網(wǎng)絡(luò)安全等級保護(hù)是全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出,公安部信息安全等級保護(hù)評估中心牽頭起草完成,主要目的是對國家秘密信息、法人、和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù),對信息系統(tǒng)使用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
信息和信息系統(tǒng)的安全保護(hù)等級共分五級:第一級為自主保護(hù)級、第二級為指導(dǎo)保護(hù)級、第三級為監(jiān)督保護(hù)級、第四級為強(qiáng)制保護(hù)級、第五級為專控保護(hù)級。
一、等級保護(hù)測評工作的內(nèi)容
為了達(dá)到各級的安全保護(hù)能力要求,國家等級保護(hù)基本安全要求提出了技術(shù)要求和管理要求兩大類,涵蓋了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理十個方面的內(nèi)容。
二、為什么要做信息安全等級保護(hù)
第一降低信息安全風(fēng)險,提高信息系統(tǒng)的安全防護(hù)能力
開展信息安全等級保護(hù)的最重要原因是為了通過等級保護(hù)工作,發(fā)現(xiàn)單位系統(tǒng)內(nèi)部存在的安全隱患和不足,通過安全整改之后,提高信息系統(tǒng)的信息安全防護(hù)能力,降低系統(tǒng)被各種攻擊的風(fēng)險。
第二等級保護(hù)是我國關(guān)于信息安全的基本政策。
《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號,以下簡稱“27號文件”)明確要求我國信息安全保障工作實(shí)行等級保護(hù)制度。
2007年6月發(fā)布的關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知(公通字[2007]43號,以下簡稱“43號文件”)。
2016年11月7日第十二屆全國人民代表大會常務(wù)委員會第二十四次會議通過《中華人民共和國網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)安全法第二十一條明確規(guī)定:國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
第三合理地規(guī)避風(fēng)險。
等保工作有沒有開展就是衡量一個企業(yè)信息安全與否的一個重要標(biāo)準(zhǔn),不僅可以有效的解決和規(guī)避安全風(fēng)險,同時等級保護(hù)也是是國家基本信息安全制度要求。
三、網(wǎng)絡(luò)安全法對等級保護(hù)的影響
第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
21條是等級保護(hù)工作的鮮明旗幟,是從國家層面對等級保護(hù)工作的法律認(rèn)可,是網(wǎng)絡(luò)安全法關(guān)于等級保護(hù)工作最重要的一條。
第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估,并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
38條,是明確了有關(guān)鍵信息基礎(chǔ)設(shè)施單位,需要每年對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險至少進(jìn)行一次檢測評估,沒有明確這里的檢測評估是什么形式,但是等級保護(hù)測評至少從技術(shù)上可以滿足這個要求。
第五十九條網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款,對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。
59條很明確,就是用戶單位不做等級保護(hù)測評,用戶單位需要被罰款1萬-100萬;主管人員需要被罰款5000-10萬。罰款是一方面,處罰這件事對單位聲譽(yù),對個人聲譽(yù),對個人的職業(yè)發(fā)展非常不利。
某年某季度全國政府網(wǎng)站抽查93人被約談59人被處罰
某年某季度全國政府網(wǎng)站抽查,有93名有關(guān)責(zé)任人被上級主管單位約談,21人作出書面檢查,18人被通報批評,7人受到警告或記過處分,10人被調(diào)離崗位或免職,3人被辭退。
四、開展登記保護(hù)測評的益處
對于企業(yè)來說,實(shí)施信息安全等級保護(hù)測評能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平,與國家安全保持一致,有效控制企業(yè)信息安全建設(shè)成本;有利于明確國家、法人和其他組織、公民的信息安全責(zé)任,加強(qiáng)企業(yè)信息安全管理。
對于信息系統(tǒng)來說,通過等級保護(hù)測評可及時發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改,當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時,信息系統(tǒng)就基本可做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。