單價(jià): | 面議 |
發(fā)貨期限: | 自買家付款之日起 天內(nèi)發(fā)貨 |
所在地: | 直轄市 北京 |
有效期至: | 長(zhǎng)期有效 |
發(fā)布時(shí)間: | 2023-12-21 05:26 |
最后更新: | 2023-12-21 05:26 |
瀏覽次數(shù): | 142 |
采購咨詢: |
請(qǐng)賣家聯(lián)系我
|
《網(wǎng)絡(luò)安全法》出臺(tái)后,網(wǎng)絡(luò)等級(jí)保護(hù)進(jìn)入2.0時(shí)代。這意味著在遵照2007年公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室頒布實(shí)施的《信息安全等級(jí)保護(hù)管理辦法》及其配套的標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》建立的“信息安全等級(jí)保護(hù)體系”已全面升級(jí)。
《網(wǎng)絡(luò)安全法》
第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
(三)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;
(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
隨后,《網(wǎng)絡(luò)安全法》出臺(tái)后各地執(zhí)法案例不斷涌現(xiàn),其中不乏有關(guān)網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)的案例:
——安徽省蚌埠懷遠(yuǎn)縣教育進(jìn)修學(xué)校,未進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)評(píng)測(cè)工作;未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;未履行網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù);機(jī)構(gòu)被處以1.5萬元罰款,負(fù)有直接責(zé)任人員處以5000元罰款。
——四川宜賓市“教師發(fā)展平臺(tái)”網(wǎng)站,未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;未履行網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù);機(jī)構(gòu)被處以1萬元罰款,負(fù)有直接責(zé)任人員處以5000元罰款。
這些處罰案例距離網(wǎng)絡(luò)運(yùn)營(yíng)者是如此之近,不得不關(guān)注何謂《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》,與之前的信息安全等級(jí)保護(hù)制度有什么不同要求?隨著2018年1月19日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布關(guān)于《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(征求意見稿)》(以下稱“《定級(jí)指南》”),我們一起來看一下,網(wǎng)絡(luò)安全等級(jí)保護(hù)有哪些值得關(guān)注的變化。
一、整體繼承關(guān)系
《定級(jí)指南》在前言說明,本標(biāo)準(zhǔn)代替GB/T 22240—2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,與GB/T 22240—2008相比,主要技術(shù)變化如下:
——標(biāo)準(zhǔn)名稱變更為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。
——修改了等級(jí)保護(hù)對(duì)象、增加了網(wǎng)絡(luò)、基礎(chǔ)信息網(wǎng)絡(luò)等術(shù)語定義。
——修改了定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系。
——增加了基礎(chǔ)信息網(wǎng)絡(luò)的定級(jí)對(duì)象確定方法。
——增加了特定定級(jí)對(duì)象定級(jí)說明。
——修改了定級(jí)流程。
二、等級(jí)保護(hù)對(duì)象
等級(jí)保護(hù)制度始終保持不變的安全保護(hù)目標(biāo),即保護(hù)系統(tǒng)安全,保證敏感信息的處理、保證服務(wù)的連續(xù)。但隨著IT向DT的轉(zhuǎn)變,現(xiàn)有網(wǎng)絡(luò)等級(jí)保護(hù)體系更加豐富,從內(nèi)容的維度,除基礎(chǔ)信息網(wǎng)絡(luò)外,把云平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)等納入等級(jí)保護(hù)制度管理中;從監(jiān)管對(duì)象這一維度,大型互聯(lián)網(wǎng)企業(yè)也加入其中。
作為定級(jí)對(duì)象的網(wǎng)絡(luò)應(yīng)具有如下三個(gè)基本特征:具有確定的主要安全責(zé)任主體;承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用; 包含相互關(guān)聯(lián)的多個(gè)資源。在此定義之下,特別關(guān)注:
云計(jì)算平臺(tái)。在云計(jì)算環(huán)境中,應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí),云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí)。對(duì)于大型云計(jì)算平臺(tái),應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。
大數(shù)據(jù)。大數(shù)據(jù)應(yīng)作為單獨(dú)定級(jí)對(duì)象進(jìn)行定級(jí);安全責(zé)任主體相同的大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)和應(yīng)用可作為一個(gè)整體對(duì)象定級(jí)。
三、安全保護(hù)等級(jí)
網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象的級(jí)別由兩個(gè)定級(jí)要素決定,分別是受侵害的客體(三類)和對(duì)客體的侵害程度(三種程度),相互對(duì)應(yīng)起來形成五級(jí)安全保護(hù)等級(jí),如圖所示:
關(guān)于上述三類受侵害的客體分類,一般損害、嚴(yán)重?fù)p害和特別嚴(yán)重?fù)p害的定義,基本沿襲原有表達(dá)。但是在《定級(jí)指南》中,對(duì)公民、法人和其他組織的合法權(quán)益,遭受特別嚴(yán)重?fù)p害的,明確定級(jí)在“第三級(jí)”,彰顯了對(duì)私權(quán)利維護(hù)的升級(jí)。
對(duì)于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)等支撐類網(wǎng)絡(luò),應(yīng)根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí),原則上應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。
《定級(jí)指南》規(guī)定,原則上,大數(shù)據(jù)安全保護(hù)等級(jí)不低于第三級(jí)。對(duì)于確定為關(guān)鍵信息基礎(chǔ)設(shè)施的,原則上其安全保護(hù)等級(jí)不低于第三級(jí)。
四、定級(jí)流程
定級(jí)的流程在本次《定級(jí)指南》中予以明確,按照如下五個(gè)步驟進(jìn)行。
其實(shí)這五個(gè)步驟也是信息安全等級(jí)保護(hù)體系下原有步驟,不過,根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,以上第三步和第四步并不是每個(gè)等級(jí)必須的強(qiáng)制性要求。相應(yīng)的規(guī)定是:
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。
對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的,運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。
由于《定級(jí)指南》的級(jí)別較低,目前還在征求意見中,是否能取代《信息安全等級(jí)保護(hù)管理辦法》而將5個(gè)步驟普遍適用于全部定級(jí)流程,還有待看《信息安全等級(jí)保護(hù)管理辦法》是否會(huì)進(jìn)行進(jìn)一步的修訂。
五、定級(jí)保護(hù)自主性
在2007年《信息安全等級(jí)保護(hù)管理辦法》實(shí)施期間,曾經(jīng)確立了“依照標(biāo)準(zhǔn),自行保護(hù)”的原則,即國(guó)家運(yùn)用強(qiáng)制性的規(guī)范及標(biāo)準(zhǔn),要求信息和信息系統(tǒng)按照相應(yīng)的建設(shè)和管理要求,自行定級(jí)、自行保護(hù)?!?/p>
級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù);
第二級(jí)在信息安全監(jiān)管職能部門指導(dǎo)下依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù);
第三級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),信息安全監(jiān)管職能部門對(duì)其進(jìn)行監(jiān)督、檢查;
第四級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),信息安全監(jiān)管職能部門對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查;
第五級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督。
但是,在網(wǎng)絡(luò)安全法下,網(wǎng)絡(luò)安全等級(jí)保護(hù)成為網(wǎng)絡(luò)運(yùn)營(yíng)者重要的義務(wù)之一,“自行定級(jí)、自行保護(hù)”明顯已不符合網(wǎng)絡(luò)安全管理的需要。如何避免企業(yè)降低保護(hù)等級(jí)規(guī)避,尚缺少更高位級(jí)的法律要求。
另一方面,不同的行業(yè)按照行業(yè)政策的要求,有更具體的等級(jí)保護(hù)工作要求和定級(jí)方案,在這個(gè)過程中,主管部門的審核就具有更強(qiáng)的現(xiàn)實(shí)意義。比如電子政務(wù)網(wǎng),金融行業(yè),電力行業(yè),廣電部門,交通行業(yè),教育行業(yè),稅收行業(yè),衛(wèi)生行業(yè),煙草行業(yè),以及近剛剛興起的網(wǎng)絡(luò)借貸,網(wǎng)約車行業(yè)。
所以,網(wǎng)絡(luò)等級(jí)保護(hù)的定級(jí)將越來越趨于規(guī)范性管理,而不是自主保護(hù)。
結(jié)語
《網(wǎng)絡(luò)安全法》為網(wǎng)絡(luò)安全等級(jí)保護(hù)提出了新要求,在繼續(xù)原有《信息安全等級(jí)保護(hù)管理辦法》的規(guī)則之下,如何與新發(fā)布的定級(jí)指南相匹配,特別是對(duì)強(qiáng)制性的級(jí)別要求有更明確的梳理,則是我們所期待的。