网络安全等级保护(简称等保)是指对国家重要信息、法人和其他组织及公民的专有信息以及信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络安全等级保护制度是我国网络安全法律制度的重要组成部分,也是保障网络安全、维护网络空间主权和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益、促进经济社会信息化健康发展的重要手段。
一、网络安全等级保护法律法规
(一)《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
(二)《网络安全等级保护管理条例(征求意见稿)》进一步明确了网络安全等级保护制度的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设的具体要求。
(三)《信息安全技术 网络安全等级保护基本要求》是等保制度2.0的核心标准,规定了第一级到第五级等级保护对象的安全通用要求和安全扩展要求,以及相应的评估方法。
(四)《信息安全技术 网络安全等级保护定级指南》是等保制度2.0的配套标准,规定了确定定级对象、确定定级依据、确定定级结果以及定级报告编写的方法和步骤。
除此之外,还有《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络关键设备和网络安全专用产品目录》《信息安全技术 网络关键设备和网络安全专用产品检测评价方法》《贯彻落实网络安全等保制度和关保制度的指导意见》等相关标准和文件,构成了等保制度2.0的完整体系。
二、为什么要做等保?
随着互联网技术的快速发展和广泛应用,网络已经成为国家治理、经济社会发展、国防建设以及人民生活的重要基础设施。同时,也面临着日益严峻的网络攻击、侵入、干扰和破坏,以及数据泄露或被窃取、篡改等风险和威胁。为了有效应对网络安全风险和威胁,保障网络安全、稳定运行,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性,保护国家安全、社会公共利益以及公民、法人和其他组织的合法权益,有必要实施网络安全等级保护制度,按照不同的安全等级,采取相应的技术措施和管理措施,提高网络安全保护能力和水平。
实施网络安全等级保护制度,不仅是法律法规的要求,也是网络运营者的责任和义务。网络运营者应当根据自身的业务特点和安全需求,确定自己的网络安全等级,并按照相关标准和规范,建设符合等级要求的网络安全防护体系,定期进行自查自评或者委托具备资格的机构进行安全测评,及时发现并整改存在的安全缺陷和漏洞,做好网络安全事件的预防、监测、响应和处置工作。
实施网络安全等级保护制度,也是提升网络运营者核心竞争力和市场信誉的重要途径。通过实施网络安全等级保护制度,可以提高网络运营者的网络安全意识和水平,增强对网络攻击和干扰的抵御能力,保障业务系统的正常运行和数据资源的安全可靠,提升用户满意度和信任度,促进业务创新和发展。
三、实施网络安全等级保护制度还有以下几个好处:
(一)促进技术创新和标准化。实施等保制度,需要不断适应新技术、新业务、新模式、新场景的发展变化,推动网络安全技术的研发和应用,形成具有自主知识产权和国际竞争力的核心技术。同时,也需要不断完善和更新网络安全标准体系,建立符合国情、适应市场、接轨国际的标准规范。
(二)增进跨部门和跨领域的协作。实施等保制度,需要各级政府部门、行业主管单位、专业机构、企业组织等多方参与和配合,形成统一指导、分级负责、协同推进、监督落实的工作机制。同时,也需要加强跨领域、跨地区、跨境的信息交流和合作,共同应对网络安全风险和挑战。
(三)提升社会公众的安全意识和能力。实施等保制度,需要加强对社会公众的宣传教育和培训指导,普及网络安全知识和技能,提高社会公众对网络安全风险和威胁的认识和防范能力。同时,也需要倡导诚信守法、健康文明的网络行为,营造积极有序、开放包容、安全可信的网络环境。
四、不做等保的危害
如果不实施,可能会给网络运营者自身以及相关利益相关方带来严重的危害和损失。具体表现在以下几个方面:
(一)违反法律法规,承担法律责任。根据《中华人民共和国网络安全法》第六十六条规定,“违反本法第二十一条规定,未按照规定履行等保义务的,由有关主管部门责令限期改正;逾期不改正或者造成严重后果的,处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款” 。此外,《中华人民共和国刑法》《中华人民共和国反恐怖主义法》《中华人民共和国国家安全法》《中华人民共和国反间谍法》等也对危害国家安全、社会公共利益以及公民个人信息等利用网络实施的违法犯罪活动作出了相应的处罚规定。
(二)影响业务运行,造成经济损失。如果不实施等保制度,可能会导致网络系统存在各种安全缺陷和漏洞,容易遭受黑客攻击、病毒感染、数据泄露或被窃取、篡改等风险和威胁,从而影响网络系统的正常运行,造成业务中断、数据丢失、功能异常等问题,给网络运营者自身以及用户、合作伙伴等利益相关方带来直接或间接的经济损失。
(三)损害信誉形象,影响发展前景。如果不实施等保制度,可能会导致网络运营者的网络安全意识和水平低下,缺乏对网络安全风险和威胁的有效防范和应对能力,给社会公众以不负责任、不专业、不可信的印象,损害网络运营者的信誉和形象,影响用户和合作伙伴的信任和满意度,降低市场竞争力和发展潜力。
(四)危害国家安全,承担社会责任。如果不实施等保制度,可能会导致网络运营者的网络系统成为境内外敌对势力、恐怖组织、犯罪团伙等利用网络从事危害国家安全、社会稳定、公共秩序等活动的工具或目标,给国家安全和社会利益造成重大危害,给网络运营者自身以及相关利益相关方带来难以挽回的损失。
五、怎么做等保?
实施网络安全等级保护制度,需要遵循以下几个步骤:
(一)确定定级对象。根据《信息安全技术 网络安全等级保护定级指南》,确定定级对象应具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源等基本特征,并根据不同领域的技术特点,满足云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等扩展要求。
(二)确定定级依据。根据《信息安全技术 网络安全等级保护定级指南》,确定定级依据主要包括信息系统所承载信息的重要程度和信息系统所面临威胁的可能性两个方面。其中,信息系统所承载信息的重要程度主要从信息涉密程度、信息关联性、信息完整性、信息可用性等角度进行评估;信息系统所面临威胁的可能性主要从威胁来源、威胁手段、威胁频率等角度进行评估。
(三)确定定级结果。根据《信息安全技术 网络安全等级保护定级指南》,确定定级结果主要是根据定级依据得出的评估结果,按照五个等级划分原则,将定级对象划分为第一级到第五级五个等级。其中,第一级是最低级别,表示定级对象所承载信息的重要程度较低,所面临威胁的可能性较小;第五级是最高级别,表示定级对象所承载信息的重要程度极高,所面临威胁的可能性极大。
(四)编写定级报告。根据《信息安全技术 网络安全等级保护定级指南》,编写定级报告主要是将定级对象的基本情况、定级依据、定级结果等内容按照规定的格式和要求进行书面记录,作为定级对象实施网络安全等级保护的依据和参考。
(五)进行备案和审批。根据《网络安全等级保护管理条例(征求意见稿)》,网络运营者应当在确定定级结果后三十日内,向所在地省级网信部门备案;涉及国家秘密的,还应当按照国家保密法律法规的规定,向有关保密行政管理部门报送备案材料。第三级以上的定级结果,还应当经过专家评审和主管部门审核,并按照规定程序进行审批。
(六)建设整改和测评验收。根据《信息安全技术 网络安全等级保护基本要求》和《信息安全技术 网络安全等级保护测评要求》,网络运营者应当根据确定的网络安全等级,按照相关标准和规范,建设符合等级要求的网络安全防护体系,并委托具备资格的机构进行安全测评,对测评发现的问题进行整改,并通过验收。
(七)监督检查和持续改进。根据《网络安全等级保护管理条例(征求意见稿)》,网信部门、电信主管部门、公安部门和其他有关部门应当依据各自职责,对网络运营者实施。网络安全等级保护制度情况进行监督检查,并对发现的问题提出整改意见。网络运营者应当根据业务变化、技术发展、风险状况等因素,定期对网络安全等级进行复核,并及时调整完善网络安全防护措施。
总之,等保制度是我国网络安全法律制度的重要组成部分,也是保障网络安全、维护国家利益和社会公共利益、保护公民、法人和其他组织合法权益、促进经济社会信息化健康发展的重要手段。实施等保制度,需要遵循相关法律法规和标准规范,按照确定定级对象、确定定级依据、确定定级结果、编写定级报告、进行备案和审批、建设整改和测评验收、监督检查和持续改进等步骤,建立健全网络安全防护体系,提高网络安全保护能力和水平。同时,也需要加强技术创新和标准化,增进跨部门和跨领域的协作,提升社会公众的安全意识和能力,共同构建一个安全可信的网络空间。
———————————————————————————— 安证集团概述 ————————————————————————————
深圳市安证企业合规管理(集团)有限公司(以下简称“安证合规集团”)是“科技+法律”一体化网络安全合规解决方案提供商,业务范围涵盖网络安全服务、证据服务以及数据治理三大领域,具有丰富的IT合规咨询与评估、网络安全、证据服务、IT审计、安全培训以及法律服务等全方位合规服务经验,是集标准制定、前瞻性技术研究、合规管理平台研发及方案实现于一体的国内优选的IT合规服务企业。
多年来,安证合规集团始终坚持“责任、创新、进取”的企业精神,累计服务了政府、企事业单位、电信运营商、金融机构、大型民企等4000余家客户。积极参与社会公共安全公益服务,自主研发的多个平台分别入选国家工信部、广东省工信厅助力社会发展专项名录。多次参与国家重大活动网络安保工作,主要包括建党100周年网络安保活动、十八大、十九大、二十大、博鳌论坛、香港回归20周年庆/25周年庆、广交会以及部省市三级护网行动等重大活动,并获得相关部门的高度好评。其中,护网工作荣获“公安部护网优秀攻击团队”、“公安部网络安全管理优秀团队”的荣誉称号。