安全资讯

《网络安全等级保护条例》深度解析

网络安全等级保护是落实“分等级保护、突出重点、积极防御、综合防护”的总体要求,建立“打防管控”一体化的网络安全综合防御体系,提升国家网络安全整体防御能力,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防护,变粗放防护为精准防护。

第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。

第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。

第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。前款所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。

涉密网络应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。

第五条【职责分工】中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。

国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。

国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。

解析:这一条明确了,中央网信机构领导网络安全等级保护工作,公安部门主管网络安全等级保护工作,国家网信部门负责等保工作的统筹协调。保密局,密码局负责各自领域的监督管理。也就是说密码局和保密局的分级保护(简称分保)也是等保工作的一部分。县级以上公安机关(包括县区一级),等保工作第一次下放到县区一级。未来等保监督、执法检查、备案等工作,县区一级公安机关也要参与。

解析:根据《中华人民共和国网络安全法》的解释网络运营者,是指网络的所有者、管理者和网络服务提供者。网络运营者应当依法开展网络定级备案,意味着网络运营者必须对自己拥有的系统不管是一级系统还是一级以上的系统都要进行定级工作。在《信息安全技术网络安全等级保护基本要求》中对于一级系统这么要求的:应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。也就是说一级网络可以不用到公安机关备案,但是必须要有记录表单类文档,来记录保护对象的安全保护等级和确定等级的方法和理由。但是对于二级以上的系统要求必须到公安机关备案。对安全建设整改、等级测评和自查等工作,这里指的是对应的等保标准里要履行的动作,比如三级系统每年必须测评一次,但标准里没有要求二级系统必须测评,二级只是要求定期进行等级测评,在发生重大变更或级别发生变化时进行等级测评。根据各自系统的级别,查询对应级别的标准里的要求。至于后面的采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动,15级系统标准都有要求。

解析:行业主管部门比如说教育局,卫健委,银保监局,人民银行等行业主管部门应当组织、指导本行业、本领域落实网络安全等级保护制度。对于下级单位的定级问题,应该出具主管部门的审批意见。具体的行业主管部门怎么定义,什么单位算行业主管部门,有具体文件要求。

第八条【总体保障】国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。

解析:各级政府和行业主管部门必须将网络安全等级保护制度纳入信息化工作的总体规划之中,之前很多部门,每年信息化工作可能会投入很多钱,但是经常忽略安全的建设,只重建设,不重安全,忽略网络安全的重要性,这一条明确要求纳入总体规划。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全等级保护国家标准、行业标准的制定。

第十条【投入和保障】各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。

第十一条【技术支持】国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。

第十二条【绩效考核】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。

第十三条【宣传教育培训】各级人民政府及其有关部门应当加强网络安全等级保护制度的宣传教育,提升社会公众的网络安全防范意识。

解析:为了提升整个国家的网络安全防护水平,鼓励各级政府和相关部门加强网络安全等级保护制度的宣传教育,提升全民的网络安全防范意识。也鼓励事业单位、高校、研究机构开展网络安全等级保护制度的教育和培训,培养网络安全等级保护管理和技术人才。现在网络安全人才缺口非常大,也亟需网络安全人才。当前网络安全防护水平相比十年前已经得到了极大的提升,等级保护工作可以说功不可没。

国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。

一是保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;

三是保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。

第三章网络的安全保护

(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。

(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。

(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

不同级别的等级保护对象应具备的基本安全保护能力如下:

第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。

网络运营者不履行本条规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。

解析:业务系统应该定为二级的或者二级以上的,网络运营者要组织专家进行评审,有行业主管部门的,应当在评审后报请主管部门核准。定级备案的流程是确定定级对象》拟定二级的系统》进行专家评审—》行业主管部门审批定级是否合理》公安机关终审定级是否准确》符合发备案证明》否则退回重新定级。

网络运营者不履行本条第一款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。

解析:第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。这里强调的是等级确定后的10个工作日内,而不是网络建成后的10个工作日。如果网络撤销、废弃,不再使用或者需要调整安全保护等级,在10个工作日内也要去受理备案的公安机关备案撤销,或者变更。备案的具体办法由公安部门制定,当前的公安机关的备案表也会很快发生变化,因为当前公安机关的备案表中的表三确定系统服务安全保护等级和业务信息安全保护等级中根本就没有一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害这一项描述。

第十九条【备案审核】公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号