政策法律法规要求
政策背景 –《中华人民共和国网络安全法》
国家网络安全等级保护制度(基本制度、基本国策,上升为法律)
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
法律责任–《中华人民共和国网络安全法》
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
用词解释
第七十六条 (三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
医疗卫生行业政策要求
网络安全等级保护-医疗卫生行业发文:
《中华人民共和国卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》(卫办发〔2011〕85 号)
重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
《三级综合医院评审标准考评办法》 实施国家信息安全等级保护制度,实行信息系统操作权限分级管理,保障网络信息安全,保护患 者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。
《国家健康医疗大数据标准、安全和服务管理办法》 责任单位要严格落实网络安全等级保护制度,建立健全实名认证访问控制机制、网络安全通报机制和应急处置联动机制,切实加强容灾备份、加密认证、准确恢复等安全保障措施,定期对相关信息系统开展定级、备案和测评工作。
《互联网医院管理办法》 “互联网医院信息系统应按照国家有关法律法规和规定,实施第三级信息安全等级保护。”
三甲医院建议等级
教育行业政策要求
(1)2009年11月
教育部办公厅关于开展信息系统安全等级保护工作的通知(教办厅函[2009]80号)
要求各省教育厅(教委)、教育局、部属各高等学校,落实国家有关信息系统安全等级保护制度建设的文件要求,全面开展教育系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改,建立教育系统信息系统安全等级保护体系。
(2)2015年7月
教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知(教技[2015]2号)
要求各地区教育厅(教委)、教育局、有关部门(单位)教育司(局),教育部直属各高等学校、各直属单位,贯彻落实国家信息安全等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》的相关要求,加快推进信息安全等级保护工作,提高信息系统安全防护能力,到完成教育行业信息系统的定级、备案和第三级以上信息系统的测评、整改工作。
教育行业建议等级
交通运输行业政策要求
(1)2005年1月
民用航空信息系统安全等级保护管理规范
明确规定民用航空信息系统安全保护的等级划分和各等级的管理要求。
(2)2012年5月
关于进一步开展交通运输行业信息安全等级保护工作的通知(厅科技字[2012]120 号)
要求交通运输行业贯彻落实《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等法规要求,做好交通运输行业信息安全等级保护,对于提升行业信息安全防护能力和水平,维护公共利益、社会秩序和国家安全具有重要作用。
(3)2014年4月
交通运输部发布《JTT 904-2014 交通运输行业信息系统安全等级保护定级指南》
明确规定交通运输行业信息系统安全等级保护的定级原理、方法和等级变更等内容。同时适用于交通运输行业非涉密信息系统的等级保护定级工作。
(4)2017年2月
民航网络信息安全管理规定(暂行)(征求意见稿)(交通运输部[2017]12号)
要求民用航空网络与信息系统应实行信息安全等级保护制度。民用航空各企事业单位应按照相关文件和标准的要求,建立健全并落实符合相应等级要求的网络与信息安全责任制、人员安全管理制度、系统建设管理制度和系统运维管理制度等安全管理制度。
金融保险行业政策要求
(1)2006年2月
中国人民银行办公厅转发《信息安全等级保护管理办法(试行)》的通知(银办发[2006]42号)
要求各政策性银行、国有商业银行、股份制商业银行,切实加强银行信息安全保障能力,进一步规范信息安全等级保护工作。
(2)2007年9月
关于做好证券业重要信息系统安全等级保护定级工作的通知(中证协发字 [2007]117 号)
要求各证券公司及基金公司会员单位的生产、管理、办公等重要信息系统,做好行业信息安全保障工作,开展重要信息系统安全等级保护定级工作。
(3)2007年9月
关于开展保险业信息系统安全等级保护定级工作的通知(保监厅发[2007]45 号)
要求保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、管理、办公等重要信息系统;涉及国家秘密的信息系统。落实开展信息系统等级保护定级工作。
(4)2012年6月
中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见(银发[2012]163 号)
要求各政策性银行、国有商业银行、股份制商业银行,进一步加强加强信息系统安全等级保护工作,督促银行业金融机构及时发现信息安全风险、隐患,并有效开展整改工作,降低信息安全事件发生概率,增强抵御信息安全风险能力,形成信息安全管理长效机制。
市政机关行业政策要求
(1)2008年8月
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)
要求国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作和信息系统安全等级保护工作。
(2)2008年9月
国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知(发改高技[2008]2544 号)
要求国家电子政务工程建设项目的需求分析报告和建设方案中,应同步落实等级保护和分级保护的相关要求,形成与业务应用紧密结合、技术上自主可控的信息安全解决方案。
(3)2011年12月
关于加快推进国家电子政务外网安全等级保护工作的通知(政务外网[2011]15号)
要求国家电子政务外网全面推行等级保护制度,逐步将国家信息安全等级保护要求落实到政务外网安全规划、建设、测评、运行维护和应用等各个环节,使政务外网全网安全保障能力和水平达到安全保护等级要求。
(4)2014年11月
国务院办公厅关于促进电子政务协调发展的指导意见(国办发[2014]66 号)
要求国家电子政务网络加强对分级保护和等级保护工作的指导;加强网络安全监测和通报预警;进一步落实涉密信息系统分级保护和非涉密信息系统等级保护相关主体责任。
电力行业政策要求
(1)2007年11月
国家电力监管委员会印发 电力行业信息系统安全等级保护定级工作指导意见(电监信息[2007]44号)
要求贯彻落实开展电力行业信息系统安全等级保护工作,提高信息系统安全防护能力。
(2)2014年9月
电力行业信息安全等级保护管理办法(国能安全[2014]318号)
要求各地区国家电网公司、有关电力企业,贯彻落实国家信息安全等级保护要求,提高电力信息系统安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设。
