46-4 等级保护 - 网络安全等级保护概述
没有网络安全就没有国家安全
《中华人民共和国网络安全法》已于2016年11月7日通过,并自2017年6月1日起施行。该法律共分为7章79条法规,具体操作性条款38条,主要分布在第三、四、五章。根据国家秘密信息、法人和其他组织、以及公民的专有信息的不同敏感程度,“网络安全等级保护制度”对网络资源、功能组件及存储、传输、处理等环节进行分级管理,并采取相应安全措施。同时对不同等级的信息安全事件实施分级响应和处置措施。
“网络安全等级保护制度”要求网络运营者履行安全保护义务,防止网络数据泄露或未经授权访问;对重要行业和领域的关键信息基础设施实行重点保护。相关标准包括《计算机信息系统安全保护等级划分准则》《信息安全技术网络安全等级保护定级指南》等GB/T系列标准。
监管机构包括公安部网络与信息安全信息通报等机构,并明确其职能:制定信息安全政策、打击网络违法犯罪、互联网安全管理等。
一、网络安全等级保护概述
缺乏网络安全将导致国家安全受到影响
二、网络安全法 - 安全立法
中华人民共和国主席令 第五十三号
《中华人民共和国网络安全法》已于2016年11月7日经中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议审议并通过,并自2017年6月1日起正式实施。
提出日期:2016年11月7日
《网络安全法》全书共计7个章节与79个法律条文。其中功能模块性条款共计38项,并重点涵盖第3至第5个章节
章节与规定概述:
第一章 总则 * 14条规定
第二章 网络安全支持与促进 * 6条规定
第三章 网络运行安全 * 本章第一节将涵盖基本网络运行安全规范共10项
- 本章第二节则专门针对重要信息系统的安全运行制定9项具体规定
第四章 网络信息安全 * 11条规定
第五章 监测预警与应急处置 * 8条规定
第六章 法律责任 * 17条规定
第七章 附则 * 4条规定
三、等级保护
网络安全等级保护是指根据不同敏感程度对国家秘密信息、法人实体的信息以及其他组织和公民的专有信息进行分级管理。该制度要求对涉及的网络系统资源及其功能组件实施分级管理,并采取相应的安全防护措施。同时对不同级别的信息安全事件实施分级响应和处置,以确保网络安全运行的安全性和稳定性。此外还需要建立安全技术和管理制度的等级管理体系以适应各类信息安全需求的不同层次要求
第二十一条:
国家依据网络安全等级保护制度规定相关法律法规和标准要求,明确指出各类网络运营者应当依照既定的安全标准和程序执行安全防护措施。这些措施旨在保障网络系统免受外界干扰、破坏以及未经授权的访问行为的影响,并特别强调要防止因技术手段被非法获取敏感信息等危害行为所导致的数据损失与损害
第三十一条:
国家对于重要行业和领域中的关键信息基础设施实施重点保护政策,并明确涵盖公共通信与信息服务系统、能源供应体系、交通运输网络、水利水电设施、金融运行机制以及公共服务平台等主要范畴。一旦这些基础设施遭受破坏或发生功能失常,并出现数据泄露情况,则可能对国家安全和社会稳定构成严重威胁
第五十九条:
网络运营商未尽职履行网络安全防护义务时,
相关部门将会督促其纠正行为并作出警示处理。
如未能及时修正或造成网络安全损害,
将会被处以1万至10万元的罚款,
并对具体负责人施以5千至5万元的处罚。
关键信息基础设施运营者若未落实网络安全防护措施,
相关部门将会发出警告并采取强制措施。
如存在违规行为或造成损害,
将会被处以1万至1万ical dollars
等级保护相关标准包括:
该技术规范为网络系统提供定级指导 (GB/T 22240-2020);该标准详细规定了等级保护的基本要求 (GB/T 22239-2019);该操作规程明确了等级保护的实施流程 (GB/T 25058-2019);该设计要求指定了安全防护的技术需求 (GB/T 25070-2019);该测评规范提供了评估体系的技术依据 (GB/T 28448-2019);该过程指南阐述了测评的具体步骤 (GB/T 28449-2018);该 annex则补充说明了相关的保障措施。
国标编号为 GB。
其中 GB/T 代表推荐性标准类型。
其中 T 表示技术规范(即推荐性标准)。
如 GB 代表通用标准等。
等保的意义
- 减少信息安全风险的同时,增强信息系统的安全防护能力。
- 符合国家相关法规制度的要求。
- 符合相关部门及行业的具体要求。
- 通过科学地采取措施规避或有效降低各类风险对信息系统的潜在威胁。
监管机构
| 监管机构 | 部分职能 |
|---|---|
| 公安部: 网络安全保卫局 | 制定信息安全政策 |
| 各省: 网络安全保卫总队 | 打击网络违法犯罪 |
| 地市: 网络安全保卫支队 | 互联网安全管理 |
| 区县: 网络安全保卫大队 | 重要信息系统安全监察 |
| 网络与信息安全信息通报 |