《网络安全法与等级保护》.ppt

* * * 30服务： 数据修复服务； 数据备份与恢复服务； 是否有对鉴别信息和重要业务数据在传输过程中完整性保护的措施？ 是否采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性？ 是否有数据备份制度和策略？ 备份数据存储的地点如何选择？ * * * * * * * 根据《网络安全法》第六章-法律责任相关条款解释：本法律处罚力度空前严格，处罚不仅涉及到企业，而且涉及到法人、管理人员、一般员工等多个层面；既有经济处罚，也有行政处罚。 对于违法问题有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上一百万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上十万元以下罚款。 尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。 受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。 依照有关法律、行政法规的规定记入信用档案，并予以公示。 《网络安全法》自2017年6月1日正式实施，网络安全等级保护制度已经上升为法律规定的强制义务，这是我国自1994年发布实施《中华人民共和国计算机信息系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来，首次将其写入法律。 从实施以来已经处罚腾讯微信、新浪微博、百度贴吧、boss直聘、京东、淘宝网、虾米音乐网、蘑菇街互动网等上百家的企事业单位。 对于违反《网络安全法》的处罚视情节严重，处罚措施分为： 1、责令改正，给予警告； 2、拒不改正或者导致危害网络安全等后果的，对企业处1-100万罚款，对直接负责的主管?员和其他直接责任人员处1-10万罚款； 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 二、信息安全等级保护 信息安全等级保护定义 《信息安全等级保护管理办法（试行）》：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损害国家安全、社会秩序和公共利益。 第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 划分准则--GB 17859-1999 第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级为专控保护级，适用于涉及国家安全的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。 实施指南－－GB/T 25058-2010 等级保护实施过程 基本原则 主要过程及其活动 角色、职责 基本流程 等级变更 局部调整 信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商 * 等级保护之十大标准 基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T 25058-2010 应用类 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006