-->

高级保密师浅谈网络安全等级保护

神州明达专注信息安全领域13年上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。

2018年6月27日,公安部正式下发了《网络安全等级保护条例(征求意见稿)》。《条例》拟将网络分为五个安全保护等级,拟规定未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息,不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息,不得泄露、篡改、损毁其收集的数据和个人信息,不得非授权访问、使用、提供数据和个人信息。下面,北京神州明达高级保密师,与您分享关于网络安全等级保护的一些知识。
 
 
一、网络安全法中提出等级保护
 
随着网络时代的到来,智能化、自动化、大数据、物联网已经越来越普遍,数据信息保护的地位和作用越来越突出。“没有网络安全就没有国家安全,没有信息化就没有现代化。”在中央网络安全和信息化领导小组第一次会议上,习近平总书记提出网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。《中华人民共和国网络安全法》于2017年6月1日开始正式实施。
 
第二十一条明确,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第二十一条,强调了等级保护工作,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条。简单的来说,单位不做等级保护工作就是违法。
 
第三十八条明确,关键信息基础设施的运营者应当自行或者委托网络安全服务机构,对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
 
第五十九条明确,网络运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
 
 
二、哪些单位需要做等级保护
 
《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢?
 
(一)政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
 
(二)金融行业:金融监管机构、各大银行、证券、保险公司等;
 
(三)电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
 
(四)能源行业:电力公司、石油公司、烟草公司;
 
(五)企业单位:大中型企业、央企、上市公司等;
 
(六)其它有信息系统定级需求的行业与单位。
 
三、等级保护流程
 
(一)定级。信息系统安全等级,由系统运用、使用单位根据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级。新建信息系统在设计、规划阶段确定安全保护等级。
 
(二)备案。运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。
 
(三)等级测评。运营、使用单位或者主管部门应当选择合规测评机构,定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评,四级及以上信息系统至少每半年进行一次等级测评,五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告,并出具测评结果通知书,明示信息系统安全等级及测评结果。
 
(四)系统安全建设整改。运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。对于未达到安全等级保护要求的,运营、使用单位应当进行整改。整改完成应当将整改报告报公安机关备案。
 
(五)监督检查。公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
 
 
四、等级保护分级
 
企业或单位应根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之定级一定要合理定级,附合单位实际情况,不要过度定级,也不能定级过低,不然还要重新评测,会增加成本浪费和提高难度。
 
(一)第一级(自主保护级)。信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
 
(二)第二级(指导保护级)。信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
 
(三)第三级(监督保护级)。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
 
(四)第四级(强制保护级)。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
 
(五)第五级(专控保护级)。信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分。
 
结束语:最近,不管是华驻酒店5亿信息泄密,还是顺风快递3亿条客户数据在暗网兜售,都对企业和单位提出了严肃的警告,不重视信息安全,损失的不只是企业的利益和形象,危害到公共事业安全和国家信息安全都要追究法律责任。总之,等级防护是一项事关企业生存和发展的信息安全保护系统工程,等级评测从物理安全、网络安全、主机安全、安全管理制度等十个维度,总共300多项内容的评测,并不是一个简单的事情,企业单位新系统开发建设后,都应及时开展等级保护测评或相关安全测试,避免系统带病上线,将安全隐患消除在萌芽状态,防止出现无法挽回的严重后果。
 
神州明达是一家专注于企业商业秘密保护和数据信息安全的公司,将为您提供可靠专业的数据安全等级保护的服务和支持。
 

上一篇:职工跳槽引发侵害商业秘密纠纷,“先刑后民”

下一篇:谷歌承认存在隐私问题 用户数据安全何时了