企业怎么样实施网络安全等级保护制度?
一、网络安全等级保护系统的前身
网络安全级别保护系统不是新事物,是计算机信息系统安全级别保护系统的升级版本。
1994年颁布的《中华人民共和国计算机信息系统安全与保护条例》(以下简称《计算机安全条例》)首先明确了由公安机关监督实施的计算机信息系统安全保护水平。作为主管当局。
此后,公安部与有关部门一道,逐步完善了层次保护制度和管理的具体内容,并导致了“计算机信息系统安全保护等级分类指南”(gb-17859-1999)等一系列国家标准的改进。2007年,四个部委发布了《信息安全等级保护行政措施》。
随着目前社会的快速发展,网络的扩展不断扩大,云计算、大数据、物联网、工业控制系统纷纷出现。计算机信息系统的层次保护系统已经不能再适应了。所以,《网络安全法》确认并更新了等级保护(以下简称“等保”)制度的内容。与此同时,正在制定、修订或改进相关的支持性国家标准。
二、公司有义务实施等级保护体系
许多企业认为,网络安全等保与自己的企业没有什么关系。
这在“网络安全法”正式实施之前可能是正确的。《计算机安保条例》第四条规定“计算机信息系统的安全与保护,以国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全为重点”。
但是, 与《计算机等保条例》有限的适用范围不同, 《网络安全法》规定网络运营者均负有实施网络安全等级保护制度的义务。并且, 《网络安全法》第五十九条明确规定, 未落实网络安全等级保护义务的“由有关主管部门责令改正, 给予警告; 拒不改正或者导致危害网络安全等后果的, 处一万元以上十万元以下罚款, 对直接负责的主管人员处五千元以上五万元以下罚款。”
《网络安全法》实施后,公安机关开始对未履行网络安全和其他安全义务的企业进行处罚。
公安机关作为网络安全的主管机关之一,在《网络安全法》逐步完善后,将把网络安全保护制度作为网络安全领域的一项重点工作来推进。因此,企业不应该有侥幸心态,要积极履行网络安全水平保护的义务。
三、是实施网络安全级别保护系统
网络安全等级保护体系包括法律和技术体系。企业仅靠自身实力履行保险义务更为困难。建议聘请专业的法律机构和合格的评估机构协助实施。企业应当立即履行法律明确规定的义务:
制定内部安全管理制度和操作规程,确定网络安全负责人;
采取技术措施,防止计算机病毒和网络攻击,网络入侵等网络安全行为;
采取技术措施,监测、记录网络运行状况和网络安全事件,并按照规定保存相关网络日志不少于6个月;
采取数据分类、重要数据备份、加密等措施。
四、要注意的问题
1.评级是否由评估机构和专业组织确定?
虽然聘请了专业的评估机构来帮助履行平等的保障义务,但对网络信息系统分级准确性的责任仍由企业承担。因此,评价机构只提出等级建议,最终的等级需要企业正确把握。被确定为二级以上的,在二级以上确定之日起三十日内向公安机关备案。
2.一次或两次?
对于评级为3级或以上的网络运营商来说,这不是一劳永逸的问题。三级网络运营商应至少每年进行一次评估和自我检查。四级网络运营商的评审和自我检查应至少每六个月进行一次。
三。采用SaaS和其他网络框架并租用云服务的网络运营商不承担同等的等保义务?
目前saas、paas、issa等普遍采用网络结构或租赁云服务或由他人托管的系统。在上述情况下,公司仍有法律义务实施此类保险。要参照相关国家标准和网络服务提供商根据网络边界划分,明确双方的责任。
网络安全级别保护系统不是新事物,是计算机信息系统安全级别保护系统的升级版本。
1994年颁布的《中华人民共和国计算机信息系统安全与保护条例》(以下简称《计算机安全条例》)首先明确了由公安机关监督实施的计算机信息系统安全保护水平。作为主管当局。
此后,公安部与有关部门一道,逐步完善了层次保护制度和管理的具体内容,并导致了“计算机信息系统安全保护等级分类指南”(gb-17859-1999)等一系列国家标准的改进。2007年,四个部委发布了《信息安全等级保护行政措施》。
随着目前社会的快速发展,网络的扩展不断扩大,云计算、大数据、物联网、工业控制系统纷纷出现。计算机信息系统的层次保护系统已经不能再适应了。所以,《网络安全法》确认并更新了等级保护(以下简称“等保”)制度的内容。与此同时,正在制定、修订或改进相关的支持性国家标准。
二、公司有义务实施等级保护体系
许多企业认为,网络安全等保与自己的企业没有什么关系。
这在“网络安全法”正式实施之前可能是正确的。《计算机安保条例》第四条规定“计算机信息系统的安全与保护,以国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全为重点”。
但是, 与《计算机等保条例》有限的适用范围不同, 《网络安全法》规定网络运营者均负有实施网络安全等级保护制度的义务。并且, 《网络安全法》第五十九条明确规定, 未落实网络安全等级保护义务的“由有关主管部门责令改正, 给予警告; 拒不改正或者导致危害网络安全等后果的, 处一万元以上十万元以下罚款, 对直接负责的主管人员处五千元以上五万元以下罚款。”
《网络安全法》实施后,公安机关开始对未履行网络安全和其他安全义务的企业进行处罚。
公安机关作为网络安全的主管机关之一,在《网络安全法》逐步完善后,将把网络安全保护制度作为网络安全领域的一项重点工作来推进。因此,企业不应该有侥幸心态,要积极履行网络安全水平保护的义务。
三、是实施网络安全级别保护系统
网络安全等级保护体系包括法律和技术体系。企业仅靠自身实力履行保险义务更为困难。建议聘请专业的法律机构和合格的评估机构协助实施。企业应当立即履行法律明确规定的义务:
制定内部安全管理制度和操作规程,确定网络安全负责人;
采取技术措施,防止计算机病毒和网络攻击,网络入侵等网络安全行为;
采取技术措施,监测、记录网络运行状况和网络安全事件,并按照规定保存相关网络日志不少于6个月;
采取数据分类、重要数据备份、加密等措施。
四、要注意的问题
1.评级是否由评估机构和专业组织确定?
虽然聘请了专业的评估机构来帮助履行平等的保障义务,但对网络信息系统分级准确性的责任仍由企业承担。因此,评价机构只提出等级建议,最终的等级需要企业正确把握。被确定为二级以上的,在二级以上确定之日起三十日内向公安机关备案。
2.一次或两次?
对于评级为3级或以上的网络运营商来说,这不是一劳永逸的问题。三级网络运营商应至少每年进行一次评估和自我检查。四级网络运营商的评审和自我检查应至少每六个月进行一次。
三。采用SaaS和其他网络框架并租用云服务的网络运营商不承担同等的等保义务?
目前saas、paas、issa等普遍采用网络结构或租赁云服务或由他人托管的系统。在上述情况下,公司仍有法律义务实施此类保险。要参照相关国家标准和网络服务提供商根据网络边界划分,明确双方的责任。
