首先,公安、國家保密、國家密碼管理、技術監督、信息產業等國家有關信息網絡安全的行政主管部門要在×××的統一領導下,制定我國開展信息網絡安全等級保護工作的發展政策,統一制定針對不同安全保護等級的管理規定和技術標準,對不同信息網絡確定不同安全保護等級和實施不同的監督管理措施。公安機關作爲計算機信息網絡安全保護工作的主管部門,代表國家依法履行對計算機信息網絡安全等級保護工作的監督管理和服務保障職能,依據管理規定和技術標準的具體等級,對單位、企業、個人計算機信息網絡的安全保護狀況進行監督和檢查,併爲落實等級保護制度提供指導和服務保障。國家保密、密碼管理、技術監督、信息產業等部門也要根據各自職能,在等級保護中各自發揮重要作用。
其次,等級保護堅持“誰主管、誰負責,誰經營、誰負責,誰建設、誰負責,誰使用、誰負責”的原則。計算機信息網絡的建設和使用單位要依照等級保護管理規定,根據單位在國民經濟和社會發展中的地位作用、信息網絡依賴程度和重要程度、信息內容或數據的重要程度、系統遭到***破壞後造成的危害程度等因素,科學、準確地設定其安全保護等級,開展安全等級保護設施和制度建設,落實安全管理措施和相關責任。重要領域和重點要害信息網絡的上級主管部門對所屬信息網絡的安全負起領導和管理責任,提高自主管理、自我保護能力。
等級保護實行“國家主導、重點單位強制、一般單位自願;高保護級別強制、低保護級別自願”的監管原則。計算機信息網絡安全涉及國家安全、國家利益和社會穩定,信息網絡安全等級保護是國家安全戰略的重要組成部分。國家根據信息網絡的重要程度和保護價值實行分等級逐步加重的保護措施。涉及國家安全和利益的重要信息網絡,按照管理規定設定相應的安全保護制度,並由國家主管部門予以覈准;其他信息網絡自行設定安全等級,報國家主管部門備案。重要信息網絡按照國家有關法規和技術標準建設安全保護設施和進行安全保護管理,國家主管部門依法對其進行監督和檢查;一般使用單位自願按照國家制度的標準,在國家主管部門的制度或幫助下,實施自我保護和共同保護。
信息系統安全狀況等級的檢測評估是等級保護的重點。信息系統的安全等級基本要求是信息系統安全狀況等級的主要指標,由國家授權的測評機構通過訪談、檢查、測試等手段來進行評定。測評機構在取得國家主管部門的資質和授權後,從事信息系統安全等級保護的測評工作,其結果報送國家主管部門。國家主管部門根據測評報告和其他安全檢查的結果對信息系統的安全保護進行監督管理,並對等級測評機構進行監管。
等級保護制度爲信息網絡安全產品的普及使用提供了廣闊的市場和發展空間。通過等級保護,引導國內外信息技術和信息安全產品研發企業根據國家有關法規和技術標準,積極研發和推廣使用適合不同安全保護等級的產品。由於國家強制採用符合安全等級的產品,特別是重要領域要求採用我國自主開發的安全產品,必將帶動和促進自主信息網絡安全產品的開發、研製、生產和使用,使我國自主的信息安全產業化,儘快縮短與發達國家的差距,既能推動我國民族信息產業的進一步發展,也爲保障我國的信息網絡安全打下更堅實的基礎。
而在《網絡安全法》則將信息安全等級保護提升至網絡安全等級保護。其中第二十一條規定,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)採取防範計算機病毒和網絡***、網絡侵入等危害網絡安全行爲的技術措施;
(三)採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第三十一條規定,國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由×××制定。