《网络安全等级保护条例》《网络安全等保2.0》内容概述中国科学院信息工程研究所信息安全共性技术国家工程研究中心服务热线:400-776-268802目录01《网络安全等保2.0》内容概述《网络安全等级保护条例》(征求意见稿)主要内容《网络安全等级保护条例》(征求意见稿)《网络安全等级保护条例》(征求意见稿)为贯彻落实《中华人民共和国网络安全法》,深入推进实施国家网络安全等级保护制度,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》。法规框架是八章73条,第一章总则,第二章支持与保障,第三章网络的安全保护,第四章涉密网络的安全保护,第五章密码管理,第六章监督管理,第七章法律责任,第八章附则。该条例是网络安全法的接续性法规,是网络安全法律体系的重要组成部分,是由国家批准的规范性的法律文件,它具有法的效力。【立法宗旨与依据】(一)、立法宗旨、适用范围和原则:依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。【工作原则】按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。(二)、职责分工中央网信机构国家网信部门国家公安部门国家保密行政管理部门统一领导网络安全等级保护工作。负责网络安全等级保护工作的统筹协调。主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。县级以上地方人民政府主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。依照本条例和有关法律法规规定,开展网络安全等级保护工作。(二)、监督管理-公安机关监督管理职责在此添加关键字Loremipsumdolorsitamet,consectetueradipiscingelit.Maecenasporttitorconguemassa.在此添加关键字Loremipsumdolorsitamet,consectetueradipiscingelit.Maecenasporttitorconguemassa.一、【安全检查】县级以上公安机关对网络运营者开展网络安全工作情况进行监督检查。二、【检查处置】公安机关在监督检查中发现网络安全风险隐患的,应当责令网络运营者采取措施立即消除;不能立即消除的,应当责令其限期整改。三、【重大隐患处置】公安机关发现重要行业或本地区存在严重威胁国家安全、公共安全和社会公共利益的重大风险隐患的,应报告同级政府、网信部门和上级公安机关。四、【对测评机构和安全建设机构的监管】国家对网络安全等级测评机构和安全建设机构实行推荐目录管理,非涉密网络安全等级测评机构和安全建设机构具体管理办法,由国务院公安部门制定。保密科技测评机构管理办法由国家保密行政管理部门制定。五、【关键人员管理】第三级以上网络运营者的关键岗位人员以及为第三级以上网络提供安全服务的人员,不得擅自参加境外组织的网络攻防活动。六、【事件调查】公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。紧急情况下断网。县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作,实行监督管理;对三级以上网络运营者进行重点监督管理。【保密监督管理】三:监督管理-其他机构的监督管理职责保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。【密码监督管理】密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理,监督检查网络运营者对网络的密码配备、使用、管理和密码评估情况。其中重要涉密信息系统每两年至少开展一次监督检查。【监督管理责任】.网络安全等级保护监督管理部门及其工作人员应当对在履行职责中知悉的国家秘密、个人信息和重要数据严格保密,不得泄露、出售或者非法向他人提供。【行业监督管理】行业主管部门应当组织制定本行业并监督管理本领域网络安全等级保护工作规划和标准规范,掌握网络基本情况、定级备案情况和安全保护状况;监督管理本行业、本领域网络运营者开展网络定级备案、等级测评、安全建设整改、安全自查等工作。四、支持与保障【总体保障】【标准制定】【投入和保障】【绩效考核】国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。各级人民政府和行业主管部门应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。国家建立完善网络安全等级保护标准体系。国务院标准化行政主管部门和国务院公安部门、国家保密行政管理部门、国家密码管理部门根据各自职责,组织制定网络安全等级保护的国家标准、行业标准。各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。【技术支持】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。五、网络等级第三级重要网络第五级极其重要网络一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。第四级特别重要网络一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。第一级一般网络第二级一般网络根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。六、定级备案在此添加关键字Loremipsumdolorsitamet,consectetueradipiscingelit.Maecenasporttitorconguemassa.【网络定级】•网络运营者应当在规划设计阶段确定网络的安全保护等级。【定级评审】•对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。•跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。【定级备案】•第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。【备案审核】•公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。七、【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:(一)(二)(三)(四)确定网络安全管理机构,明确网络安全等级保护的工作职责,制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;(五)落实网络安全态势感知监测预警措施,(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;(七)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;四、涉密网络的安全保护(1)【分级保护】【网络定级】【方案审查论证】【信息设备、安全保密产品管理】涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、机密级和秘密级。涉密网络运营者应当依法确定涉密网络的密级,通过本单位保密委员会(领导小组)的审定,并向同级保密行政管理部门备案。涉密网络运营者规划建设涉密网络,应当依据国家保密规定和标准要求,制定分级保护方案,涉密网络运营者委托其他单位承担涉密网络建设的,应当选择具有相应涉密信息系统集成资质的单位,并与建设单位签订保密协议,明确保密责任,采取保密措施。【建设管理】涉密网络中使用的信息设备,应当从国家有关主管部门发布的涉密专用信息设备名录中选择;未纳入名录的,应选择政府采购目录中的产品。四、涉密网络的安全保护(2)【测评审查和风险评估】【涉密网络使用管理总体要求】【涉密网络预警通报要求】【涉密网络废止的处理】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。涉密网络运营者应当依法确定涉密网络的密级,通过本单位保密委员会(领导小组)的审定,并向同级保密行政管理部门备案。涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处置措施,并向保密行政管理部门报告。涉密网络运营者应当按照国家保密规定及时向保密行政管理部门报告并采取相应措施。【涉密网络重大变化的处置】涉密网络不再使用的,涉密网络运营者应当及时向保密行政管理部门报告,并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。02目录01《网络安全等保2.0》内容概述《网络安全等级保护条例》(征求意见稿)主要内容一、网络安全等级保护2.0的概念在此添加关键字Loremipsumdolorsitamet,consectetueradipiscingelit.Maecenasporttitorconguemassa.以GB17859-1999《计算机信息系统安全保护等级划分则》为根标准,以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准;推动重要信息系统和基础网络的定级、备案、测评、整改、监督检查等工作。将《基本要求》的2008版本及其配套规范标准称为等保1.0。信息安全等级保护1.02014年开始制定2.0标准,修订了通用安全要求,增加了云计算、大数据、移动互联、工控、物联网等安全扩展要求,内容包括网络安全等级保护基本要求、安全通用要求和安全扩展要求,标志着等级保护2.0时代的到来。网络安全等级保护2.0一、网络安全等级保护2.0的概念网络安全等级保护2.0的三个标准:p信息安全技术网络安全等级保护基本要求GB/T22239-XXXXp信息安全技术网络安全等级保护安全设计技术要求GB/T25070-XXXXp信息安全技术网络安全等级保护测评要求GB/T28448-XXXX【法律地位得到确认】二、网络安全等级保护2.0的基本特点《网络安全法》第21条“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。【保护对象得到扩展】主要包括基础信息网络、信息系统(例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统)和大数据等。【制度体系基本形成责任】.包括:法律政策体系、法规标准体系、技术支撑体系、支撑保障体系、教育培训体系、人才培养体系等。【内容进一步完善】除定