安全資訊

一、網(wǎng)絡(luò )安全等級保護系統的前身
網(wǎng)絡(luò )安全級別保護系統不是新事物，是計算機信息系統安全級別保護系統的升級版本。
1994年頒布的《中華人民共和國計算機信息系統安全與保護條例》（以下簡(jiǎn)稱(chēng)《計算機安全條例》）首先明確了由公安機關(guān)監督實(shí)施的計算機信息系統安全保護水平。作為主管當局。
此后，公安部與有關(guān)部門(mén)一道，逐步完善了層次保護制度和管理的具體內容，并導致了“計算機信息系統安全保護等級分類(lèi)指南”（gb-17859-1999）等一系列國家標準的改進(jìn)。2007年，四個(gè)部委發(fā)布了《信息安全等級保護行政措施》。
 
隨著(zhù)目前社會(huì )的快速發(fā)展，網(wǎng)絡(luò )的擴展不斷擴大，云計算、大數據、物聯(lián)網(wǎng)、工業(yè)控制系統紛紛出現。計算機信息系統的層次保護系統已經(jīng)不能再適應了。所以，《網(wǎng)絡(luò )安全法》確認并更新了等級保護（以下簡(jiǎn)稱(chēng)“等?！保┲贫鹊膬热?。與此同時(shí)，正在制定、修訂或改進(jìn)相關(guān)的支持性國家標準。
 
二、公司有義務(wù)實(shí)施等級保護體系
許多企業(yè)認為，網(wǎng)絡(luò )安全等保與自己的企業(yè)沒(méi)有什么關(guān)系。
這在“網(wǎng)絡(luò )安全法”正式實(shí)施之前可能是正確的?！队嬎銠C安保條例》第四條規定“計算機信息系統的安全與保護，以國家事務(wù)、經(jīng)濟建設、國防建設、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機信息系統的安全為重點(diǎn)”。
但是, 與《計算機等保條例》有限的適用范圍不同, 《網(wǎng)絡(luò )安全法》規定網(wǎng)絡(luò )運營(yíng)者均負有實(shí)施網(wǎng)絡(luò )安全等級保護制度的義務(wù)。并且, 《網(wǎng)絡(luò )安全法》第五十九條明確規定, 未落實(shí)網(wǎng)絡(luò )安全等級保護義務(wù)的“由有關(guān)主管部門(mén)責令改正, 給予警告; 拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的, 處一萬(wàn)元以上十萬(wàn)元以下罰款, 對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款?！?br /> 《網(wǎng)絡(luò )安全法》實(shí)施后，公安機關(guān)開(kāi)始對未履行網(wǎng)絡(luò )安全和其他安全義務(wù)的企業(yè)進(jìn)行處罰。
公安機關(guān)作為網(wǎng)絡(luò )安全的主管機關(guān)之一，在《網(wǎng)絡(luò )安全法》逐步完善后，將把網(wǎng)絡(luò )安全保護制度作為網(wǎng)絡(luò )安全領(lǐng)域的一項重點(diǎn)工作來(lái)推進(jìn)。因此，企業(yè)不應該有僥幸心態(tài)，要積極履行網(wǎng)絡(luò )安全水平保護的義務(wù)。

 
三、是實(shí)施網(wǎng)絡(luò )安全級別保護系統
網(wǎng)絡(luò )安全等級保護體系包括法律和技術(shù)體系。企業(yè)僅靠自身實(shí)力履行保險義務(wù)更為困難。建議聘請專(zhuān)業(yè)的法律機構和合格的評估機構協(xié)助實(shí)施。企業(yè)應當立即履行法律明確規定的義務(wù)：
制定內部安全管理制度和操作規程，確定網(wǎng)絡(luò )安全負責人；
采取技術(shù)措施，防止計算機病毒和網(wǎng)絡(luò )攻擊，網(wǎng)絡(luò )入侵等網(wǎng)絡(luò )安全行為;
采取技術(shù)措施，監測、記錄網(wǎng)絡(luò )運行狀況和網(wǎng)絡(luò )安全事件，并按照規定保存相關(guān)網(wǎng)絡(luò )日志不少于6個(gè)月；
采取數據分類(lèi)、重要數據備份、加密等措施。
 
四、要注意的問(wèn)題
1.評級是否由評估機構和專(zhuān)業(yè)組織確定？
雖然聘請了專(zhuān)業(yè)的評估機構來(lái)幫助履行平等的保障義務(wù)，但對網(wǎng)絡(luò )信息系統分級準確性的責任仍由企業(yè)承擔。因此，評價(jià)機構只提出等級建議，最終的等級需要企業(yè)正確把握。被確定為二級以上的，在二級以上確定之日起三十日內向公安機關(guān)備案。


2.一次或兩次？
對于評級為3級或以上的網(wǎng)絡(luò )運營(yíng)商來(lái)說(shuō)，這不是一勞永逸的問(wèn)題。三級網(wǎng)絡(luò )運營(yíng)商應至少每年進(jìn)行一次評估和自我檢查。四級網(wǎng)絡(luò )運營(yíng)商的評審和自我檢查應至少每六個(gè)月進(jìn)行一次。
三。采用SaaS和其他網(wǎng)絡(luò )框架并租用云服務(wù)的網(wǎng)絡(luò )運營(yíng)商不承擔同等的等保義務(wù)？
目前saas、paas、issa等普遍采用網(wǎng)絡(luò )結構或租賃云服務(wù)或由他人托管的系統。在上述情況下，公司仍有法律義務(wù)實(shí)施此類(lèi)保險。要參照相關(guān)國家標準和網(wǎng)絡(luò )服務(wù)提供商根據網(wǎng)絡(luò )邊界劃分，明確雙方的責任。