- 信息系統安全等級保護(簡稱“等保”)
隨着2017年網絡安全法的施行,等級保護制度上升爲法律。
【法規要求】
《中華人民共和國網絡安全法》在2017年6月1日施行,作爲網絡安全基礎性法律,在第21條明確規定了“國家實行網絡安全等級保護制度,要求網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務”;第31條規定“對於國家關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”。等級保護制度在今天已上升爲法律,並在法律層面確立了其在網絡安全領域的基礎、核心地位,正如業內所言,不做等保就是違法了。
網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務——保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
【主要內容】
網絡安全法明確了等級保護工作的核心。
主要包括:
(1)關鍵信息基礎設施的定義:
第三十一條 國家公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。
(2)關鍵信息基礎設施的安全保護義務
第三十四條 運營者設置專門機構和負責人、網絡安全教育培訓、容災備份、應急預案和演練等。
第五十九條 運營者拒不改正或導致危害網絡安全的,罰款10-100萬元,直接責任人罰款1-10萬元。
(3)敏感信息保存
第三十七條 境內收集產生的個人信息和重要數據應當在境內存儲。確需向境外提供的,應進行安全評估。
第六十六條 運營者違反規定的,沒收違法所得,罰款5-50萬元,吊銷執照,直接責任人罰款1-10萬元。
(4)風險檢測評估
第三十八條 運營者每年至少組織一次安全風險檢測評估,並評估情況和改進措施報相關部門。
我們總說等級保護有五個規定動作,即定級、備案、建設整改、等級測評和監督檢查。
其中最重要的環節就是信息系統安全等級測評,它用來驗證信息系統能不能滿足相應安全保護等級,包含安全控制測評和系統整體測評兩個層次:由於信息安全等級保護要求不同安全等級的信息系統應該具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的控制措施來實現;另一方面這些不同的安全控制措施,共同作用於信息系統,使得信息系統的整體安全功能與信息系統的結構以及不同安全層級之間的關係密切相關。
【五級標準】
(1)第一級安全等級最低,隻影響個人和組織內部。具體來說,第一級是指信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。這一等級由信息系統運營、使用單位依據國家有關管理規範和技術標準進行保護。
(2)第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。這一等級除了需要信息系統運營、使用單位依據國家有關管理規範和技術標準進行保護外,還需要國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。
(3)第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。
(4)第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。信息系統運營、使用單位應當依據國家有關管理規範、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。
(5)第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。信息系統運營、使用單位應當依據國家管理規範、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。
【主要涵蓋領域】
1、政府機關;
2、銀行、證券、保險等金融機構;
3、電信、郵政體系;
4、新聞、出版、廣電單位;
5、電力、燃氣、煤炭等能源組織;
6、航空、鐵路、水路等運輸企業;
7、國家重點工程建設單位;
8、重點科研、教育機構;
9、醫療、消費、應急等組織;
10、大型電商、P2P、支付、消費金融等大數據處理公司;
11、大型信息技術研發型企業;
【趨勢】
1、國家爲了推動信息安全等級體系,目前基本踏入安全實施年,從電信行業的網絡信息安全等保工作截止到2019年底基本普及;
2、用戶信息安全成爲消費者最爲關注的點,等級保護檢測標準提升了運營的單位競爭能力,同時也爲用戶數據鋌而走險的不法分子提升了犯罪成本;
3、未來2年,成爲互聯網企業及大數據企業的基本標配,提高了市場準入門檻。
【檢測重點】
1、主機安全;
2、網絡安全;
3、網絡設備防護;
4、應用安全;
5、數據安全;
6、安全管理制度;
7、應急預案體系;
