网络安全等级保护条例

　　网络安全等级保护条例

　　① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

　　② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

　　③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

　　④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

　　⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

　　网络安全等级保护条例

　　消息释放

　　6月25日， 2018网络安全标准论坛暨云计算安全与通用评估标准培训会，在京召开。

　　本次会上“由公安部牵头，会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》拟将于本周在网上发布”的消息一经发布，引发整个网络安全行业的强烈关注，一时成为热议的焦点。

　　公安部网络安全保卫局总工郭启全透露：去年12月中央提出最新要求：建立实施关键信息基础设施保护制度，加强能源、金融、通信、交通等重要领域关键信息基础设施安全保护。目前中央层面、部委层面已经完全协调一致，由中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作也已经完成，目前正在走司法程序。

　　值得注意的是，公安部第三研究所检测中心联合云安全联盟(CSA)针对云计算产品推出了一种全新的认证模式，能够对服务产品本身的安全性和产品提供的安全能力进行测评认证。国内知名的安全厂商，不断追求产品的安全能力，致力于提供更安全的云计算产品，都参加了该认证。这让未来云端服务和云安全产品的安全能力释放有了框架可依。

　　释放消息

　　当天，与会领导和专家们围绕“网络安全”这一主题，共同研讨与探索等级保护、云计算安全标准与体系，并就合规管理、产业发展、最新技术等方面展开深入探讨。

　　公安部第三研究所副所长刘晓京关于网络安全建设工作提出三点看法：第一，强化安全地位，夯实服务基础;第二，加强安全创新，标准体系先行;第三，标准适应国情，构建网络安全。

　　郭启全在发言中表示，关键信息基础设施保护是网络安全等级保护制度2.0的重点，必须按照网络安全等级保护制度要求，开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。要打造2.0时代的国家网络安全等级保护制度体系，全力开展关键信息基础设施保护。

　　公安部网络安全保卫局副处长陆磊现场对法律政策和产品管理进行了详细的介绍。法律政策方面，四部委对经过安全认证和检测的网络关键设备和网络安全专用产品，以目录形式统一进行发布;在产品管理中，为方便厂商和打击伪造、仿造、编造销售许可证的行为，公安部对销售许可证书改版。

　　方案分享

　　作为专业的数据安全产品及解决方案提供商安华金和受邀参加此次大会。现场，安华金和高级咨询专家林鹭也结合网络安全等级保护的政策标准带来了《大数据时代个人信息保护实践》的主题演讲，和与会嘉宾分享数据安全企业在应对国家政策标准、等保合规以及企业切实安全需求时，可以提供的个人敏感信息保护方案。

　　对方案进行简单拆解，可以沿着三个步骤走：

　　1、个人信息梳理

　　个人信息定位→个人信息标识→个人信息清单

　　2、个人信息动态监控

　　个人信息源监控→个人信息访问路径分析→访问热度分析→危险行为分析

　　3、个人信息防护

　　①个人信息脱敏

　　②个人信息访问控制

　　此外，面对本次大会上提到的关于云计算产品的全新认证模式，作为安华金和三大主营业务之一的安华云安全也有自己的思考：面向云平台用户，不能简单的将传统安全产品和模式照搬，安全能力的重点和交付方式都需要更贴近云用户的需求、架构与应用习惯，但核心技术是安全能力云化的基础。安华金和基于传统数据安全领域多年的深耕，已经构建了非常成熟和完善的数据安全技术体系，面向云用户，更重要的是能够适配云平台的灵活可扩缩，将安全以更轻的方式交付用户。安全能力SaaS化是未来的趋势，安华金和已经能够提供数据库审计SaaS化服务，能够为云平台上的SaaS企业及其用户提供一对一，及一对多的数据库审计服务，保障云上用户的敏感信息安全使用。

　　开展数据安全事业，一定不能囿于眼前的一亩三分地，而是需要具有立体思维，向上，紧跟国家法律政策、标准、条例、规范的要求进行数据安全建设思路的输出;向内，以数据安全治理技术路线为纲进行产线的扩充和完善;向外，结合行业特性和用户业务场景，去贴近用户的真实需求提供整体的解决方案。

　　目前，安华金和的数据安全产品已经成功应用于众多政府单位及金融机构的核心业务系统中，为政府及金融行业关键数据提供全面的安全防护。

　　网络安全等级保护条例

　　2007年对于信息安全等级保护来说，是一个大年。除前面我谈到的43号文外，在当年7月16日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)，这个文件是为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(66号文)、《信息安全等级保护管理办法》(43号文)精神。从这里，我们可以看到国家在信息安全等级保护工作中的文件是一脉相承，循序渐进，逐步推进的。

　　在861号文中，通知内容首当其冲的是定级范围，我们在通知中看到电信、铁路、银行、海关等行业，也就是囊括我们现在见到的备案表里的47个行业，而备案表与定级报告模板，也是在861号文中给出的;那么861号文还要求市(地)级以上党政机关的重要网站和办公信息系统，在这个次定级过程中，没有涉及县级的信息系统;再者，涉及国家秘密的信息系统，即涉密系统。既然是安全等级保护定级工作的通知，定级范围包括涉密系统，回顾43号文名称为《信息安全等级保护管理办法》，也介绍到分级保护、密评等内容。那么也就是说，这三个方面分别有公安、保密、密码管理各司其职，各负其责，都是等级保护体系的一个方向，共同组成我国的等级保护制度体系。

　　其次是，定级工作的主要内容。

　　要求是开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

　　初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

　　评审与审批。初步确定信息系统安全保护等级后，可以聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

　　备案。根据《管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一和表二，第三级以上信息系统的备案单位还应当提交备案表附件所列各项内容的书面材料。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。

　　上面的工作方法是等级保护的基本方法，无论监管部门便于监管，还是运营使用单位自身，通过摸底调查清底数的工作方式方法都是有意义的。对于监管部门没办法监管不了解的信息系统，对于运营使用单位来说没办法保护一个自己不了解的信息系统。另外，备案是向当地设区的市级以上公安机关备案，所以在这个过程中一般是不去县级公安机关备案的。不同的系统需要去哪级公安机关备案，也出自861号文。

　　下面，又继续谈到了涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》(见附件3)，按照属地化管理原则，中央和国家机关单位的涉密信息系统向国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案;中央和国家机关地方所属单位的涉密信息系统，向所在地的省级保密工作部门备案。

　　涉密系统备案由保密工作部门负责，涉密系统建设使用单位需向保密部门备案。861号文也再次说明，涉密系统的分级保护是等级保护的一部分。

　　备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的，应当通知备案单位予以纠正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。

　　再往下看，就是定级工作的要求。

　　(一)加强领导，落实保障。各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导，及时掌握工作进展情况，并可组织成立专家组，明确技术支持力量。信息系统运营使用单位要成立等级保护工作组，落实责任部门、责任人员和经费，保障定级工作顺利进行。

　　(二)明确责任，密切配合。定级工作由各级公安机关牵头，会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作，督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求，具体实施定级工作。

　　(三)动员部署，开展培训。各地区、各部门要按照统一部署广泛进行宣传动员，举办形式多样的培训班、研讨班等，层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。

　　(四)及时总结，提出建议。各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验，形成定级工作总结报告，并及时报送公安部。涉密系统定级工作总结报告向国家保密局报送。

　　在861号文中，附件1：《信息系统安全等级保护定级报告》，这个是我们做等级保护工作时要完成的一个重要文件，这个是系统建设运营单位的工作，在实际等级保护工作中，少不了等保机构或等保咨询机构的协助与帮助。另外，附件2：信息系统安全等级保护备案表 ，这个也是我们去公安部门备案最重要的一个文件之一，这里面涉及的信息很多，很多信息系统建设运营单位初看会头大，同样实际工作中，也少不了等保机构或等保咨询机构的参与。

网络安全等级保护条例

https://m.habasit-longbelt.com/content/104158.html

推荐访问