網(wǎng)絡(luò)安全等級保護制度概述

網(wǎng)絡(luò)安全等級保護制度概述《網(wǎng)絡(luò)安全法》2017年6月1日實施標志著網(wǎng)絡(luò)安全保護進入有法可依的2.0時代，“網(wǎng)絡(luò)安全等級保護制度”首次從法律層面提及。網(wǎng)絡(luò)安全等級保護制度概述?《網(wǎng)絡(luò)安全法》第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任；（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。?《網(wǎng)絡(luò)安全法》第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護體系。信息安全等級保護制度內(nèi)涵信息安全等級保護工作包括五個環(huán)節(jié):?定級：即全國范圍內(nèi)的信息系統(tǒng)(包括網(wǎng)絡(luò))，按照重要性和遭受損壞后的危害性分為五個安全保護等級(第一級最低，逐級遞增，第五級最高)。?備案：等級確定后，第二級(含)以上信息系統(tǒng)到公安機關(guān)備案，公安機關(guān)審核合格后頒發(fā)備案證明。?建設(shè)整改：備案單位根據(jù)信息系統(tǒng)安全等級，按照國家標準開展建設(shè)整改，建設(shè)安全設(shè)施、落實安全措施、落實安全責任、建立和落實安全管理制度。?等級測評：備案單位選擇符合國家規(guī)定條件的測評機構(gòu)開展等級測評。?監(jiān)督檢查：公安機關(guān)對第二級信息系統(tǒng)進行指導(dǎo)，對第三、四級信息系統(tǒng)定期開展監(jiān)督、檢查、指導(dǎo)。定級是首要環(huán)節(jié)，通過定級，可以梳理各行業(yè)、各部門、各單位的網(wǎng)絡(luò)系統(tǒng)類型、重要程度和數(shù)量等，確定網(wǎng)絡(luò)安全保護的重點。建設(shè)整改是關(guān)鍵，通過建設(shè)整改使具有不同等級的網(wǎng)絡(luò)系統(tǒng)達到相應(yīng)等級的基本保護能力。網(wǎng)絡(luò)安全等級保護定級信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)照重要性和遭受損壞后的危害性分為五個安全保護等級：?第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。?第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。?第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。?第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。?第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。即信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。完善落實等級保護相應(yīng)措施除建立并落實上述管理制度要求外，《網(wǎng)安法》還從技術(shù)措施入手，對網(wǎng)絡(luò)安全等級保護制度的構(gòu)建提出了要求，這些要求主要體現(xiàn)在以下幾個方面：?企業(yè)需采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；?企業(yè)需采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；?企業(yè)需采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；?企業(yè)需采取技術(shù)措施和其他必要措施，確保收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。網(wǎng)絡(luò)安全等級保護測評在完成網(wǎng)絡(luò)安全等級保護工作后，企業(yè)還需要委托信息安全等級測評機構(gòu)對已經(jīng)完成等級建設(shè)的等級保護對象定期或不定期（如對系統(tǒng)進行重大改造后）進行等級測評，確保等級保護對象的安全保護措施符合相應(yīng)等級的安全要求。企業(yè)對等級保護對象進行測評時應(yīng)當委托符合條件的測評機構(gòu)開展等級測評。委托測評機構(gòu)開展等級測評工作的，我們建議企業(yè)在測評工作正式開始之前開展以下工作規(guī)避測評可能給自身帶來的系統(tǒng)運行風險和敏感信息泄露風險：?簽署委托測評協(xié)議。在測評工作正式開始之前，測評方和被測評單位需要以委托協(xié)議的方式明確測評工作的目標、范圍、人員組成、計劃安排、執(zhí)行步驟和要求以及雙方的責任和義務(wù)等，使得測評雙方對測評過程中的基本問題達成共識；?簽署保密協(xié)議。測評相關(guān)方應(yīng)簽署合乎法律規(guī)范的保密協(xié)議，以約束測評相關(guān)方現(xiàn)在及將來的行為。例如，雙方可以約定測評過程中獲取的相關(guān)系統(tǒng)數(shù)據(jù)信息及測評工作的成果屬被測評單位所有，測評方對其的引用與公開應(yīng)得到相關(guān)單位的授權(quán)，否則相關(guān)單位將按照保密協(xié)議的要求追究測評單位的法律責任；?簽署現(xiàn)場測評授權(quán)書。現(xiàn)場測評之前，測評機構(gòu)應(yīng)與相關(guān)單位簽署現(xiàn)場測評授權(quán)書，要求相關(guān)方對系統(tǒng)及數(shù)據(jù)進行備份，并對可能出現(xiàn)的事件制定應(yīng)急處理方案；?進行驗證測試和工具測試時，避開業(yè)務(wù)高峰期，在系統(tǒng)資源處于空閑狀態(tài)時進行；?整個現(xiàn)場測評過程要求系統(tǒng)運營、使用單位全程監(jiān)督。測評工作完成后，測評人員應(yīng)將測評過程中獲取的所有特權(quán)交回，把測評過程中借閱的相關(guān)資料文檔歸還，并將測評環(huán)境恢復(fù)至測評前狀態(tài)。結(jié)語《網(wǎng)