2018年6月27日,由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例(征求意见稿)》(以下简称“条例”)在网上发布,向社会公开征求意见。等级保护就要正式进入2.0的时代。
信息安全等级保护是开展信息安全保障工作的基本方法,也是维护国家信息安全的根本保障,虽然在《条例》之前,信息安全等级保护已经是有法可依,不过《条例》规定所有网络运营者都要进行对相关网络开展等保工作,适用的范围更大了。
日期 |
法律 |
内容 |
1994年 |
《中华人民共和国计算机信息系统安全保护条例》 |
计算机信息系统实行信息系统安全等级保护 |
2003年 |
《国家信息化领导小组关于加强信息安全保障工作的意见》 |
要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南。 |
2004年 |
《关于信息系统安全等级保护工作的实施意见》 |
信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力的和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。 |
2016年 |
《中华人民共和国网络安全法》 |
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 |
2018年 |
《网络安全等级保护条例(征求意见稿)》 |
国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。 |
作为《网络安全法》的重要配套法规,此次发布的《征求意见稿》着眼于网络安全保护等级分类,其规定了网络安全的五个等级,其中等级越高,就越多地考虑国家安全、社会秩序和公共利益。
其中,第三级以上还需履行特殊安全保护义务,包含管理机构、总体规划和整体防护策略、背景审查等。要求落实网络安全态势感知监测预警措施,并与同级公安机关对接。
《条例》第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。
相对于以往的信息安全等级保护法律法规,《条例》对网络安全等级保护的适用范围、测评周期等都有了更加具体、操作性也更强的变化,为开展等级保护工作提供了重要的法律支撑。
(部分变化) |
信息安全等级保护 |
《条例》 |
含义 |
信息安全等级保护 |
网络安全等级保护 |
适用范围 |
重要信息系统运营使用单位,部分重点单位 |
所有网络运营单位 |
测评周期 |
三级:年/次;四级:半年/次;五级:依特殊安全需求进行 |
三级以上的网络运营者每年一次 |
违规处罚 |
治安管理处罚法、条例、司法解释等部门法规,处罚较轻,警告处分等形式。 |
网络安全法、刑法,处罚严厉,有责令停产停业、行政拘留等形式。 |
没有网络安全就没有国家安全,没有信息化就没有现代化。2017年6月1日我国发布的《网络安全法》是维护国家网络空间主权、安全和发展利益的重要举措,而这次《条例》对其做出了重要的内容补充,对网络等级保护制度的实施变得更加有利:
1.该《条例》由公安部出台,属于部门规章,《条例》实施是落实网络安全法的体现;
2. 等级保护制度落实走向将更为规范、严格,有助于提高我国网络安全防范能力和水平。
3. 《条例》是第一次将等级保护和分级保护纳入一个文件进行发布的文件,对未来网络安全执法具有深远意义。
我们一直在说等级保护即将跨入2.0的时代,现在等级保护2.0真的要来了,我们准备好了吗?