⑴ 網路安全等級保護制度中等級檢驗定價決定權在誰手裡
等保制度是網路安全從業者開展網路安全工作的重要指導體系和制度。網路安全等級保護制度2.0(以下簡稱「等保2.0」)配合著多項已經生效和/或正在制定的法律法規及國家標准實施,智慧安全港建議各企業重視相關內容的學習,加強信息保護合規系統建設,以便為即將可能開展的執法工作做好准備,本文對等保2.0的重要內容作出了梳理。
為適應新技術的發展,由公安部牽頭組織開展了信息技術新領域等級保護重點標准申報國家標準的工作,等級保護正式進入2.0時代。
一、發布主體
國家市場監督管理總局、國家標准化管理委員會
二、相關標准
《信息安全技術 網路安全等級保護基本要求》、《信息安全技術 網路安全等級保護測評要求》、《信息安全技術網路安全等級保護安全設計技術要求》
三、重要日期
等保2.0相關國家標准於2019年5月10日正式發布。2019年12月1日開始實施。
四、歷史沿革
2017年,《網路安全法》首次提出「網路安全等級保護制度」的概念,並明確相關具體要求。2018年,《網路安全等級保護條例(徵求意見稿)》(以下簡稱「《等級保護條例》」)提出「國家實行網路安全等級保護制度,對網路實施分等級保護、分等級監管」。
五、重點內容
1
《等級保護條例》
關鍵內容:條例適用范圍
在中華人民共和國境內建設、運營、維護、使用網路,開展網路安全等級保護工作以及監督管理,適用《等級保護條例》,個人及家庭自建自用的網路除外。
關鍵內容:網路安全等級保護制度由哪個部門負責/領導?
關鍵內容:網路安全等級分為哪幾級?
關鍵內容:作為網路運營者,(程序上)企業應該怎麼做?
S1【網路定級】:在規劃設計階段確定網路的安全保護等級。當網路功能、服務范圍、服務對象和處理的數據等發生重大變化時,應當依法變更網路的安全保護等級。
S2【定級評審】:對擬定為第二級以上的網路,其運營者應當組織專家評審;有行業主管部門的,應當在評審後報請主管部門核准。跨省或者全國統一聯網運行的網路由行業主管部門統一擬定安全保護等級,統一組織定級評審。行業主管部門可以依據國家標准規范,結合本行業網路特點制定行業網路安全等級保護定級指導意見。
S3【定級備案】:第二級以上網路運營者應當在網路的安全保護等級確定後10個工作日內,到縣級以上公安機關備案。因網路撤銷或變更調整安全保護等級的,應當在10個工作日內向原受理備案公安機關辦理備案撤銷或變更手續。
S4【備案審核】:公安機關應當對網路運營者提交的備案材料進行審核。對定級准確、備案材料符合要求的,應在10個工作日內出具網路安全等級保護備案證明。
S5【上線檢測】:新建的第二級網路上線運行前應當按照網路安全等級保護有關標准規范,對網路的安全性進行測試。新建的第三級以上網路上線運行前應當委託網路安全等級測評機構按照網路安全等級保護有關標准規范進行等級測評,通過等級測評後方可投入運行。
S6【等級測評】:第三級以上網路的運營者應當每年開展一次網路安全等級測評,發現並整改安全風險隱患,並每年將開展網路安全等級測評的工作情況及測評結果向備案的公安機關報告。
S7【安全整改】:網路運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。
S8【自查工作】:網路運營者應當每年對本單位落實網路安全等級保護制度情況和網路安全狀況至少開展一次自查,發現安全風險隱患及時整改,並向備案的公安機關報告。
2
《信息安全技術 網路安全等級保護基本要求》
關鍵內容:不同安全保護等級的等級保護對象應具備的基本安全保護能力
關鍵內容:安全要求的分類
3
《信息安全技術 網路安全等級保護測評要求》
關鍵內容:測評方法
4
《信息安全技術網路安全等級保護安全設計技術要求》
關鍵內容:不同等級的系統安全保護環境設計目標
六、等保2.0的實施對企業有哪些影響?
根據誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,網路運營者成為等級保護的責任主體,如何快速高效地通過等級保護測評成為企業開展業務前必須思考的問題。
一級系統簡單,不需要備案,影響程度很小,因此不作為重點監管對象;二級系統大概50萬個左右;三級系統大概5萬個;四級系統量級較大,比如支付寶、銀行總行系統、國家電網系統,有1000個左右;五級系統屬國家級、國防類的系統,比如核電站、軍用通信系統。
七、網路安全等級保護常見注意事項
1、等級測評並非安全認證
很多人容易把等保測評等同於安全認證。等保測評並非相當於ISO20000系列的信息技術服務管理認證,也並非於ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度,是國家意志的體現。落實等級保護制度為了國家法律法規的合規需求。
等級保護測評沒有相應的證書,如何才能證明信息系統已經符合等級保護安全要求了呢?目前這主要是由公安部授權委託的全國一百多家測評機構,對信息系統進行安全測評,測評通過後出具《等級保護測評報告》,拿到了符合等保安全要求的測評報告就證明該信息系統符合了等級保護的安全要求。
2、等保制度只是基本要求
等保制度只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但就目前的測評結果來看,幾乎沒有任何一個被測系統能全部滿足等保要求。一般情況下,目前等級保護測評過程中,只要沒發現高危安全風險,都可以通過測評。但是,安全是一個動態而非靜止的過程,而不是通過一次測評,就可以一勞永逸的。 企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。
3、內網系統也需要做等級測評
首先,所有非涉密系統都屬於等級保護范疇,和系統在外網還是內網沒有關系;《網路安全法》規定,等級保護的對象是在中華人民共和國境內建設、運營、維護和使用的網路與信息系統。因此,不管是內網還是外網系統,都需要符合等級保護安全的要求。
其次,在內網的系統往往其網路安全技術措施做的並不好,甚至不少系統已經中毒不淺。2017年肆虐全球的永恆之藍勒索病毒攻擊,導致了大量內網系統癱瘓,這提醒我們內網系統的安全防護同樣不能馬虎。所以不論系統在內網還是外網都得及時開展等保工作。
4、系統上雲或者託管在其他地方就也需做等級測評
目前,比較多的小型企業客戶偏向於把系統部署在雲平台與IDC機房。這些雲平台、IDC機房一般都通過了等級測評。不過,根據「誰運營誰負責,誰使用誰負責,誰主管誰負責」的原則,系統責任主體仍然還是屬於網路運營者自己,所以,還是得承擔相應的網路安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
部署在雲平台的系統還需要購買雲平台的安全服務或者第三方安全服務,部署在IDC機房的系統還需要購買相應的安全設備以滿足等保安全要求。
5、不可根據自己的主觀意願來定級
目前的等級保護對象(信息系統)的安全級別分為五個等級,如果定了1級,不需要做等級測評,自主進行保護即可。定2級以上就需要進行等級測評。系統級別的確定需要根據系統的重要性進行決定。如果定高了,有可能造成投資的浪費;定低了則有可能造成重要信息系統得不到應有的保護,應該謹慎定級。
等保1.0的要求是自主定級,有主管部門的需要主管部門審核,最終報送公安機關進行審核。等保2.0之後定級流程新增了「專家評審」和「主管部門審核」兩個環節,這樣定級過程將會變得更加規范,定級也會更加准確。
6、系統備案場所
《信息安全等級保護管理辦法》規定,等級保護的主體單位為信息系統的運營、使用單位。備案主體一般不會是開發商、系統集成商,而是最終的用戶方。
目前有些單位的注冊地跟運營地不一致,正常情況下需要去運營地區的網安部門辦理備案手續。比如客戶注冊地在北京海淀區,運營部門在北京朝陽區,需要到北京朝陽區辦理定級備案手續,當然,前提是北京朝陽區必須有正規辦公地址。
有些單位的系統部署在雲平台,雲平台的實際物理地址往往和雲系統網路運營者不在同一地址。而且,有些單位的運維團隊和注冊經營地址也不一致。這種情況下,雲系統應當在系統實際運維團隊所在地市網安部門進行系統備案,因為這樣會方便屬地公安對系統進行監管。
所以,大部分情況下,還是需要到系統的運維人員實際所在地進行定級備案
⑵ 網路安全法涵蓋了網路安全治理相關的全部法律規則嗎
《網路安全法》沒有涵蓋網路安全治理相關的全部法律規則。
《網路安全法》第七十八條規定:「軍事網路的安全保護,由中央軍事委員會另行規定。」
《網路安全法》第七十四條規定:「違反本法規定,給他人造成損害的,依法承擔民事責任。」這里就要根據《民法典》來裁定。
網路詞條:網路安全法
⑶ 國家哪個部門負責協調網路安全工作
國家網信部門負責統籌協調網路安全工作和相關監督管理工作,具體內容如下:
1、國務院電信主管部門、公安部門和其他有關機關依照《中華人民共和國網路安全教育法》和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。縣級以上地方人民政府有關部門的網路安全保護和監督管理職責,按照國家有關規定確定;
2、任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益;
3、各級人民政府及其有關部門應當組織開展經常性的網路安全宣傳教育,並指導、督促有關單位做好網路安全宣傳教育工作,大眾傳播媒介應當有針對性地面向社會進行網路安全宣傳教育。
法律依據
《中華人民共和國網路安全法》
第三十九條 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與網路功能的恢復等,提供技術支持和協助。第二十三條 網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重復認證、檢測。
⑷ 網路安全由哪個部門負責
法律分析:網路安全由國家網信部門負責。根據相關規定,國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。縣級以上地方人民政府有關部門的網路安全保護和監督管理職責,按照國家有關規定確定。
法律依據:《中華人民共和國網路安全法》第八條 國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。縣級以上地方人民政府有關部門的網路安全保護和監督管理職責,按照國家有關規定確定。
⑸ 網路安全等級保護制度
關於網路安全等級的保護制度是:規范計算機系統安全建設和使用的標准以及管理辦法。安全工作的整個流程分為五個環節,包括定級、備案、建設整改、等級測評、監督檢查,網路安全等級保護制度是國家網路安全的基本制度、基本國策網路安全等級保護是黨中央、國務院決定在網路安全領域實施的基本國策。
法律依據
《中華人民共和國網路安全法》 第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
⑹ 軍事網路的安全保護由什麼另行規定
《中.華人.民共.和國網路安全法》
第七十八條 軍事網路的安全保護,由中.央軍事委.員會另行規定。
⑺ 軍事網路的安全保護適用網路安全法嗎
軍事網路的安全保護是適用網路安全法的,網路安全法就是通過各項技術和管理措施,才能使網路系統正常的運行,從而確保網路數據的可用性、完整性和保密性,所以軍事網路的安全保護適用網路安全法。網路安全法的適用范圍不僅僅是包括社會網路,軍隊內部使用的網路同樣適用,但軍事網路安全保護具體要求由中央絕核軍事委員會另行規定。由於肯定是涉及國家安全和機密的,因此軍事網路的特別保護方式、職責、要求我們是了解不到的,肯定會比民用網路保護要求高很多。
《中華人民共和國網路安全法》是為保障網路安全,維基宏隱護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展而制定的法律。《網路安全法》是我國第一部全面規范網路空間安全管理方面問題的基礎性法律,是我國網路空間法治建設的重要里程碑,是依法治網、化解網路風險的法律重器,是讓互聯網在法治軌道上健康運行的重要保障。《網路安全法》將近年來一些成熟的好做法制度化,並為將來可能的制度創新做搏廳了原則性規定,為網路安全工作提供切實法律保障。
法律依據:
根據《網路安全法》第七十八條,軍事網路的安全保護,中央軍事委員會另行規定。