2017年6月1日《網(wǎng)絡安全法》正式實施���,網(wǎng)絡安全等級保護進入有法可依的2.0時代���,網(wǎng)路安全等級保護系列標準于2019年5月陸續(xù)發(fā)布���,12月1日起正式實施�,標志著等級保護正式邁入2.0時代。
網(wǎng)絡安全等級保護2.0時代�����,落實等級保護制度的五個規(guī)定基本動作仍然是:定級�����、備案�、建設整改���、等級測評�����、監(jiān)督檢查�����。
本文全面介紹網(wǎng)絡安全等級保護工作流程。
網(wǎng)絡安全等級保護基本概述 網(wǎng)絡安全等級保護是指對國家秘密信息�、法人和其他組織及公民的專有信息以及公開信息和存儲�、傳輸���、處理這些信息的網(wǎng)絡資源及功能組件分等級實行安全保護���,對網(wǎng)絡中使用的安全技術和管理制度實行按等級管理���,對網(wǎng)絡中發(fā)生的信息安全事件分等級響應���、處置�。
為開展網(wǎng)絡安全等級保護工作�����,國家制定了一系列等級保護相關標準���,其中主要的標準有: 計算機信息系統(tǒng)安全保護等級劃分準則(GB17859-1999) 信息安全技術網(wǎng)絡安全等級保護定級指南(GB/T22240-2020) 信息安全技術網(wǎng)絡安全等級保護實施指南(GB/T25058-2019) 信息安全技術網(wǎng)絡安全等級保護基本要求(GB/T22239-2019) 信息安全技術網(wǎng)絡安全等級保護設計技術要求(GB/T25070-2019) 信息安全技術網(wǎng)絡安全等級保護測評要求(GB/T28448-2019) 信息安全技術網(wǎng)絡安全等級保護測評過程指南(GB/T28449-2018) 開展網(wǎng)絡安全等級保護工作的原因 開展網(wǎng)絡安全等級保護的原因大致可以概括為下列三點: 合規(guī)要求:落實網(wǎng)絡安全等級保護制度�����,滿足國家法律法規(guī)要求�。
網(wǎng)絡安全法第二十一條規(guī)定國家實行網(wǎng)絡安全等級保護制度�����。
網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求�����,履行下列安全保護義務,保障網(wǎng)絡免受干擾�、破壞或者未經(jīng)授權的訪問�,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取���、篡改�����。
網(wǎng)絡安全法第三十一條規(guī)定國家對公共通信和信息服務、能源�、交通���、水利�����、金融、公共服務�、電子政務等重要行業(yè)和領域�����,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露�����,可能嚴重危害國家安全���、國計民生�、公共利益的關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護。
網(wǎng)絡安全等級保護基本對各行業(yè)進行全覆蓋,主要行業(yè)有:政府機關�����、金融行業(yè)�、衛(wèi)生醫(yī)療、教育行業(yè)�、運營商�����、能源電力、企業(yè)單位及其他行業(yè)等�����。
安全需求:基于等級保護構建安全防護體系���,推動安全保障建設�����,合理規(guī)避風險。
網(wǎng)絡安全等級保護是信息系統(tǒng)安全領域實施的基本國策�����,是是國家信息安全保障工作的基本制度���、基本方法�。
網(wǎng)絡運營者依據(jù)國家網(wǎng)絡安全等級保護政策和標準,開展組織管理���、機制建設�����、安全規(guī)劃、安全監(jiān)測�、通報預警���、應急處置�、態(tài)勢感知�、能力建設、監(jiān)督檢查���、技術檢測、安全可控���、隊伍建設���、教育培訓和經(jīng)費保障等工作�����,構建集安全管理體系�����、安全技術體系、網(wǎng)絡信任體系�、風險管理體系等多方位的網(wǎng)絡安全綜合防御體系�����。
推動安全產(chǎn)業(yè)發(fā)展 等級保護有效的支撐了網(wǎng)絡安全法,作為網(wǎng)絡安全法的抓手�,有效推動了可信計算�、全網(wǎng)安全態(tài)勢感知等新型安全技術的使用���,促進“云大物移工”等新應用新技術的安全落地�����,提升了面對高級持續(xù)性威脅與勒索病毒的安全防護能力�����。
開展網(wǎng)絡安全等級保護工作的流程 等保2.0時代,開展網(wǎng)絡安全等級保護工作的的五個規(guī)定基本動作:定級�、備案�����、建設整改���、等級測評�、監(jiān)督檢查。
定級階段: 網(wǎng)絡運營者依據(jù)《GB/T22240-2020信息安全技術網(wǎng)絡安全等級保護定級指南》�����,確定等級保護對象�,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。
根據(jù)下列矩陣表分別確定等級保護對象業(yè)務信息等級和系統(tǒng)服務等級:
在分別確定業(yè)務信息安全的安全等級和系統(tǒng)服務的安全等級后�,由二者中較高級別確定等級保護對象的安全級別�,如:
業(yè)務信息安全:
第二級���,系統(tǒng)服務:
第三級���,最終等級保護級別為:
第三級; 業(yè)務信息安全:
第四級���,系統(tǒng)服務:
第三級�,最終等級保護級別為:
第四級; 業(yè)務信息安全:
第三級,系統(tǒng)服務:
第三級,最終等級保護級別為:
第三級。具體的定級流程如下:
備案階段:
第二級以上網(wǎng)絡運營者在定級���、撤銷或變更調(diào)整網(wǎng)絡安全保護等級時,在明確安全保護等級后需在10個工作日內(nèi)�,到縣級以上公安機關備案���,提交相關材料���。
備案所需材料(下列材料為浙江寧波公安官網(wǎng)發(fā)布的所需材料及流程���,供參考�,不同地市可能存在差異,以當?shù)毓矙C關要求為準) 公安機關應當對網(wǎng)絡運營者提交的備案材料進行審核。
具體流程大致如下:
對定級準確�����、備案材料符合要求的�����,應在10個工作日內(nèi)出具網(wǎng)絡安全等級保護備案證明。
建設整改階段:
安全建設整改工作分五步進行:
落實安全建設整改工作部門,建設整改工作規(guī)劃�,進行總體部署;
確定網(wǎng)絡安全建設需求并論證;
確定安全防護策略�����,制定網(wǎng)絡安全建設整改方案(安全建設方案經(jīng)專家評審論證,三級以上報公安機關審核);
根據(jù)網(wǎng)絡安全建設整改方案���,實施安全建設工程;
開展安全自查和等級測評,及時發(fā)現(xiàn)安全風險及安全問題�����,進一步開展整改�����。
等級測評階段:
?網(wǎng)絡安全等級保護測評過程分為4個基本活動:測評準備活動�����、方案編制活動、現(xiàn)場測評活動���、分析及報告編制活動。
監(jiān)督檢查階段:
公安機關對第三級以上網(wǎng)絡運營者每年至少開展一次安全檢查�����,涉及相關行業(yè)的可以會同其行業(yè)主管部門開展安全檢查�。
必要時���,公安機關可以委托社會力量提供技術支持�。
縣級以上公安機關對網(wǎng)絡運營者開展下列網(wǎng)絡安全工作情況進行監(jiān)督檢查:
(一)日常網(wǎng)絡安全防范工作;
(二)重大網(wǎng)絡安全風險隱患整改情況;
(三)重大網(wǎng)絡安全事件應急處置和恢復工作;
(四)重大活動網(wǎng)絡安全保護工作落實情況;
(五)其他網(wǎng)絡安全保護工作情況。
