网络安全等级保护(简称等保)是指对国家重要信息、法人和其他组织及公民的专有信息以及信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络安全等级保护制度是我国网络安全法律制度的重要组成部分,也是保障网络安全、维护网络空间主权和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益、促进经济社会信息化健康发展的重要手段。
一、网络安全等级保护法律法规
(一)《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
(二)《网络安全等级保护管理条例(征求意见稿)》进一步明确了网络安全等级保护制度的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设的具体要求。
(三)《信息安全技术网络安全等级保护基本要求》是等保制度2.0的核心标准,规定了第一级到第五级等级保护对象的安全通用要求和安全扩展要求,以及相应的评估方法。
(四)《信息安全技术网络安全等级保护定级指南》是等保制度2.0的配套标准,规定了确定定级对象、确定定级依据、确定定级结果以及定级报告编写的方法和步骤。
二、为什么要做等保?
随着互联网技术的快速发展和广泛应用,网络已经成为国家治理、经济社会发展、国防建设以及人民生活的重要基础设施。同时,也面临着日益严峻的网络攻击、侵入、干扰和破坏,以及数据泄露或被窃取、篡改等风险和威胁。为了有效应对网络安全风险和威胁,保障网络安全、稳定运行,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性,保护国家安全、社会公共利益以及公民、法人和其他组织的合法权益,有必要实施网络安全等级保护制度,按照不同的安全等级,采取相应的技术措施和管理措施,提高网络安全保护能力和水平。
实施网络安全等级保护制度,也是提升网络运营者核心竞争力和市场信誉的重要途径。通过实施网络安全等级保护制度,可以提高网络运营者的网络安全意识和水平,增强对网络攻击和干扰的抵御能力,保障业务系统的正常运行和数据资源的安全可靠,提升用户满意度和信任度,促进业务创新和发展。
三、实施网络安全等级保护制度还有以下几个好处:
(一)促进技术创新和标准化。实施等保制度,需要不断适应新技术、新业务、新模式、新场景的发展变化,推动网络安全技术的研发和应用,形成具有自主知识产权和国际竞争力的核心技术。同时,也需要不断完善和更新网络安全标准体系,建立符合国情、适应市场、接轨国际的标准规范。
(二)增进跨部门和跨领域的协作。实施等保制度,需要各级政府部门、行业主管单位、专业机构、企业组织等多方参与和配合,形成统一指导、分级负责、协同推进、监督落实的工作机制。同时,也需要加强跨领域、跨地区、跨境的信息交流和合作,共同应对网络安全风险和挑战。
(三)提升社会公众的安全意识和能力。实施等保制度,需要加强对社会公众的宣传教育和培训指导,普及网络安全知识和技能,提高社会公众对网络安全风险和威胁的认识和防范能力。同时,也需要倡导诚信守法、健康文明的网络行为,营造积极有序、开放包容、安全可信的网络环境。
四、不做等保的危害
(一)违反法律法规,承担法律责任。根据《中华人民共和国网络安全法》第六十六条规定,“违反本法第二十一条规定,未按照规定履行等保义务的,由有关主管部门责令限期改正;逾期不改正或者造成严重后果的,处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。此外,《中华人民共和国刑法》《中华人民共和国反恐怖主义法》《中华人民共和国国家安全法》《中华人民共和国反间谍法》等也对危害国家安全、社会公共利益以及公民个人信息等利用网络实施的违法犯罪活动作出了相应的处罚规定。
(三)损害信誉形象,影响发展前景。如果不实施等保制度,可能会导致网络运营者的网络安全意识和水平低下,缺乏对网络安全风险和威胁的有效防范和应对能力,给社会公众以不负责任、不专业、不可信的印象,损害网络运营者的信誉和形象,影响用户和合作伙伴的信任和满意度,降低市场竞争力和发展潜力。
五、怎么做等保?
实施网络安全等级保护制度,需要遵循以下几个步骤:
(一)确定定级对象。根据《信息安全技术网络安全等级保护定级指南》,确定定级对象应具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源等基本特征,并根据不同领域的技术特点,满足云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等扩展要求。
(三)确定定级结果。根据《信息安全技术网络安全等级保护定级指南》,确定定级结果主要是根据定级依据得出的评估结果,按照五个等级划分原则,将定级对象划分为第一级到第五级五个等级。其中,第一级是最低级别,表示定级对象所承载信息的重要程度较低,所面临威胁的可能性较小;第五级是最高级别,表示定级对象所承载信息的重要程度极高,所面临威胁的可能性极大。
(四)编写定级报告。根据《信息安全技术网络安全等级保护定级指南》,编写定级报告主要是将定级对象的基本情况、定级依据、定级结果等内容按照规定的格式和要求进行书面记录,作为定级对象实施网络安全等级保护的依据和参考。
(五)进行备案和审批。根据《网络安全等级保护管理条例(征求意见稿)》,网络运营者应当在确定定级结果后三十日内,向所在地省级网信部门备案;涉及国家秘密的,还应当按照国家保密法律法规的规定,向有关保密行政管理部门报送备案材料。第三级以上的定级结果,还应当经过专家评审和主管部门审核,并按照规定程序进行审批。
(七)监督检查和持续改进。根据《网络安全等级保护管理条例(征求意见稿)》,网信部门、电信主管部门、公安部门和其他有关部门应当依据各自职责,对网络运营者实施。网络安全等级保护制度情况进行监督检查,并对发现的问题提出整改意见。网络运营者应当根据业务变化、技术发展、风险状况等因素,定期对网络安全等级进行复核,并及时调整完善网络安全防护措施。
————————————————————————————安证集团概述————————————————————————————
深圳市安证企业合规管理(集团)有限公司(以下简称“安证合规集团”)是“科技+法律”一体化网络安全合规解决方案提供商,业务范围涵盖网络安全服务、证据服务以及数据治理三大领域,具有丰富的IT合规咨询与评估、网络安全、证据服务、IT审计、安全培训以及法律服务等全方位合规服务经验,是集标准制定、前瞻性技术研究、合规管理平台研发及方案实现于一体的国内优选的IT合规服务企业。