《网络安全法》之网络安全等级保护制度.pdfVIP

《⽹络安全法》之⽹络安全等级保护制度 有些事情，说多少遍也不嫌多，⽐如《⽹络安全法》—— 《⽹络安全法》2017年6⽉1⽇实施标志着⽹络安全保护进⼊有法可依的2.0时代，“⽹络安全等级保护制度”⾸次从法律 层⾯提及。 ⽹络安全等级保护制度概述  《⽹络安全法》第⼆⼗⼀条 国家实⾏⽹络安全等级保护制度。⽹络运营者应当按照⽹络安全等级保护制度的要求，履⾏下列安全保护义务，保障⽹ 络免受⼲扰、破坏或者未经授权的访问，防⽌⽹络数据泄露或者被窃取、篡改： （⼀）制定内部安全管理制度和操作规程，确定⽹络安全负责⼈，落实⽹络安全保护责任； （⼆）采取防范计算机病毒和⽹络攻击、⽹络侵⼊等危害⽹络安全⾏为的技术措施； （三）采取监测、记录⽹络运⾏状态、⽹络安全事件的技术措施，并按照规定留存相关的⽹络⽇志不少于六个⽉； （四）采取数据分类、重要数据备份和加密等措施； （五）法律、⾏政法规规定的其他义务。  《⽹络安全法》第三⼗⼀条 国家对公共通信和信息服务、能源、交通、⽔利、⾦融、公共服务、电⼦政务等重要⾏业和领域，以及其他⼀旦遭到破 坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民⽣、公共利益的关键信息基础设施，在⽹络安全等级保护 制度的基础上，实⾏重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家⿎励关键信息基础设施以外的⽹络运营者⾃愿参与关键信息基础设施保护体系。 信息安全等级保护制度内涵 信息安全等级保护⼯作包括五个环节:  定级：即全国范围内的信息系统(包括⽹络)，按照重要性和遭受损坏后的危害性分为五个安全保护等级(第⼀级最低， 逐级递增，第五级最⾼)。  备案：等级确定后，第⼆级(含)以上信息系统到公安机关备案，公安机关审核合格后颁发备案证明。  建设整改：备案单位根据信息系统安全等级，按照国家标准开展建设整改，建设安全设施、落实安全措施、落实安全 责任、建⽴和落实安全管理制度。  等级测评：备案单位选择符合国家规定条件的测评机构开展等级测评。  监督检查：公安机关对第⼆级信息系统进⾏指导，对第三、四级信息系统定期开展监督、检查、指导。 定级是⾸要环节，通过定级，可以梳理各⾏业、各部门、各单位的⽹络系统类型、重要程度和数量等，确定⽹络安全保 护的重点。建设整改是关键，通过建设整改使具有不同等级的⽹络系统达到相应等级的基本保护能⼒。 ⽹络安全等级保护定级 信息系统的安全保护等级应当根据照重要性和遭受损坏后的危害性分为五个安全保护等级：  第⼀级，信息系统受到破坏后，会对公民、法⼈和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公 共利益。  第⼆级，信息系统受到破坏后，会对公民、法⼈和其他组织的合法权益产⽣严重损害，或者对社会秩序和公共利益造 成损害，但不损害国家安全。  第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。  第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。  第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 即信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 完善落实等级保护相应措施 除建⽴并落实上述管理制度要求外，《⽹安法》还从技术措施⼊⼿，对⽹络安全等级保护制度的构建提出了要求，这些 要求主要体现在以下⼏个⽅⾯：  企业需采取防范计算机病毒和⽹络攻击、⽹络侵⼊等危害⽹络安全⾏为的技术措施；  企业需采取监测、记录⽹络运⾏状态、⽹络安全事件的技术措施，并按照规定留存相关的⽹络⽇志不少于六个⽉；  企业需采取数据分类、重要数据备份和加密等措施；  企业需采取技术措施和其他必要措施，确保收集的个⼈信息安全，防⽌信息泄露、毁损、丢失。在发⽣或者可能发⽣ 个⼈信息泄露、毁损、丢失的情况时，应当⽴即采取补救措施，按照规定及时告知⽤户并向有关主管部门报告。 ⽹络安全等级保护测评 在完成⽹络安全等级保护⼯作后，企业还需要委托信息安全等级测评机构对已经完成等级建设的等级保护对象定期或不 定期（如对系统进⾏重⼤改造后）进⾏等级测评，确保等级保护对象的安全保护措施符合相应等级的安全要求。企业对 等级保护对象进⾏测评时应当委托符合条件的测评机构开展等级测评。委托测评机构开展等级测评⼯作的，我们建议企 业在测评⼯作正式开始之前开展以下⼯作规避测评可能给⾃⾝带来的系统运⾏风险和敏感信息泄露风险：  签署委托测评协议。在测评⼯作正式开始之前，测评⽅和被测评单位需要以委托协议的