网络安全等级保护基本要求.docxVIP

网络安全等级保护基本要求

第一章总论：制度背景、核心概念与适用范围

为规范网络安全等级保护工作，保障国家关键信息基础设施、重要网络和数据的安全，维护国家安全、社会秩序和公共利益，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》及《网络安全等级保护条例》等法律法规，制定本网络安全等级保护基本要求。网络安全等级保护制度是我国网络安全领域的基本制度、基本国策，是对网络和信息系统分等级实行安全保护，对网络和系统中使用的安全产品实行按等级管理，对网络和信息系统中发生的信息安全事件分等级响应、处置。本基本要求是落实网络安全等级保护制度的技术与管理核心，是网络运营者履行安全保护义务、等级测评机构开展测评、网络安全服务机构提供服务的基准，也是国家有关管理部门进行监督、检查、指导的重要依据。本要求适用于中华人民共和国境内建设、运营、维护、使用的网络（包括基础网络、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的网络等），以及尚未划分安全保护等级的网络。本基本要求的制定与实施，旨在构建系统化、标准化、流程化的网络安全防护体系，提升网络运营者的安全防护能力，有效应对日益严峻复杂的网络安全威胁，保障经济社会信息化发展的安全基础。

网络安全等级保护工作的核心目标是构建一个“防御、检测、响应、恢复”相结合的综合网络安全防护体系，实现“关口前移，防患于未然”。其具体目标包括：风险识别与定级精准化目标，指导网络运营者科学、准确地识别其网络的重要程度，一旦遭到破坏、丧失功能或者数据泄露后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益造成的危害程度，从而合理确定其安全保护等级，为实施差异化的安全保护措施奠定基础。防护措施体系化目标，针对不同安全保护等级的网络，构建涵盖技术和管理两个维度的纵深防御体系。技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面；管理要求包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。通过体系化的要求，避免防护措施“碎片化”。合规管理流程化目标，将网络安全工作从“项目制”、“运动式”转化为覆盖网络生命周期（规划设计、开发实现、运行维护、终止废弃）的常态化、流程化管理。要求网络运营者建立并执行贯穿始终的安全管理流程，将安全要求融入网络建设和使用的每个环节。安全责任明晰化目标，明确网络运营者作为网络安全责任主体，必须按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，落实网络安全保护责任，建立健全内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。监督检查与持续改进目标，建立以等级测评、安全自查、监督检查、监测预警、信息通报、应急处置为主要内容的监督检查与持续改进机制，推动网络运营者主动发现和整改安全隐患，不断提升安全防护水平。本基本要求是达成上述目标的具体行动纲领。

第二章安全保护等级的划分与定级流程

科学、准确地确定网络的安全保护等级，是实施等级保护的前提。安全保护等级划分，根据网络在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据泄露对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的危害程度，将网络安全保护等级分为五级。第一级，网络受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。第二级，网络受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不危害国家安全。第三级，网络受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，网络受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，网络受到破坏后，会对国家安全造成特别严重损害。

定级对象与定级要素，定级对象通常指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。主要包括：基础信息网络、工业控制系统、云计算平台、大数据平台、物联网、采用移动互联技术的网络等。定级依据两个要素：受侵害的客体（国家安全、社会秩序、公共利益、公民法人其他组织合法权益）和对客体的侵害程度（一般损害、严重损害、特别严重损害）。定级工作流程，网络运营者应按照以下流程自主定级：确定定级对象-初步确定等级（由专家评审）-组织专家评审（二级及以上）-主管部门审核批准（三级及以上）-公安机关备案审查。其中，第一级网络不需要专家评审和主管部门审核，但需备案。网络运营者应对定级结果的准确性、合理性负责。定级是后续安全建设整改、等级测评、监督检查等工作开