安全資訊

2017年6月1日《網(wǎng)絡(luò )安全法》正式實(shí)施，網(wǎng)絡(luò )安全等級保護進(jìn)入有法可依的2.0時(shí)代，網(wǎng)路安全等級保護系列標準于2019年5月陸續發(fā)布，12月1日起正式實(shí)施，標志著(zhù)等級保護正式邁入2.0時(shí)代。

網(wǎng)絡(luò )安全等級保護2.0時(shí)代，落實(shí)等級保護制度的五個(gè)規定基本動(dòng)作仍然是：定級、備案、建設整改、等級測評、監督檢查。

本文全面介紹網(wǎng)絡(luò )安全等級保護工作流程。

網(wǎng)絡(luò )安全等級保護基本概述

網(wǎng)絡(luò )安全等級保護是指對國家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)  信息和存儲、傳輸、處理這些信息的網(wǎng)絡(luò )資源及功能組件分等級實(shí)行安全保護，對網(wǎng)絡(luò )中使用的安全技術(shù)和管理制度實(shí)行按等級管理，對網(wǎng)絡(luò )中發(fā)生的信息安全事件分等級響應、處置。

為開(kāi)展網(wǎng)絡(luò )安全等級保護工作，國家制定了一系列等級保護相關(guān)標準，其中主要的標準有：

• 計算機信息系統安全保護等級劃分準則（GB 17859-1999）
• 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南（GB/T22240-2020）
• 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護實(shí)施指南（GB/T25058-2019）
• 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求（GB/T22239-2019）
• 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護設計技術(shù)要求（GB/T25070-2019）
• 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求（GB/T28448-2019）
• 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評過(guò)程指南（GB/T28449-2018）

開(kāi)展網(wǎng)絡(luò )安全等級保護工作的原因

開(kāi)展網(wǎng)絡(luò )安全等級保護的原因大致可以概括為下列三點(diǎn)：

• 合規要求：落實(shí)網(wǎng)絡(luò )安全等級保護制度，滿(mǎn)足國家法律法規要求。

網(wǎng)絡(luò )安全法第二十一條規定國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。

網(wǎng)絡(luò )安全法第三十一條規定國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。

網(wǎng)絡(luò )安全等級保護基本對各行業(yè)進(jìn)行全覆蓋，主要行業(yè)有：政府機關(guān)、金融行業(yè)、衛生醫療、教育行業(yè)、運營(yíng)商、能源電力、企業(yè)單位及其他行業(yè)等。

• 安全需求：基于等級保護構建安全防護體系，推動(dòng)安全保障建設，合理規避風(fēng)險。

網(wǎng)絡(luò )安全等級保護是信息系統安全領(lǐng)域實(shí)施的基本國策，是是國家信息安全保障工作的基本制度、基本方法。

網(wǎng)絡(luò )運營(yíng)者依據國家網(wǎng)絡(luò )安全等級保護政策和標準，開(kāi)展組織管理、機制建設、安全規 劃、安全監測、通報預警、應急處置、態(tài)勢感知、能力建設、監督檢查、技術(shù)檢測、安全可控、隊伍建設、教育 培訓和經(jīng)費保障等工作，構建集安全管理體系、安全技術(shù)體系、網(wǎng)絡(luò )信任體系、風(fēng)險管理體系等多方位的網(wǎng)絡(luò )安全綜合防御體系。

• 推動(dòng)安全產(chǎn)業(yè)發(fā)展

等級保護有效的支撐了網(wǎng)絡(luò )安全法，作為網(wǎng)絡(luò )安全法的抓手，有效推動(dòng)了可信計算、全網(wǎng)安全態(tài)勢感知等新型安全技術(shù)的使用，促進(jìn)“云大物移工”等新應用新技術(shù)的安全落地，提升了面對高級持續性威脅與勒索病毒的安全防護能力。

開(kāi)展網(wǎng)絡(luò )安全等級保護工作的流程

等保2.0時(shí)代，開(kāi)展網(wǎng)絡(luò )安全等級保護工作的的五個(gè)規定基本動(dòng)作：定級、備案、建設整改、等級測評、監督檢查。

定級階段：

網(wǎng)絡(luò )運營(yíng)者依據《GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》，確定等級保護對象，明確定級對象，梳理等級保護對象受到破壞時(shí)所侵害的客體及對客體造成侵害的程度。根據下列矩陣表分別確定等級保護對象業(yè)務(wù)信息等級和系統服務(wù)等級：

在分別確定業(yè)務(wù)信息安全的安全等級和系統服務(wù)的安全等級后，由二者中較高級別確定等級保護對象的安全級別，如：

業(yè)務(wù)信息安全：第二級，系統服務(wù)：第三級，最終等級保護級別為：第三級；

業(yè)務(wù)信息安全：第四級，系統服務(wù)：第三級，最終等級保護級別為：第四級；

業(yè)務(wù)信息安全：第三級，系統服務(wù)：第三級，最終等級保護級別為：第三級。

具體的定級流程如下：

備案階段：

第二級以上網(wǎng)絡(luò )運營(yíng)者在定級、撤銷(xiāo)或變更調整網(wǎng)絡(luò )安全保護等級時(shí)，在明確安全保護等級后需在10個(gè)工作日內，到縣級以上公安機關(guān)備案，提交相關(guān)材料。

備案所需材料（下列材料為浙江寧波公安官網(wǎng)發(fā)布的所需材料及流程，供參考，不同地市可能存在差異，以當地公安機關(guān)要求為準）

公安機關(guān)應當對網(wǎng)絡(luò )運營(yíng)者提交的備案材料進(jìn)行審核。具體流程大致如下：

對定級準確、備案材料符合要求的，應在10個(gè)工作日內出具網(wǎng)絡(luò )安全等級保護備案證明。

建設整改階段：

安全建設整改工作分五步進(jìn)行：

• 落實(shí)安全建設整改工作部門(mén)，建設整改工作規劃，進(jìn)行總體部署；
• 確定網(wǎng)絡(luò )安全建設需求并論證；
• 確定安全防護策略，制定網(wǎng)絡(luò )安全建設整改方案（安全建設方案經(jīng)專(zhuān)家評審論證，三級以上報公安機關(guān)審核）；
• 根據網(wǎng)絡(luò )安全建設整改方案，實(shí)施安全建設工程；
• 開(kāi)展安全自查和等級測評，及時(shí)發(fā)現安全風(fēng)險及安全問(wèn)題，進(jìn)一步開(kāi)展整改。

 等級測評階段：

網(wǎng)絡(luò )安全等級保護測評過(guò)程分為4個(gè)基本活動(dòng)：測評準備活動(dòng)、方案編制活動(dòng)、現場(chǎng)測評活動(dòng)、分析及報告編制活動(dòng)。

監督檢查階段：

公安機關(guān)對第三級以上網(wǎng)絡(luò )運營(yíng)者每年至少開(kāi)展一次安全檢查，涉及相關(guān)行業(yè)的可以會(huì )同其行業(yè)主管部門(mén)開(kāi)展安全檢查。必要時(shí)，公安機關(guān)可以委托社會(huì )力量提供技術(shù)支持。

縣級以上公安機關(guān)對網(wǎng)絡(luò )運營(yíng)者開(kāi)展下列網(wǎng)絡(luò )安全工作情況進(jìn)行監督檢查：

（一）日常網(wǎng)絡(luò )安全防范工作；

（二）重大網(wǎng)絡(luò )安全風(fēng)險隱患整改情況；

（三）重大網(wǎng)絡(luò )安全事件應急處置和恢復工作；

（四）重大活動(dòng)網(wǎng)絡(luò )安全保護工作落實(shí)情況；

（五）其他網(wǎng)絡(luò )安全保護工作情況。