-->
  • 高級保密師淺談網絡安全等級保護

    神州明達專注信息安全領域13年,上萬家政府單位 軍工單位 企業 家庭的的共同選擇,為國內及全球客戶提供反竊聽反偷拍服務和產品,如果您擔心您的信息已經被竊聽,并想解決安全隱患,請聯系我們,尋求幫助。我們專業的反竊聽團隊將為您提供一系列個性化定制服務,隨時回復您的任何要求。

    2018年6月27日,公安部正式下發了《網絡安全等級保護條例(征求意見稿)》?!稐l例》擬將網絡分為五個安全保護等級,擬規定未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息,不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息,不得泄露、篡改、損毀其收集的數據和個人信息,不得非授權訪問、使用、提供數據和個人信息。下面,北京神州明達高級保密師,與您分享關于網絡安全等級保護的一些知識。
     
     
    一、網絡安全法中提出等級保護
     
    隨著網絡時代的到來,智能化、自動化、大數據、物聯網已經越來越普遍,數據信息保護的地位和作用越來越突出。“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。”在中央網絡安全和信息化領導小組第一次會議上,習近平總書記提出網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題?!吨腥A人民共和國網絡安全法》于2017年6月1日開始正式實施。
     
    第二十一條明確,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。第二十一條,強調了等級保護工作,是從國家層面對等級保護工作的法律認可,是網絡安全法關于等級保護工作最重要的一條。簡單的來說,單位不做等級保護工作就是違法。
     
    第三十八條明確,關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構,對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
     
    第五十九條明確,網絡運營者不履行網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
     
     
    二、哪些單位需要做等級保護
     
    《中華人民共和國網絡安全法》強調在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,并配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。那么哪些單位需要做等級保護呢?
     
    (一)政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等;
     
    (二)金融行業:金融監管機構、各大銀行、證券、保險公司等;
     
    (三)電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等;
     
    (四)能源行業:電力公司、石油公司、煙草公司;
     
    (五)企業單位:大中型企業、央企、上市公司等;
     
    (六)其它有信息系統定級需求的行業與單位。
     
    三、等級保護流程
     
    (一)定級。信息系統安全等級,由系統運用、使用單位根據《信息系統安全等級保護定級指南》自主確定信息系統的安全保護等級。新建信息系統在設計、規劃階段確定安全保護等級。
     
    (二)備案。運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營后30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核,對符合要求的在10個工作日內頒發等級保護備案證明。
     
    (三)等級測評。運營、使用單位或者主管部門應當選擇合規測評機構,定期對信息系統安全等級狀況開展等級測評。三級及以上信息系統至少每年進行一次等級測評,四級及以上信息系統至少每半年進行一次等級測評,五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告,并出具測評結果通知書,明示信息系統安全等級及測評結果。
     
    (四)系統安全建設整改。運營使用單位按照管理規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實安全管理制度。對于未達到安全等級保護要求的,運營、使用單位應當進行整改。整改完成應當將整改報告報公安機關備案。
     
    (五)監督檢查。公安機關依據信息安全等級保護管理規范,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
     
     
    四、等級保護分級
     
    企業或單位應根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的根據定級指南來,總之定級一定要合理定級,附合單位實際情況,不要過度定級,也不能定級過低,不然還要重新評測,會增加成本浪費和提高難度。
     
    (一)第一級(自主保護級)。信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
     
    (二)第二級(指導保護級)。信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
     
    (三)第三級(監督保護級)。信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
     
    (四)第四級(強制保護級)。信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
     
    (五)第五級(??乇Wo級)。信息系統受到破壞后,會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級準則和等級劃分。
     
    結束語:最近,不管是華駐酒店5億信息泄密,還是順風快遞3億條客戶數據在暗網兜售,都對企業和單位提出了嚴肅的警告,不重視信息安全,損失的不只是企業的利益和形象,危害到公共事業安全和國家信息安全都要追究法律責任??傊?,等級防護是一項事關企業生存和發展的信息安全保護系統工程,等級評測從物理安全、網絡安全、主機安全、安全管理制度等十個維度,總共300多項內容的評測,并不是一個簡單的事情,企業單位新系統開發建設后,都應及時開展等級保護測評或相關安全測試,避免系統帶病上線,將安全隱患消除在萌芽狀態,防止出現無法挽回的嚴重后果。
     
    神州明達是一家專注于企業商業秘密保護和數據信息安全的公司,將為您提供可靠專業的數據安全等級保護的服務和支持。
     

    上一篇:職工跳槽引發侵害商業秘密糾紛,“先刑后民”

    下一篇:谷歌承認存在隱私問題 用戶數據安全何時了
    男人与女人性恔配视免费