安全資訊

網(wǎng)絡(luò )安全等級保護是落實(shí)“分等級保護、突出重點(diǎn)、積極防御、綜合防護”的總體要求，建立“打防管控”一體化的網(wǎng)絡(luò )安全綜合防御體系，提升國家網(wǎng)絡(luò )安全整體防御能力，變被動(dòng)防護為主動(dòng)防護，變靜態(tài)防護為動(dòng)態(tài)防護，變單點(diǎn)防護為整體防護，變粗放防護為精準防護。

第一條【立法宗旨與依據】為加強網(wǎng)絡(luò )安全等級保護工作，提高網(wǎng)絡(luò )安全防范能力和水平，維護網(wǎng)絡(luò )空間主權和國家安全、社會(huì )公共利益，保護公民、法人和其他組織的合法權益，促進(jìn)經(jīng)濟社會(huì )信息化健康發(fā)展，依據《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國保守國家秘密法》等法律，制定本條例。

第二條【適用范圍】在中華人民共和國境內建設、運營(yíng)、維護、使用網(wǎng)絡(luò )，開(kāi)展網(wǎng)絡(luò )安全等級保護工作以及監督管理，適用本條例。個(gè)人及家庭自建自用的網(wǎng)絡(luò )除外。

第三條【確立制度】國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，對網(wǎng)絡(luò )實(shí)施分等級保護、分等級監管。前款所稱(chēng)“網(wǎng)絡(luò )”是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集、存儲、傳輸、交換、處理的系統。

第四條【工作原則】網(wǎng)絡(luò )安全等級保護工作應當按照突出重點(diǎn)、主動(dòng)防御、綜合防控的原則，建立健全網(wǎng)絡(luò )安全防護體系，重點(diǎn)保護涉及國家安全、國計民生、社會(huì )公共利益的網(wǎng)絡(luò )的基礎設施安全、運行安全和數據安全。】

涉密網(wǎng)絡(luò )應當依據國家保密規定和標準，結合系統實(shí)際進(jìn)行保密防護和保密監管。

第五條【職責分工】中央網(wǎng)絡(luò )安全和信息化領(lǐng)導機構統一領(lǐng)導網(wǎng)絡(luò )安全等級保護工作。國家網(wǎng)信部門(mén)負責網(wǎng)絡(luò )安全等級保護工作的統籌協(xié)調。

國家保密行政管理部門(mén)主管涉密網(wǎng)絡(luò )分級保護工作，負責網(wǎng)絡(luò )安全等級保護工作中有關(guān)保密工作的監督管理。

國務(wù)院其他有關(guān)部門(mén)依照有關(guān)法律法規的規定，在各自職責范圍內開(kāi)展網(wǎng)絡(luò )安全等級保護相關(guān)工作。

解析：這一條明確了，中央網(wǎng)信機構領(lǐng)導網(wǎng)絡(luò )安全等級保護工作，公安部門(mén)主管網(wǎng)絡(luò )安全等級保護工作，國家網(wǎng)信部門(mén)負責等保工作的統籌協(xié)調。保密局，密碼局負責各自領(lǐng)域的監督管理。也就是說(shuō)密碼局和保密局的分級保護（簡(jiǎn)稱(chēng)分保）也是等保工作的一部分?？h級以上公安機關(guān)（包括縣區一級），等保工作第一次下放到縣區一級。未來(lái)等保監督、執法檢查、備案等工作，縣區一級公安機關(guān)也要參與。

解析:根據《中華人民共和國網(wǎng)絡(luò )安全法》的解釋網(wǎng)絡(luò )運營(yíng)者，是指網(wǎng)絡(luò )的所有者、管理者和網(wǎng)絡(luò )服務(wù)提供者。網(wǎng)絡(luò )運營(yíng)者應當依法開(kāi)展網(wǎng)絡(luò )定級備案，意味著(zhù)網(wǎng)絡(luò )運營(yíng)者必須對自己擁有的系統不管是一級系統還是一級以上的系統都要進(jìn)行定級工作。在《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》中對于一級系統這么要求的：應以書(shū)面的形式說(shuō)明保護對象的安全保護等級及確定等級的方法和理由。也就是說(shuō)一級網(wǎng)絡(luò )可以不用到公安機關(guān)備案，但是必須要有記錄表單類(lèi)文檔，來(lái)記錄保護對象的安全保護等級和確定等級的方法和理由。但是對于二級以上的系統要求必須到公安機關(guān)備案。對安全建設整改、等級測評和自查等工作，這里指的是對應的等保標準里要履行的動(dòng)作，比如三級系統每年必須測評一次，但標準里沒(méi)有要求二級系統必須測評，二級只是要求定期進(jìn)行等級測評，在發(fā)生重大變更或級別發(fā)生變化時(shí)進(jìn)行等級測評。根據各自系統的級別，查詢(xún)對應級別的標準里的要求。至于后面的采取管理和技術(shù)措施，保障網(wǎng)絡(luò )基礎設施安全、網(wǎng)絡(luò )運行安全、數據安全和信息安全，有效應對網(wǎng)絡(luò )安全事件，防范網(wǎng)絡(luò )違法犯罪活動(dòng)，1到5級系統標準都有要求。

解析：行業(yè)主管部門(mén)比如說(shuō)教育局，衛健委，銀保監局，人民銀行等行業(yè)主管部門(mén)應當組織、指導本行業(yè)、本領(lǐng)域落實(shí)網(wǎng)絡(luò )安全等級保護制度。對于下級單位的定級問(wèn)題，應該出具主管部門(mén)的審批意見(jiàn)。具體的行業(yè)主管部門(mén)怎么定義，什么單位算行業(yè)主管部門(mén)，有具體文件要求。

第八條【總體保障】國家建立健全網(wǎng)絡(luò )安全等級保護制度的組織領(lǐng)導體系、技術(shù)支持體系和保障體系。

解析：各級政府和行業(yè)主管部門(mén)必須將網(wǎng)絡(luò )安全等級保護制度納入信息化工作的總體規劃之中，之前很多部門(mén)，每年信息化工作可能會(huì )投入很多錢(qián)，但是經(jīng)常忽略安全的建設，只重建設，不重安全，忽略網(wǎng)絡(luò )安全的重要性，這一條明確要求納入總體規劃。

國家支持企業(yè)、研究機構、高等學(xué)校、網(wǎng)絡(luò )相關(guān)行業(yè)組織參與網(wǎng)絡(luò )安全等級保護國家標準、行業(yè)標準的制定。

第十條【投入和保障】各級人民政府鼓勵扶持網(wǎng)絡(luò )安全等級保護重點(diǎn)工程和項目，支持網(wǎng)絡(luò )安全等級保護技術(shù)的研究開(kāi)發(fā)和應用，推廣安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù)。

第十一條【技術(shù)支持】國家建設網(wǎng)絡(luò )安全等級保護專(zhuān)家隊伍和等級測評、安全建設、應急處置等技術(shù)支持體系，為網(wǎng)絡(luò )安全等級保護制度提供支撐。

第十二條【績(jì)效考核】行業(yè)主管部門(mén)、各級人民政府應當將網(wǎng)絡(luò )安全等級保護工作納入績(jì)效考核評價(jià)、社會(huì )治安綜合治理考核等。

第十三條【宣傳教育培訓】各級人民政府及其有關(guān)部門(mén)應當加強網(wǎng)絡(luò )安全等級保護制度的宣傳教育，提升社會(huì )公眾的網(wǎng)絡(luò )安全防范意識。

解析：為了提升整個(gè)國家的網(wǎng)絡(luò )安全防護水平，鼓勵各級政府和相關(guān)部門(mén)加強網(wǎng)絡(luò )安全等級保護制度的宣傳教育，提升全民的網(wǎng)絡(luò )安全防范意識。也鼓勵事業(yè)單位、高校、研究機構開(kāi)展網(wǎng)絡(luò )安全等級保護制度的教育和培訓，培養網(wǎng)絡(luò )安全等級保護管理和技術(shù)人才?，F在網(wǎng)絡(luò )安全人才缺口非常大，也亟需網(wǎng)絡(luò )安全人才。當前網(wǎng)絡(luò )安全防護水平相比十年前已經(jīng)得到了極大的提升，等級保護工作可以說(shuō)功不可沒(méi)。

國家對網(wǎng)絡(luò )新技術(shù)、新應用的推廣，組織開(kāi)展網(wǎng)絡(luò )安全風(fēng)險評估，防范網(wǎng)絡(luò )新技術(shù)、新應用的安全風(fēng)險。

一是保障用戶(hù)對數據可控，產(chǎn)品或服務(wù)提供者不應該利用提供產(chǎn)品或服務(wù)的便利條件非法獲取用戶(hù)重要數據，損害用戶(hù)對自己數據的控制權；

三是保障用戶(hù)的選擇權，產(chǎn)品和服務(wù)提供者不應利用用戶(hù)對其產(chǎn)品和服務(wù)的依賴(lài)性，限制用戶(hù)選擇使用其他產(chǎn)品和服務(wù)，或停止提供合理的安全技術(shù)支持，迫使用戶(hù)更新?lián)Q代，損害用戶(hù)的網(wǎng)絡(luò )安全和利益。

第三章網(wǎng)絡(luò )的安全保護

（一）第一級，一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會(huì )秩序和公共利益的一般網(wǎng)絡(luò )。

（三）第三級，一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成特別嚴重損害，或者會(huì )對社會(huì )秩序和社會(huì )公共利益造成嚴重危害，或者對國家安全造成危害的重要網(wǎng)絡(luò )。

（五）第五級，一旦受到破壞后會(huì )對國家安全造成特別嚴重危害的極其重要網(wǎng)絡(luò )。

不同級別的等級保護對象應具備的基本安全保護能力如下:

第二級安全保護能力:應能夠防護免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難,以及其他相當危害程度的威脅所造成的重要資源損害,能夠發(fā)現重要的安全漏洞和處置安全事件,在自身遭到損害后,能夠在一段時(shí)間內恢復部分功能。

第四級安全保護能力:應能夠在統一安全策略下防護免受來(lái)自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難,以及其他相當危害程度的威脅所造成的資源損害,能夠及時(shí)發(fā)現、監測發(fā)現攻擊行為和安全事件,在自身遭到損害后,能夠迅速恢復所有功能。

當網(wǎng)絡(luò )功能、服務(wù)范圍、服務(wù)對象和處理的數據等發(fā)生重大變化時(shí)，網(wǎng)絡(luò )運營(yíng)者應當依法變更網(wǎng)絡(luò )的安全保護等級。

網(wǎng)絡(luò )運營(yíng)者不履行本條規定，由公安機關(guān)責令改正，依照《中華人民共和國網(wǎng)絡(luò )安全法》第五十九條第一款的規定處罰。即：由有關(guān)主管部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。

跨省或者全國統一聯(lián)網(wǎng)運行的網(wǎng)絡(luò )由行業(yè)主管部門(mén)統一擬定安全保護等級，統一組織定級評審。

解析：業(yè)務(wù)系統應該定為二級的或者二級以上的，網(wǎng)絡(luò )運營(yíng)者要組織專(zhuān)家進(jìn)行評審，有行業(yè)主管部門(mén)的，應當在評審后報請主管部門(mén)核準。定級備案的流程是確定定級對象—》擬定二級的系統—》進(jìn)行專(zhuān)家評審—》行業(yè)主管部門(mén)審批定級是否合理—》公安機關(guān)終審定級是否準確—》符合發(fā)備案證明—》否則退回重新定級。

網(wǎng)絡(luò )運營(yíng)者不履行本條第一款規定，由公安機關(guān)責令改正，依照《中華人民共和國網(wǎng)絡(luò )安全法》第五十九條第一款的規定處罰。即：由有關(guān)主管部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。

因網(wǎng)絡(luò )撤銷(xiāo)或變更調整安全保護等級的，應當在10個(gè)工作日內向原受理備案公安機關(guān)辦理備案撤銷(xiāo)或變更手續。

解析：第二級以上網(wǎng)絡(luò )運營(yíng)者應當在網(wǎng)絡(luò )的安全保護等級確定后10個(gè)工作日內，到縣級以上公安機關(guān)備案。這里強調的是等級確定后的10個(gè)工作日內，而不是網(wǎng)絡(luò )建成后的10個(gè)工作日。如果網(wǎng)絡(luò )撤銷(xiāo)、廢棄，不再使用或者需要調整安全保護等級，在10個(gè)工作日內也要去受理備案的公安機關(guān)備案撤銷(xiāo)，或者變更。備案的具體辦法由公安部門(mén)制定，當前的公安機關(guān)的備案表也會(huì )很快發(fā)生變化，因為當前公安機關(guān)的備案表中的表三確定系統服務(wù)安全保護等級和業(yè)務(wù)信息安全保護等級中根本就沒(méi)有一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成特別嚴重損害這一項描述。

第十九條【備案審核】公安機關(guān)應當對網(wǎng)絡(luò )運營(yíng)者提交的備案材料進(jìn)行審核。對定級準確、備案材料符合要求的，應在10個(gè)工作日內出具網(wǎng)絡(luò )安全等級保護備案證明。