网络安全管理和网络安全等级保护制度探究.docVIP

网络安全管理和网络安全等级保护制度探究 　　《中华人民共和国网络安全法》于2017年6月1日正式施行，该法第二十一条规定“？国家实行网络安全等级保护制度。”这是网络安全等级保护这个名词第一次以法律形式出现，这也是中国从法律层面保障企事业单位计算机网络免受干扰、破坏或者非法访问，进而防止计算机网络数据遭受泄露或者被窃取、篡改的一项强制性举措。可是，全社会对于等级保护制度的认知认同和落实执行情况却不容乐观，一些重点联网单位负责人甚至计算机网络管理人员对等级保护制度了解不深、执行不力，在建设、维护计算机信息网络的过程中不能自觉适用等级保护制度的规定和标准，造成单位内部计算机信息网络安全管理制度和安全技术措施不到位的现象屡见不鲜，这将严重危害我国的信息网络安全。本文通过对中国等级保护制度的分析和研究，提出按照等级保护制度来开展单位内部信息网络安全管理的对策，为企事业单位内部信息网络安全管理工作提供政策指导。 　　一、等级保护制度的法律渊源 　　等级保护制度的法律形成分为三个阶段，历时23年。第一阶段为提出阶段。第一次提出等级保护制度是1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》，条例第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”条列出台等级保护制度后，鉴于中国当时信息网络处于比较落后状态，并未真正出台配套具体制度。第二阶段为推行阶段。2007年7月，四部委联合出台《信息安全等级保护管理办法》，这一规章成为推动我国等级保护制度的起点。从2007年开始，国务院有关主管部门通力协作，先后出台了具体的等级保护制度实施办法、国家和行业标准，全国开始在重点联网单位推行等级保护制度。第三阶段是强制阶段。《中华人民共和国网络安全法》于2017年6月1日正式施行，等级保护制度写进法律，等级保护制度成为全社会强制性义务。中国在网络安全制度上开启新局面。 　　二、等级保护制度的主要内容 　　第一，等级划分。计算机信息系统安全保护等级分为五级，划分的标准是信息系统受到各种破坏后造成后果的严重性，信息系统遭受破坏后危及国家安全、社会秩序和公共利益的程度越大，划分的级别越高。比如说，某单位的计算机网络信息系统或者网络工作服务平台受到破坏后，可能对社会秩序或者公共利益造成严重损害，一般定级为三级以上。这种划分标准不是量化的。 　　第二，工作原则。我国的信息安全等级保护坚持自主定级、自主保护的原则。各单位内部的计算机信息系统建成后，根据系统的重要性、安全性与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关联程度，自主定级、自主保护，自觉履行等级保护制度各项规定和要求。 　　第三，监督管理。依据法律规定，国家网信部门、国务院电信主管部门、公安部门等负责网络安全保护和监督管理工作，这三大部门也是等级保护制度的监督管理部门。 　　第四，法律责任。虽然等级保护制度坚持自主定级、自主保护的原则，但是法律责任依然存在。《中华人民共和国网络安全法》第五十九条规定，？网络运营者不履行等级保护制度相关安全保护义务的，由有关主管部门对相关单位和直接责任人作出行政处罚。《中华人民共和国计算机信息系统安全保护条例》第二十条规定，违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的，由公安机关处以警告或者停机整顿。此外，《中华人民共和国刑法修正案九》第二十八条规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正、情节严重的将追究刑事责任。 　　三、单位内部信息网络安全等级保护对策 　　等级保护制度既是单位内部网络安全建设和管理的指针，也是衡量单位内部网络安全保护能力的标准。无论是单位内部的办公、生产的计算机信息系统还是对外的网站、各类网络宣传、服务、交易平台，在网络安全管理上都应当以等级保护制度为依据来开展相关工作，既能保障合法又能保障安全，特别是定级为三级以上的计算机信息系统更要定期按照等级保护制度要求实施网络安全管理。 　　（一）系统建设中的网络安全保护措施 　　企事业单位在计算机信息系统建设的立项、评估、招标等环节，应当同步考虑网络安全建设，国家等级保护制度出台了一些列标准，企事业单位的建设、运营、管理相关人员要熟知并执行这些标准，有关标准名录如下表。 　　（二）自主定级和备案 　　计算机信息系统建设完成后，要按照等级保护制度开展定级备案工作。按照规定，已运营（运行）的第二级以上计算机信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上的计算机信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上