等保三级人员安全管理制度(2).docx

研究报告

PAGE

1-

等保三级人员安全管理制度(2)

等保三级人员安全管理制度概述

等保三级人员安全管理制度的背景

(1)随着信息技术的飞速发展，我国网络安全形势日益严峻。根据国家互联网应急中心发布的《2019年我国网络安全态势综述》报告显示，2019年我国共发生网络安全事件超过10万起，其中涉及个人信息泄露、网络攻击等事件占总数的70%以上。这些事件不仅给企业造成了巨大的经济损失，还严重威胁了国家安全和社会稳定。为了加强网络安全管理，我国政府高度重视网络安全建设，明确提出要实施网络安全等级保护制度。

(2)等保三级是我国网络安全等级保护制度中的最高级别，适用于涉及国家安全、国计民生、社会稳定等重要领域的信息系统。根据《网络安全法》的规定，等保三级信息系统需要采取严格的安全措施，确保信息系统安全稳定运行。近年来，我国等保三级信息系统数量逐年增加，据统计，截至2020年底，全国共有约3.5万个等保三级信息系统。然而，在实际运行过程中，这些信息系统仍面临着诸多安全风险，如人员安全意识不足、安全管理制度不完善、安全防护技术落后等。

(3)案例一：某大型企业因内部人员安全意识薄弱，导致信息系统被黑客攻击，造成数百万条客户信息泄露，企业声誉受损，经济损失高达数千万。案例二：某政府机构等保三级信息系统因安全防护措施不到位，被境外黑客入侵，导致大量敏感数据被盗取，严重威胁国家安全。这些案例充分说明，加强等保三级人员安全管理，完善安全管理制度，提高安全防护能力，对于保障我国网络安全至关重要。

等保三级人员安全管理制度的适用范围

(1)等保三级人员安全管理制度的适用范围涵盖了我国众多关键信息基础设施和重要信息系统。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）的规定，等保三级适用于以下几类信息系统：一是涉及国家安全、国计民生、社会稳定的重要领域，如国防科技、能源、交通、金融、通信等；二是涉及国家秘密、商业秘密、个人隐私的重要信息系统；三是涉及国家安全和社会公共利益的重要信息系统。据统计，截至2020年，我国共有约3.5万个等保三级信息系统，其中金融、能源、通信等行业占比最高。

(2)以金融行业为例，银行、证券、保险等金融机构的信息系统是等保三级人员安全管理制度的重点对象。这些系统涉及大量用户资金和敏感信息，一旦发生安全事件，将严重影响金融市场的稳定和用户的财产安全。根据《中国银行业网络安全报告》显示，2019年我国银行业共发生网络安全事件超过2000起，其中约60%的事件与人员安全有关。因此，加强等保三级人员安全管理，对于保障金融行业信息安全具有重要意义。

(3)在能源领域，电力、石油、天然气等能源企业的信息系统同样适用等保三级人员安全管理制度。这些系统关系到国家能源安全和人民生活稳定，一旦遭受攻击，可能引发能源供应中断，造成严重后果。例如，2015年乌克兰电网遭受网络攻击，导致大面积停电，造成巨大经济损失。我国能源行业等保三级信息系统数量众多，加强人员安全管理，提高安全防护能力，对于防范类似事件的发生具有重要作用。此外，随着物联网、大数据、云计算等新技术在能源领域的广泛应用，等保三级人员安全管理制度的适用范围将进一步扩大，对人员安全管理的需求也将更加迫切。

等保三级人员安全管理制度的法律依据

(1)等保三级人员安全管理制度的法律依据主要来源于《中华人民共和国网络安全法》。该法律于2017年6月1日起正式实施，是我国网络安全领域的基础性法律，明确了网络安全的基本原则和制度框架。其中，第四章“网络安全保障”对个人信息保护、关键信息基础设施保护、网络安全监测预警和应急处置等方面做出了明确规定，为等保三级人员安全管理提供了法律支撑。

(2)此外，《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）和《信息安全技术信息系统安全等级保护管理办法》（GB/T29246-2012）等国家标准，也对等保三级人员安全管理提出了具体要求。这些标准详细规定了信息系统安全等级保护的基本原则、实施步骤、技术要求和管理措施，为等保三级人员安全管理提供了技术依据。

(3)同时，相关法律法规如《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》等，也对等保三级人员安全管理提出了要求。这些法律法规明确了国家秘密、商业秘密和个人隐私的保护责任，要求相关单位加强人员安全管理，确保信息安全。这些法律依据共同构成了等保三级人员安全管理制度的法律框架。

二、组织机构与职责

1.安全管理部门的设立与职责

(1)在我国，安全管理部门的设立是等保三级人员安全管理的关键环节。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）的规定，等保三级