我国在研究网络安全等级保护工作的历史渊源。每次面对客户时,他们很多人都认为等级保护工作是近几年才出现的事物,感到新奇。通过这期的学习,其实可以消除很多人的误解。随着《网络安全法》的出台,网络安全等级保护制度被前所未有的重视下,被大众重新审视与重视,这是真实的情况。而等级保护制度的研究很早就开展了,就算是试点也早在2006年已经展开了。
自2006年以来到《网络安全法》的实施,是1.0的创立试点推广研究探索阶段,而《网络安全法》的实行开启了网络安全等级保护制度2.0时代,新时代的到来必然面临着新时代的新气象。在继承1.0成果的基础上,我们可以清晰的看到2.0具备1.0的优点又能适应新时代的发展。
基本概念
网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
网络安全等级保护工作的内涵
网络安全等级保护是对网络进行分等级保护、分等级监管,将信息网络、信息系统、网络上的数据和信息,按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展等级测评;公安机关对第二级网络进行指导,对第三、第四级网络定期开展监督、检查。
开展网络安全等级保护工作的流程
等级保护工作五个环节分别是定级、备案、建设整改、等级测评和监督检查。开展网络安全等级保护工作,涉及公安机关、保密部门、密码管理部门、网信部门等职能部门,以及网络运营者、第三方测评机构、网络安全企业、专家队伍等。
按照国家网络安全等级保护制度要求,按照职责和分工,找准各自定位,密切配合,共同落实《网络安全法》和网络安全等级保护制度,依法维护网络安全。
定级。网络运营者根据《网络安全等级保护定级指南》拟定网络的安全保护等级,组织召开专家评审会,对初步定级结果的合理性进行评审,出具专家评审意见,将初步定级结果上报行业主管部门进行审核。
备案。网络运营者将网络定级材料向公安机关备案,公安机关对定级准确、符合要求的网络发放备案证明。
等级测评。网络运营者选择符合国家规定条件的测评机构,对第三级以上网络(含国家关键信息基础设施)每年开展等级测评,查找发现问题隐患,提出整改意见。
安全建设整改。网络运营者根据网络的安全保护等级,按照国家标准开展安全建设整改。
监督检查。公安机关每年对网络运营者开展网络安全等级保护工作的情况和网络的安全状况实施执法检查。
网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。网络安全等级保护制度的核心内容是:国家制定统一的政策、标准;各单位、各部门依法开展等级保护工作;有关职能部门对网络安全等级保护工作实施监督管理。
《网络安全法》规定国家实行网络安全等级保护制度,标志着从1994年的国务院条例(国务院令第147号)上升到国家法律;标志着国家实施十余年的信息安全等级保护制度进入2.0阶段;标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。
网络安全等级保护制度是新时期国家网络安全的基本制度、基本国策,我们将构建网络安全等级保护新的法律和政策体系、新的标准体系、新的技术支撑体系、新的人才队伍体系、新的教育训练体系和新的保障体系。
网络安全等级保护制度其核心内容:
一是将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施;
二是将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管;
三是将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企业健康发展。
网络安全等级保护是网络安全工作的基本方法
网络安全等级保护是国家网络安全工作的基本方法。网络安全等级保护工作的目标就是维护国家关键信息基础设施安全,维护重要网络设施、重要信息系统、重要数据的安全。
等级保护制度提出了一整套安全要求,贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。
按照等级保护制度中规定的“定级、备案、建设、测评、检查”这五个规定动作,各单位、各部门开展网络安全工作。
先清底数,再定级、备案,再按标准进行安全建设,开展等级测评,再根据测评中发现的安全隐患进行整改。公安机关对网络安全工作开展监督管理,按照不同的网络级别实施不同强度的监管,对进入重要信息系统的测评机构及信息安全产品分等级进行管理,对网络安全事件分等级响应和处置。通过开展一系列重点工作,采取一系列重要的安全管理和技术措施,将网络安全工作落到实处。
对等级保护对象的定级过程,反应的是网络安全需求的分析过程,其核心思想是要求从网络的安全需求出发,对网络进行保护。核心思想与风险管理、安全工程保持高度一致。有关分级的以及定级,可以参考《网络安全等级保护定级指南》。
网络安全等级保护制度是我国网络安全保障工作的基本制度、基本策略和基本方法。网络安全等级保护制度是集法律、政策、方针、方法论为一体的一个体系性的基本制度。网络安全是关乎国家安全、国民生计、经济命脉、社会稳定、法人及公民权益大事,而一套发展并不断成熟完备的体系,使得我们在网络安全工作中不可或缺的指引与行动指南。