搜索
新形势下网络安全等级保护制度标准体系及主要工作内容公安部信息安全等级保护评估中心张振峰信息安全专题目录《网络安全法》简介等级保护制度主要内容已经形成的等级保护政策和标准体系等级保护工作的具体内容和要求新形势下的等级保护工作内容变化网络安全等级保护主要标准-基本要求制定网络安全法的迫切性和必要性是落实党中央决策部署的重要举措,是维护网络安全、国家安全的迫切需要是维护网络空间国家主权的迫切需要是深化网络安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要是打击网络违法犯罪、维护广大人民群众利益的迫切需要是参与互联网国际竞争和国际治理的迫切需要1、总体框架。共7章79条。目录如下:第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则(一)综述结构1、国家承担的责任义务2、职责任务3、国家网络安全等级保护制度4、网络运营者基本责任义务5、关键信息基础设施的运行安全6、数据境内存储和跨境提供7、网络产品、服务要求8、网络信息安全9、监测预警与应急处置主要内容定位是互联网领域、网络安全的基础性法律。是党的十八大以来的又一部重要法律。制定过程2013年下半年提上日程,2014年形成草案,15年初形成征求意见稿,15年6月一审,16年6月二审、10月31日三审、11月7日人大通过,2017年6月1日起施行。154票赞成、0票反对、1票弃权。网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。有关概念网络运营者,是指网络的所有者、管理者和网络服务提供者。网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。有关概念第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。重点条款-国家网络安全等级保护制度(基本制度、基本国策,上升为法律)第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(日志留存)(四)采取数据分类、重要数据备份和加密等措施;(数据安全)(五)法律、行政法规规定的其他义务。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。(CII必须落实国家等级保护制度,突出保护重点)国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。(制定规划)第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。(三同步原则)第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(重点措施)(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练(五)法律、行政法规规定的其他义务。第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。(非常态的网络产品和服务的国家安全审查)第三十六条关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。(外包服务安全,防范服务商)第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。(等级测评,风险评估,渗透测试)网络安全等级保护制度是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。关键信息基础设施的范围应该在定级备案的第三级(含)以上的保护对象中确定,并首先要落实第三级以上的安全防护技术和管理措施。关键信息基础设施必须按照等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。等级保护制度与关键信息基础设施保护的关系事件1:汕头某公司未及时履行网络安全义务,网警依据网安法责令改正2017年7月20日,广东汕头网警支队在对该市网络安全等级保护重点单位进行执法检查时发现,汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级,经测评合格后投入使用,但2016年至今未按规定定期开展等级测评。该公司之行为已违反《信息安全等级保护管理办法》第十四条第一款和网络安全法第二十一条第(五)项规定,未按规定履行网络安全等级测评义务。根据网络安全法第五十九条规定,广东汕头网警支队依法对该单位给予警告处罚并责令其改正。执法机构:广东汕头网警支队处罚行为:未按规定履行网络安全等级测评义务处罚措施:警告并责令其改正法律依据:《网络安全法》第21条、第59条第1款事件2:重庆一网络公司未留存用户登录日志被网安查处重庆公安局网安总队在日常检查中发现,重庆市某科技发展有限公司自《网络安全法》正式实施以来,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为。公安机关根据《网络安全法》相关规定,决定给予该公司警告处罚,并责令限期15日内进行整改。执法机构:重庆公安局网安总队处罚行为:未依法留存用户登录相关网络日志处罚措施:警告并责令其改正法律依据:《网络安全法》第21、第59条事件3:四川一网站因高危漏洞遭入侵被罚2017年7月22日,宜宾市翠屏区某网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。根据《网络安全法》第五十九条第一款之规定,决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。执法机构:宜宾网安部门处罚行为:未落实网络安全等级保护制度,未履行网络安全保护义务处罚措施:对直接负责的主管人员罚款5千,机构罚款1万元法律依据:《网络安全法》第21条、第59条事件4:山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚17年6月至7月间,山西忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。根据《中华人民共和国网络安全法》第二十一条第二款之规定,网络运营者应当按照网络安全等级保护制度的要求,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;第五十九条第一款之规定,网络运营者不履行第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,依法予以处置。山西忻州市网警认为该单位之行为已违反《网络安全法》相关规定,忻州市、县两级公安机关网安部门对该单位进行了现场执法检查,依法给予行政警告处罚并责令其改正。执法机构:山西忻州市、县两级公安机关网安部门处罚行为:未按照网络安全等级保护制度的要求,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施处罚措施:警告并责令其改正法律依据:《网络安全法》第21条、第59条目录《网络安全法》简介等级保护制度主要内容已经形成的等级保护政策和标准体系等级保护工作的具体内容和要求新形势下的等级保护工作内容变化网络安全等级保护主要标准-基本要求二、等级保护制度—目的意义1.信息安全形势严峻2.是维护国家安全的需要基础信息网络与重要信息系统已成为国家关键基础设施。信息安全是国家安全的重要组成部分。信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。二、等级保护制度—要求1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令):“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)规定:要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。二、等级保护制度—地位和作用是国家信息安全保障工作的基本制度、基本国策。是开展信息安全工作的基本方法。是促进信息化、维护国家信息安全的根本保障。二、等级保护制度—主要目的明确重点、突出重点、保护重点。有利于同步建设、协调发展。优化信息安全资源的配置。明确信息安全责任。推动信息安全产业发展。国家发展改革部门、财政部门、科技部门、公安机关对重要信息系统在政策上给予支持。二、等级保护制度—工作依据1、《网络安全法》2、国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。3、《信息安全等级保护管理办法》(43号文)4、《警察法》规定:警察履行“监督管理计算机信息系统的安全保护工作”的职责。5、2008年国务院三定方案,公安部新增职能:“监督、检查、指导信息安全等级保护工作”。6、《网络安全等级保护条例》(制定中)二、等级保护制度—主要内容对信息系统分等级进行安全保护和监管。五个规定动作:信息系统定级、备案、安全建设整改、等级测评、监督检查。信息安全产品分等级使用管理。信息安全事件分等级响应、处置。二、等级保护制度—责任和义务职能部门:制定管理规范和技术标准,组织实施,开展监督、检查、指导。行业主管部门:督促、检查、指导本行业、本部门开展等级保护工作。运营使用单位:开展信息系统定级、备案、建设整改、等级测评、自查等工作,落实等级保护制度的各项要求。安全服务机构:开展技术支持、服务等工作,并接受监管部门的监督管理。二、等级保护制度—职责分工公安机关:牵头部门,监督、检查、指导信息安全等级保护工作。国家保密部门:负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护。国家密码管理部门:负责等级保护工作中有关密码工作的监督、检查、指导。工业