在信息化浪潮的推动下,企业面临着越来越复杂的网络安全威胁。网络攻击、恶意软件、数据泄露等安全事件频繁发生,严重危害了企业的经济利益和声誉。为了加强企业信息安全的保护,国家制定了网络安全等级保护(CNS)制度,该制度通过分级保护、安全要求和技术措施等方式,为企业提供了一套完整的信息安全管理体系。经过多年的发展,CNS标准从最初的等保1.0时代逐步升级到现在的等保2.0时代,逐步完善和优化,以适应不断变化的网络安全形势。
本文将详细介绍网络安全等级保护制度,解析其在企业信息安全保护中的重要作用,以及如何做好网络安全等级保护认证,助力企业更好地保护信息安全。
一、网络安全等级保护的定义
《中华人民共和国网络安全法》(以下称《网络安全法》)第二十一条规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。”自此,网络安全等级保护正式进入等保2.0时代,以《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019,以下称《网络安全等级保护基本要求》)为指导标准,提出了新的网络安全技术要求和管理要求,着重“一个中心,三重防护”,其中包含可信技术、安全管理中心、云计算以及物联网等新兴领域的安全扩展要求。
根据《网络安全等级保护基本要求》及相关规定,网络安全等级保护是指对国家秘密信息、法人或其他组织和公民专有信息、公开信息以及储存、传输、处理这些信息的网络实施分等级保护,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。因此,企业理应更注重完善建设安全防护体系、评估和管理风险,必要时还需关注所在行业的特定安全要求和定级标准。
二、网络安全等级保护的等级划分
网络安全等级保护分为五个等级,从低到高分别为:一级、二级、三级、四级和五级。不同等级的保护对象、保护要求和保护措施各不相同。其中,一级等保适用于一般信息系统,五级等保适用于国家重要信息系统,等保要求越高,安全保障措施越严格。
第一级(自主保护级)
无需测评、不用备案、无测评周期限制。
等保一级是“用户自主保护级”,属于等保中最低的级别,只会对公民、法人和其他组织的合法权益造成损害,仅需要向公安部门提交相关申请资料,通过审核即可。
第二级(指导保护级)
公安部备案,每两年测评一次。等保二级是“系统审计保护级”,是目前使用最多的等保方案,适用范围为“信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全”。可支持到地级市以上的各国家机关、企业或事业单位内部一般的信息系统,非涉及秘密、敏感信息的办公系统,比如人事系统等。
第三级(监督保护级)
公安部备案,每一年测评一次。
等保三级是“安全标记保护级”,级别更高,适用于“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。”这一范围的网站,主要是地级市以上的国家机关、企业、事业单位的内部重要信息系统,比如省级政府官网,以及其他用户数量极大、具有交易功能的电商网站等。三级等保也是除国家外能自主制作的最高级别等保网站。
第四级(强制保护级)
公安部备案,每半年测评一次。
等保四级是“结构化保护级”,该级别适用于国家重要领域、涉及国家安全、国计民生的核心系统,中国人民银行是目前国内唯一四级等保的中国央行门户集群。
第五级(专控保护级)
公安部备案,依据特殊安全需求进行。
等保五级是“访问验证保护级”,是目前等保的最高级别,应用于国家的重大信息系统,如国家机密部门等,目前尚未有任何民用系统评为等保五级。
三、网络安全等级保护的工作流程
网络安全等级保护的工作流程,根据《网络安全法》和《网络安全等级保护基本要求》的要求,网络安全等级保护的工作流程主要包括以下五个步骤:
(一)定级
根据信息系统的重要程度和受到破坏后的危害程度,按照国家标准对信息系统进行分级,确定其安全保护等级。
(二)备案
将信息系统的定级结果、基本情况、联系方式等报送有关部门进行备案登记。
(三)建设整改
根据不同等级的信息系统的安全技术要求,对信息系统进行必要的安全建设和整改,提高其防御能力。
(四)等级测评
由合格的测评机构对信息系统进行符合性检查和风险评估,出具测评报告,证明信息系统达到相应的安全保护等级。
(五)监督检查
由有关部门对信息系统进行定期或不定期的监督检查,核查其是否符合法律法规和标准规范。
四、企业做好网络安全等级
保护认证的合规建议
网络安全等级保护认证是一项比较复杂、专业性强的工作,企业在进行网络安全等级保护认证时,需要遵循一系列规定和要求,作为企业确保信息安全的重要手段,专业人士如律师在网络安全等级保护认证的申请和管理过程中起着至关重要的作用,为企业提供帮助和支持。
(一)制定合规性管理规范
协助企业建立合规性管理规范,明确网络安全等级保护的标准和要求,包括等级划分、安全措施、风险评估等方面。此外,规范还应包括合规性审查和认证等流程的安排和规定,以确保企业达到等保认证的要求。
(二)设计网络安全等级保护方案
与企业的信息安全专家、技术人员和管理人员合作,参与制定网络安全等级保护方案。这个方案包括安全管理制度、技术安全措施和应急预案等方面,提高企业应对突发事件的能力。可以帮助企业确定安全等级保护的目标和要求,并提供相应的法律意见和建议。
(三)协助企业进行风险评估
可以帮助企业进行全面的风险评估,包括对业务流程、系统设施、技术措施等方面的风险评估,识别网络安全威胁和漏洞,制定相应的安全策略和措施,以确定安全等级和安全措施的具体要求,降低网络安全风险。
(四)协助企业进行等级划分
协助企业进行等级划分,确保企业的安全水平符合等保认证的要求。企业应该根据自身的业务特点、信息系统规模和数据风险等级,合理划分网络安全等级,并建立相应的保护措施。
(五)协助企业进行合规性审查
可以协助企业审查等保合规性,可以对企业的信息系统进行合规性审查,检查其是否符合网络安全等级保护制度的要求,发现并指出存在的安全隐患和不足,提出改进建议和措施,确保企业的网络和信息安全符合等保认证的要求。
(六)协助企业进行监督检查
为企业提供监督检查前后的法律咨询和辅导,以及在监督检查中可能出现的问题或争议的处理方法。此外,律师在为企业选择合格的测评机构,协助企业与测评机构签订合同,监督测评过程,审核测评报告,确保测评结果真实有效,以及为企业提供应对行政处罚或司法诉讼等服务,维护企业的合法权益等也具有非常大的作用。
同时,企业自身还需要注意以下几点,以确保网络安全等级保护认证的顺利进行:
①加强内部管理,完善信息安全管理制度,确保信息系统安全可控。
②关注最新的网络安全威胁和漏洞,及时采取相应的安全防护措施,确保信息系统安全性。
③建立完善的安全保护体系,包括安全培训、安全意识提升、安全事件应急预案等,提高企业安全防范能力。
④注意个人信息保护,依据相关法律法规规定,对个人信息进行保护,确保用户隐私安全。
⑤合理选择网络安全等级保护认证机构,选择具有资质、专业、可信度高的认证机构进行认证,确保认证结果合法有效。
五、结语
总之,网络安全等级保护认证是企业保障信息系统安全的一项重要工作,企业做好网络安全等级保护认证,有助于企业建立健全的安全管理体系,提升安全防范意识和能力,增强企业信誉度,提高企业竞争力,减少安全事故的发生,从而有利于企业的长期稳定发展。在数字化转型的大背景下,企业应该高度重视网络安全问题,积极推进网络安全等级保护认证工作,增强防范和应对各种网络威胁和风险的能力,确保企业信息系统稳定可靠地运行。
来源:高云数据合规作者:曾理 张颖涛
