1994年,国务院发布《中华人民共和国计算机信息系统安全保护条例》(147号令),首次规定计算机信息系统实行安全等级保护。
2016年《中华人民共和国网络安全法》颁布,网络安全法明确规定“国家实行网络安全等级保护制度”。
2019年5月13日,网络安全等级保护制度2.0国家标准发布。2019年12月1日起正式实施,金融、电力、教育、医疗等行业对企业系统明确要求通过网络安全等级保护。
网络安全等级保护制度经过多年的推进和加强,已经形成一套完善的标准及政策体系。许多企业对于等级保护还有很多疑问。
从法规角度,《中华人民共和国网络安全法》第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。简单来说,是国家法律法规、相关政策制度要求我们去开展等级保护工作,不做就不合规,就违法。
从网络安全角度,企业可以合理地规避风险。企业通过等级保护,是对企业信息系统安全认证,帮助企业建立可靠、合规的网络安全环境。在发生重大安全事件时,主管单位会首先查看企业是否主观上重视信息安全,即企业是否开展等级保护工作。
全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高)。
系统定级是根据受侵害的客体以及对客体侵害的程度来确定的,是以事实为根据,得到网安部门认可,大部分企业系统属于第二级或第三级。其中二级等保和三级等保安全建设的区别可以点击查看文章《等级保护丨网络安全等级保护的建设要求和解决方案》。
根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:定级、备案、安全建设、测评、监督检查。
等级保护工作完成后可获得《信息系统安全等级保护备案证明》和《网络安全等级保护 XX系统等级测评报告》。等级保护2.0测评最终结论分为优、良、中、差四种。
根据《网络安全等级保护条例》(征求意见稿)第二十三条规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评。
需要。业务上云有多种情况,如在公有云、私有云、专有云和混合云不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。
不一定。具体需要根据企业系统实际情况采购安全产品,盲目采购安全产品会造成不必要的浪费。华清信安在整改建设过程中可以根据企业对测评结果需求和现有安全防护措施的实际效果是否能保证业务抵抗风险,按需求开展安全建设工作。
指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。
监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。
适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。
等级分类不同,等级保护分五个级别:第一级(自主保护)、第二级(指导保护)、第三级(监督保护)、第四级(强制保护)、第五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
在《网络安全法》第二十一条规定:国家实行网络安全等级保护制度。属于法律、行政法规规定的其他义务。不做等保就等于违法。国内已有多起因为不做等保遭受处罚的事件。部分行业对等保有明确规定和处罚。2018年11月26日,工业和信息化部网络安全管理局对7家电信互联网企业落实《网络安全法》《通信网络安全防护办法》《电信和互联网用户个人信息保护规定》等法律法规情况进行了实地检查,针对检查发现的问题,责令企业进行整改,并进行了公示。教育部2020年5月6日发布的通知:7月1日起,将对未完成备案的教育App提供者予以通报,限时1个月进行整改。7月31日前未完成整改的,将撤销教育App备案。