网数小课堂丨网络安全等级保护面面观
免费
吴丹君
时长/课时:12分钟/0.27课时
1个月之前
Q1 什么是网络安全等级保护?
网络安全等级保护是一项所有网络运营者均需承担的义务。
网络安全等级保护强调分等级保护,针对等级保护对象在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,将其由低到高划分为五个安全保护等级,并根据不同保护等级采取不同安全保护措施,有利于将有限的资源合理分配在不同风险的保护对象之中,以防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,并保障网络数据的完整性、保密性、可用性。
Q2 目前与网络安全等级保护相关的制度主要有哪些?
文件名称 | 发文单位 |
《网络安全法》第二十一条 | 全国人大常务委员会 |
《信息安全等级保护管理办法》 | 公安部 国家保密局 国家密码管理局 国务院信息化工作办公室(已撤销) |
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号) | 公安部 |
《计算机信息系统 安全保护等级划分准则》 (GB 17859-1999) | 国家质量技术监督局 |
《信息安全技术 网络安全等级保护定级指南》 (GB/T 22240-2020) | 国家市场监督管理总局 国家标准化管理委员会 |
《信息安全技术 网络安全等级保护实施指南》 (GB/T 25058-2019) | |
《信息安全技术 网络安全等级保护安全设计技术要求》 (GB/T 25070-2019) | |
《信息安全技术 网络安全等级保护基本要求》 (GB/T 22239-2019) | |
《信息安全技术 网络安全等级保护测评要求》 (GB/T 28448-2019) | |
《信息安全技术 网络安全等级保护测评过程指南》 (GB/T 28449-2018) |
(更多内容可参考:本团队发表于威科先行·法律信息库的《网络安全与数据隐私法律法规地图》)除此之外,金融、电力、广电、医疗、教育等行业的主管单位亦明确要求从业机构的信息系统要开展等级保护工作。比如在医疗行业,卫健委于2020年12月28日印发《三级医院评审标准(2020年版)》,将网络安全作为三级医院评审的前置要求,若在评审周期内“发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果”,将延期一年评审,延期期间原等次取消,按照“未定等”管理。前述评审标准要求落实《网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。实施电子病历的医院,则应当建立电子病历的建立、记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。
Q3 网络等级保护具体包括哪些工作?
《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)明确了网络安全等级保护实施的基本流程。各阶段的主要过程、活动、输入和输出可参考该国家标准附录A的内容。
上述流程图显示了网络安全等级保护工作的主要内容。定级备案是网络安全等级保护工作开展的首要环节,具体定级方法和定级流程可参照《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)。定级完成后,需按照《信息安全等级保护管理办法》进行备案。
随后的“总体安全规划”、“安全设计与实施”以及“安全运行与维护”三个环节在于为不同等级保护对象设计与采取适当的安全保护措施。《网络安全法》第二十一条为网络运营者明确了选择安全保护措施的基本方向,其可参考《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)等国家标准设计和实施具体细致的网络安全保护措施。
需注意的是,网络安全保护等级存在动态变化,当等级保护对象因需求变化等原因导致局部调整而安全保护等级未改变时,应从上图中的安全运行与维护阶段返回安全设计与实施阶段,重新设计、调整和实施安全措施,以确保满足等级保护要求;当等级保护对象发生重大变更导致安全保护等级变化时,则需返回定级与备案环节,重新开始新一轮的网络安全等级保护的实施过程。
Q4 网络安全等级保护2.0体系相较之前的1.0体系有何不同?
我国于1994年即确立计算机信息系统安全等级保护制度,并经过多年的发展形成涵盖法律、标准与政策多层次的规范体系,这一规范体系常常被称作“等保1.0”体系。以《网络安全法》和《网络安全等级保护条例(征求意见稿)》为标志,我国网络安全等级保护制度开始进入“等保2.0”时代。随着对网络安全等级保护制度的定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等国家标准的修订和完善,等保2.0体系逐步建立。
总体而言,等保2.0体系存在名称、等级保护对象、定级模式、安全要求、防范要求等等内容的变化。以安全要求为例,如下表所示,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)将原来各个级别的安全要求分为安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态如何都必须满足的要求,而安全扩展要求是针对云计算、移动互联、物联网和工业控制系统的特殊要求。同时,还增加了附录C描述等级保护安全框架和关键技术、附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景。
等保1.0 | 等保2.0 | ||||
基本要求 | 安全通用要求 | 安全扩展要求 | |||
技术要求 | 管理要求 | 技术要求 | 管理要求 | 云计算安全扩展要求 | |
物理安全 | 安全管理制度 | 安全物理环境 | 安全管理制度 | 移动互联网安全扩展要求 | |
网络安全 | 安全管理机构 | 安全通信网络 | 安全管理机构 | 物联网安全扩展要求 | |
主机安全 | 人员安全管理 | 安全区域边界 | 安全管理人员 | 工业控制系统安全扩展要求 | |
应用安全 | 系统建设管理 | 安全计算环境 | 安全建设管理 | ||
数据安全与备份恢复 | 系统运维管理 | 安全管理中心 | 安全运维管理 | ||
(更多内容可参考:本团队发表于律商联讯(LexisNexis)的《网络安全合规手册》)
Q5 网络安全等级保护制度与关键信息基础设施保护制度有何不同?
网络安全等级保护制度 | 关键信息基础设施安全保护制度 |
《网络安全法》 第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求…… | 《网络安全法》 第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 |
《信息安全技术网络安全等级保护基本要求》 (GB/T 22239-2019) 5.1等级保护对象 等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。 | |
《信息安全技术网络安全等级保护定级指南》 (GB/T 22240-2020) 4.1安全保护等级 根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级: …… C)第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害; …… |
关键信息基础设施亦属于等级保护对象,需落实定级备案工作。关键信息基础设施是指支撑国家关键基础设施的信息系统,其一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益,这一定义对应着安全保护等级第三级的要求。一般而言,关键信息基础设施的网络安全保护等级应不低于三级。根据《网络安全法》第二十一条,网络安全等级保护制度是一项普适性制度,适用于所有网络运营者,而关键信息基础设施保护制度则仅适用于被认定关键信息基础设施的运营者,但国家同时鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
作者:吴丹君律师 张振君律师助理
来源:微信公众号“大数据法律研究”
公司决议下次,股东是否打赏的卡死了肯德基阿里
声音
- 情感童声
- 性感男声
- 特别男声
- 普通男声
- 普通女声
语速
- 0.7X
- 1.0X
- 1.5X
- 2X
- 3X
- 4X
字号
- 特大
- 大
- 标准
- 小
作者
- 文章156
- 读者52w
- 关注25
- 点赞435
观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。
专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。精耕于网络安全合规领域.
执业领域:
互联网|数据信息、兼并收购、外商直接投资、酒店等
曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。
我也要当作者思想共享 知识变现
猜你喜欢
换一换作者推荐
换一换
常见问题
-
1、“点读”是什么?
点读是点睛网APP中的一款全民学法的人工智能(AI)新产品。它能“识字”和“朗读”,它使“读屏”变“听书”,解放读者的眼睛和颈椎。它使“讲课”变“写作”,解放讲师的时间和身心。
-
2、“点读”的作者?
在点睛网PC或APP端注册,登录点睛网PC端个人后台,点击“我的文章”,填写作者信息并上传文章。当第一篇文章通过编辑审核后,即成为点睛网的正式作者。
-
3、“点读”的文章?
作者在点睛网个人中心发布文章,编辑审核合格的才能呈现给读者。作者只能发布自己写的文章,不能发布或转发他人的文章。更不能发布有违法律法规、政府规定,或公序良俗、文明风尚、社会和谐等文章。
-
4、“点读”的审核?
作者文章上传后,编辑将在工作日最晚不超过24个小时、非工作日最晚不超过48个小时内完成审核。审核未通过的,说明理由。文章评论的审核,参照以上周期。