網絡安全等級保護是全國信息安全標準化技術委員會提出��,公安部信息安全等級保護評估中心牽頭起草完成��,主要目的是對國家秘密信息�����、法人�、和其他組織及公民的專有信息以及公開信息和存儲�����、傳輸���、處理這些信息的信息系統分等級實行安全保護����,對信息系統使用的信息安全產品實行按等級管理�,對信息系統中發生的信息安全事件分等級響應�����、處置�����。
信息和信息系統的安全保護等級共分五級:第一級為自主保護級���、第二級為指導保護級����、第三級為監督保護級����、第四級為強制保護級��、第五級為?���?乇Wo級����。
一�����、等級保護測評工作的內容
為了達到各級的安全保護能力要求�����,國家等級保護基本安全要求提出了技術要求和管理要求兩大類���,涵蓋了安全物理環境�、安全通信網絡����、安全區域邊界�����、安全計算環境����、安全管理中心���、安全管理制度�、安全管理機構����、安全管理人員�����、安全建設管理���、安全運維管理十個方面的內容����。
二��、為什么要做信息安全等級保護
第一 降低信息安全風險���,提高信息系統的安全防護能力
開展信息安全等級保護的最重要原因是為了通過等級保護工作���,發現單位系統內部存在的安全隱患和不足�����,通過安全整改之后���,提高信息系統的信息安全防護能力�,降低系統被各種攻擊的風險�����。
第二 等級保護是我國關于信息安全的基本政策�����。
《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27 號���,以下簡稱“27號文件”)明確要求我國信息安全保障工作實行等級保護制度���。
2007年6月發布的關于印發《信息安全等級保護管理辦法》的通知(公通字[2007]43號��,以下簡稱“43號文件”)���。
2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》�,網絡安全法第二十一條明確規定:國家實行網絡安全等級保護制度��。網絡運營者應當按照網絡安全等級保護制度的要求���,履行下列安全保護義務���,保障網絡免受干擾���、破壞或者未經授權的訪問���,防止網絡數據泄露或者被竊取���、篡改���。
第三 合理地規避風險����。
等保工作有沒有開展就是衡量一個企業信息安全與否的一個重要標準��,不僅可以有效的解決和規避安全風險�����,同時等級保護也是是國家基本信息安全制度要求����。
三�、網絡安全法對等級保護的影響
第二十一條 國家實行網絡安全等級保護制度��。網絡運營者應當按照網絡安全等級保護制度的要求���,履行下列安全保護義務���,保障網絡免受干擾�、破壞或者未經授權的訪問�,防止網絡數據泄露或者被竊取�����、篡改��。
21條是等級保護工作的鮮明旗幟����,是從國家層面對等級保護工作的法律認可�,是網絡安全法關于等級保護工作最重要的一條�。
第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估��,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門����。
38條����,是明確了有關鍵信息基礎設施單位����,需要每年對其網絡的安全性和可能存在的風險至少進行一次檢測評估��,沒有明確這里的檢測評估是什么形式�����,但是等級保護測評至少從技術上可以滿足這個要求��。
第五十九條網絡運營者不履行本法第二十一條���、第二十五條規定的網絡安全保護義務的���,由有關主管部門責令改正���,給予警告�����;拒不改正或者導致危害網絡安全等后果的���,處一萬元以上十萬元以下罰款����,對直接負責的主管人員處五千元以上五萬元以下罰款�。
關鍵信息基礎設施的運營者不履行本法第三十三條�����、第三十四條����、第三十六條����、第三十八條規定的網絡安全保護義務的����,由有關主管部門責令改正�����,給予警告����;拒不改正或者導致危害網絡安全等后果的���,處十萬元以上一百萬元以下罰款�,對直接負責的主管人員處一萬元以上十萬元以下罰款�����。
59條很明確�,就是用戶單位不做等級保護測評����,用戶單位需要被罰款1萬-100萬��;主管人員需要被罰款5000-10萬��。罰款是一方面����,處罰這件事對單位聲譽���,對個人聲譽�����,對個人的職業發展非常不利��。
四��、開展等級保護測評的益處
對于企業來說���,實施信息安全等級保護測評能夠有效地提高單位信息和信息系統安全建設的整體水平���,與國家安全保持一致�,有效控制企業信息安全建設成本���;有利于明確國家�����、法人和其他組織���、公民的信息安全責任����,加強企業信息安全管理�����。
對于信息系統來說����,通過等級保護測評可及時發現信息系統安全狀況并制定方案進行整改����,當信息系統完全達到安全保護能力要求時���,信息系統就基本可做到“進不來���、拿不走�、改不了�、看不懂��、跑不了��、可審計���、打不垮”�����。
京公網安備 11011202000939號
在線咨詢
010-57298809