路安全等級保護工作正式進入「2.0時代」。等級保護工作的落實有效提升了我國的網路安全防護能力。等保2.0的發布,是對除傳統信息系統之外的新型網路系統安全防護能力提升的有效補充,是貫徹落實《中華人民共和國網路安全法》、實現國家網路安全戰略目標的基礎。
【拓展資料】
國家市場監督管理總局、國家標准化管理委員會召開新聞發布會,等保2.0相關的《信息安全技術網路安全等級保護基本要求》、《信息安全技術網路安全等級保護測評要求》、《信息安全技術網路安全等級保護安全設計技術要求》等國家標准正式發布,將於2019年12月1日開始實施。
發布會由市場監督管理總局新聞宣傳司領導主持。市場監督管理總局標准技術司副司長通報國家標准制定流程改革情況並發布重要國家標准。公安部信息安全等級保護評估中心規劃咨詢部副主任陳廣勇對《信息安全技術網路安全等級保護基本要求》國家標准進行了解讀。
信息安全等級保護制度是國家信息安全保障工作的基礎,也是一項事關國家安全、社會穩定的政治任務。通過開展等級保護工作,發現企業網路和信息系統與國家安全標准之間存在的差距,找到目前系統存在的安全隱患和不足,通過安全整改,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險。
相較於2007年實施的《信息安全等級保護管理辦法》所確立的等級保護1.0體系,為了適應現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,2018年公安部正式發布《網路安全等級保護條例(徵求意見稿)》,國家對信息安全技術與網路安全保護邁入2.0時代。
據了解,原來的保護對象主要包括各類重要信息系統和政府網站,保護方法主要是對系統進行定級備案、等級測評、建設整改、監督檢查等,在此基礎上,等保2.0擴大了保護對象的范圍、豐富了保護方法、增加了技術標准。等保2.0將網路基礎設施、重要信息系統、大型互聯網站、大數據中心、雲計算平台、物聯網系統、工業控制系統、公眾服務平台等全部納入等級保護對象,並將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核、安全員培訓等工作措施全部納入等級保護制度。
有國內專業機構表示,等保2.0國家標准對比等保1.0,在保護范圍、法律效力、技術標准、安全體系、定級流程、定級指導等方面均發生變化,信息安全系統改造在即。等保2.0做出對關鍵信息基礎設施「定級原則上不低於三級」的指導,測評分數的要求由60分提升至75分以上,且第三級及以上信息系統每年或每半年就要進行一次測評。國家重點行業將帶頭加大信息安全產品和咨詢服務的持續投入。回顧我國信息安全產業曾在等保1.0影響下進入加速發展期,專家預計,等保2.0將繼續帶動行業大發展,至少打開百億級以上增量市場空間。
❾ 國家安全等級劃分方法,定級對象
2018年6月27日,公安部正式發布《網路安全等級保護條例(徵求意見稿)》(以下稱「《等保條例》」),標志著《網路安全法》(以下稱「《網安法》」)第二十一條所確立的網路安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條,包括總則、支持與保障、網路的安全保護、涉密網路的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱「《管理辦法》」)所確立的等級保護1.0體系,《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善,適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,標志著等級保護正式邁入2.0時代。
《等保條例》的具體規定
《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布,作為等保1.0體系的核心規定,其法律效力為部門規范性文件。另根據《管理辦法》第一條規定,其制定依據為國務院行政法規《計算機信息系統安全保護條例》。
《等保條例》雖尚在徵求意見稿階段,根據《行政法規制定程序條例》第五條,行政法規的名稱一般稱「條例」,國務院各部門和地方人民政府制定的規章不得稱「條例」,因此,《等保條例》應當屬於行政法規范疇。此外,《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。
綜上可知,《管理辦法》為依據行政法規制定的部門規范性文件,而《等保條例》則屬於依據國家法律制定的行政法規,顯然,無論是自身法律效力亦或法律依據的效力位階,等保2.0均優於等保1.0。
等級保護的適用范圍
對於適用范圍,《等保條例》概括性地規定為適用於網路運營者在我國境內建設、運營、維護、使用網路,開展網路安全等級保護以及監督管理工作,而個人及家庭自建自用的網路除外,內容較為簡略。2018年1月19日,全國信息安全標准化技術委員會發布了《信息安全技術網路安全等級保護定級指南2.0(徵求意見稿)》(以下稱「《定級指南2.0》」),為等保的具體適用提供了指引。
等保1.0體系中,《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱「《定級指南1.0》」)確定信息系統的安全保護等級。因此,《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。
相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統,《定級指南2.0》細化了網路安全等級保護制度定級對象的具體范圍,主要包括基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台。另外,作為定級對象的網路還應當滿足三個基本特徵:第一,具有確定的主要安全責任主體;第二,承載相對獨立的業務應用;第三,包含相互關聯的多個資源
根據《定級指南2.0》,定級對象在滿足上述基本特徵後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網路,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。對於工業控制系統,應將現場採集/執行、現場控制和過程式控制制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對於雲計算平台,則應區分為服務提供方與租戶方,各自分別作為定級對象。對於物聯網,雖然其包括感知、網路傳輸和處理應用等多種特徵因素,但仍應將以上要素作為一個整體的定級對象,各要素並不單獨定級。採用移動互聯技術的網路與物聯網類似,應將移動終端、移動應用、無線網路等要素與相關有線網路業務系統作為整體對象定級。對於大數據,除安全責任主體相同的平台和應用可以整體定級外,應單獨定級。
網路等級
《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系,但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級,《定級指南1.0》僅在之後定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級,而《等保條例》則進行了相應修改,當等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格:
網路安全保護義務
《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標准規范履行信息安全等級保護的義務和責任,但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定,就網路運營者的一般和特殊安全保護義務、網路產品和服務采購、應急預案制定等進行了詳細的規定。
對於安全保護義務,除《網安法》第二十一條已經明確的內容外,一般網路運營者還應:一、建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網路安全管理等制度,制定操作規范和工作流程;三、在收集使用和處理個人信息時採取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施,落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施,防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網路運營者除上述義務外,還應當著重落實網路安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度,同時定期開展等級測評工作。
對於網路產品和服務采購,網路運營者應當采購、使用符合國家法律法規和有關標准規范要求的網路產品和服務,第三級以上網路運營者應當採用與其安全保護等級相適應的網路產品和服務,對重要部位使用的網路產品,還應當委託專業測評機構進行專項測試。2017年6月1日生效的《網路關鍵設備和網路安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網路運營者使用的網路產品的要求進行了詳細的規定,因此建議網路運營者在采購網路產品和服務要求供應商提供專業機構出具的安全認證或檢測證書,以減少運營法律風險。
對於應急預案的制定,第三級以上網路的運營者應當按照國家有關規定,制定網路安全應急預案,定期開展網路安全應急演練。除及時記錄並留存事件數據信息,向公安機關和行業主管部門報告外,網路運營者還應當為重大網路安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網路安全突發事件應急預案》,報告網路安全事件信息時,還應當說明事件發生時間、初步判定的影響范圍和危害、已採取的應急處置措施和有關建議等。
網路安全保護要求
近年來,隨著人工智慧、大數據、物聯網、雲計算等的快速發展,安全趨勢和形勢的急速變化,2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始,等級保護的安全要求逐步開始制定2.0標准,包括5個部分:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《網路安全等級保護基本要求》一個標准。等保1.0標准更偏重於對於防護的要求,而等保2.0標准更適應當前網路安全形勢的發展,結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。
❿ 網路安全等級保護條例
網路安全等級保護分為五個級別:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
證書案例