第一篇:网络安全法与等级保护工作的关系
网络安全法与等级保护工作的关系
不得不等一直想写一篇关于网络安全法与等级保护工作关系的文章,法律是件很严谨、很规范的事,做为一个法外人士,特别是网络安全法细则还没出来,不敢贸然解读。今天不得不等就简单解读下网络安全法中十分明确的关于等级保护的一些条款。我们知道2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法于2017年6月1日就开始正式实施了,算算还有三个月不到的时间。网络安全法里面明确提出等保的条款有:第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。21条是等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条,简单点就是单位不做等级保护工作就是违法。第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。38条,是明确了有关键信息基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,没有明确这里的检测评估是什么形式,但是等级保护测评至少从技术上可以满足这个要求,等级保护测评就是对单位重要信息系统做的一个安全检测评估。你做了等保肯定是满足第38条了。那哪些是关键信息基础呢?网络安全法大概说了下:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,关键信息基础设施的具体范围和安全保护办法由国务院制定。具体范围还没明确,怎么保护也没明确,但是可以从中看出一二,大家自己去意会了,现在没法明确说明。第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。59条很明确,就是用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-10万,罚款不算少,罚的多的话可以够很多个系统的等级保护测评费用了。罚款是一方面,我想更多的是因为这件事对单位声誉,对个人声誉,对个人的职业发展非常不利。不得不等最后苦口婆心,费尽口舌的和各位朋友们说句:等级保护工作是国家网络安全的基础性工作,是网络安全法要求我们履行的一项安全责任,我们务必重视,务必尽快开展起等级保护测评工作,时间真不多了,三个月不到的时间,到了6月1日,说的严重点,没有开展等级保护工作的单位就是违法了,耍流氓不一定违法,不做等保测评一定是违法。注意:以上解读纯属不得不等个人的解读,可能有不准确的地方,仅供参考,请以官方最终说明为准。
第二篇:如何结合网络安全法开展等级保护工作
如何结合网络安全法开展等级保护工作
摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解掌握的内容,本文从定级备案、整改建设和等级测评三个层面,结合网络安全法相关要求进行解读说明。
2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。
1.定级备案
系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)(以下简称“定级指南”)分析业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益,通过查看定级指南,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在三级及以上,所以作为关键信息基础设施,其安全保护等级不得低于三级。作为网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,准确定级。网络运营者在初步确定网络安全保护等级后,应当及时组织相关专家对定级结果的合理性进行评审,避免出现所定级别过低或过高的现象,并及时向主管部门报批系统定级结果。
2.建设整改
在确定网络安全保护等级后,网络运营者在开展建设整改工作时,首先应当确保已完全履行了网络安全法第二十一条,所规定的全部安全保护义务。网络安全法第二十一条具体内容如下:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第一条是安全管理方面的要求,虽说安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序,否则,安全技术只能趋于僵化和失败。所以强调网络运营者必须要有针对性的建立自己的网络安全管理体系,且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人,落实网络运营者第一责任人的责任。
第二条是安全技术防范方面的要求,强调网络运营者须采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防范计算机病毒方面比较常见的技术措施有防病毒软件和防毒墙,防病毒软件主要防范服务器操作系统层面的恶意病毒,防毒墙一般以硬件形式部署网络边界处,对来自外部网络的恶意代码在网络层进行检测阻拦,将恶意代码或病毒程序阻挡在网络边界外。网络攻击防范技术措施,较为常见的有防火墙设备,用于实现网络或安全域边界的隔离保护;另外除普通防火墙外,还有web应用防火墙,用于实现对来自应用层的攻击行为进行防范保护。网络侵入防范技术常见的有入侵检测(IDS)、入侵防御(IPS)等设备,IDS设备主要用于对入侵行为的检测报警不具备阻拦功能,IPS可对入侵行为进行阻拦,但对业务系统可用性要求较高的单位,一般都选用IDS,因为IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求,至少配备防范计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。
第三条是安全监测和审计方面的要求,强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比较常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录,另外近几年逐渐出现大数据日志分析平台,主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志留存方面,还提出按照规定留存相关的网络日志不少于六个月,即相关的网络日志存储周期要大于六个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施,另外还要具备相关日志的备份措施,保障相关日志存储周期大于六个月。
第四条是数据保护方面的要求,网络运营者须根据数据的重要性对数据进行分类实施保护,重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复,另外对于重要数据的加密要从数据传输和存储两个方面去考虑实施。
第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务,如行业主管部门对行业内的网络安全要求、地方政府部门对网络安全的相关要求等。
除网络安全法第二十一条规定的内容外,网络运营者还应当按照网络安全法第二十五条规定的要求,建立网络安全事件应急预案,应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外,网络运营者应定期组织应急演练,确保应急预案制度的有效执行。第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
作为关键信息基础设施的网络运营者除履行好网络安全法第二十一条和第二十五条规定的义务外,还应当履行网络安全法第三十四条规定网络运营者须履行的安全保护义务。第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
一是网络运营者需设立专门的网络安全管理部门以及安全管理负责人,来负责制定本单位网络安全保护策略,并落实执行各项网络安全工作;另外对安全管理负责人和关键岗位人员进行背景审查,以确定其从事安全管理负责人和关键岗位的可靠性。二是网络运营者须定期对从业人员进行相关培训和考核,以提高从业人员的网络安全意识和网络安全技能,从而更好的保障网络系统的安全稳定运行。三是网络运营者须提供对重要系统和数据库系统的容灾备份措施,确保在发生安全事件时,备份系统能够替代主系统正常运行。四是网络运营者须针对系统内可能发生的安全事件建立应急预案,并定期组织演练工作,以提高应急人员处理应急事件的能力,确保在发生安全事件时能够快速有效的处理。五是除以上规定义务外,法律、行政法规规定的其他义务,如行业网络安全方面的相关技术要求等。
一般信息系统网络运营者在满足网络安全第二十一条和第二十五条要求的基础上,关键信息基础设施网络运营者在满足网络安全法第二十一条、第二十五条和第三十四条规定的基础上分别按照各自所定的安全保护级别,参照《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)和《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)等标准,再进一步开展建设整改工作。3.等级测评
信息系统在完成建设整改上线运行后,为保障信息系统长期的安全稳定运行,网络运营者必须要不断的对信息系统开展检测、整改工作。网络安全法第三十八条中提出“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”另外在《信息安全等级保护管理办法》公通字[2007]43号第十四条中同样也提出“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”
由于关键信息基础设施的安全保护等级均在三级及以上,所以网络运营者针对关键信息基础设施,应当每年均委托具备公安部门认可的测评机构,开展等级测评工作,并将测评结果和整改措施报送给负责关键信息基础设施安全保护工作的部门。
4.结语
网络安全法正式实施,等级保护上升为法律要求。网络运营者若拒不履行或履行不当,可能会导致单位和个人承担相应的法律责任。为避免产生相应的法律后果,保障信息系统的安全稳定运行,网络运营者应当积极开展落实网络安全等级保护工作。为适应当前安全形势,迎合信息技术的快速发展,目前部分网络安全等级保护相关标准制度,国家相关部门正在进一步改编修订中,网络运营者应当积极主动关注网络安全等级保护制度最新变化,及时根据相关要求调整安全策略,确保信息系统的各项安全保障措施满足最新安全形势需要。来源:等级保护测评
第三篇:美国网络安全法
2015年美国《网络安全法》
美国2015年《网络安全法》作为《2016年综合拨款法案》中的一部分,已于2015年12月18日获得正式通过,成为美国当前规制网络安全信息共享的一部较为完备的法律,其中首次明确了网络安全信息共享的范围包括:“网络威胁指标”(Cyber Threat Indicator, CTI)和“防御性措施”(Defensive Measure)两大类,重点关注网络安全信息共享的参与主体、共享方式、实施和审查监督程序、组织机构、责任豁免及隐私保护规定等,并通过修订2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项。
附:
《网络安全法》
第 I 篇 网络安全信息共享(第101条---第111条)
第 101 条 简称
本篇可以被简称为“2015年《网络安全信息共享法》”
第 102 条 定义
在本篇中:
(1)机构——术语“机构”是指《美国法典》第44章第 3502条规定的机构。(2)反垄断法——术语“反垄断法”是指:
(A)《克莱顿法》第1条所指的反垄断法(《美国法典》第15章第12条);
(B)包括《联邦贸易委员会法》第5条有关不正当竞争手段的规定(《美国法典》第15章第45条);
(C)包括与上述(A)(B)有相同立法目的和法律效果的所有各州的反垄断法。(3)适当的联邦实体——术语“适当的联邦实体”是指:(A)商务部;(B)国防部;(C)能源部;(D)国土安全部;(E)司法部;(F)财政部;
(G)国家情报总监办公室。
(4)网络安全目的——术语“网络安全目的”是指保护信息系统或者系统中存储、处理或传输的信息免受网络安全威胁或安全漏洞的影响。
第 103 条 联邦政府部门的信息共享
第 104 条 针对预防、检测、分析和减轻网络安全威胁的授权 第 105 条 与联邦政府部门共享网络威胁指标和防御性措施 第 106 条 责任豁免
第 107 条 针对政府行为的监督 第 108 条 解释和优先
第 109 条 关于网络安全威胁的报告
第 110 条 国防部长传播特定信息的权力限制的例外规定 第 111 条 生效期间
第 II 篇 国家网络安全增强(第201条---第229条)
副标题A——国家网络安全和通讯整合中心(第201条---第211条)第 201 条 简称 第 202 条 定义
第 203 条 信息共享结构和流程 第 204 条 信息共享和分析组织 第 205 条 国家响应框架
第 206 条 减轻国土安全部数据中心内部网络安全风险的报告 第 207 条 评估
第 208 条 多重并发的关键基础设施网络事件 第 209 条 美国端口的网络安全漏洞报告 第 210 条 禁止设立新的监管机构 第 211 条 报告要求的终止
副标题B——联邦网络安全增强(第221条---第229条)第 221 条 简称 第 222 条 定义
第 223 条 改善的联邦网络安全 第 224 条 先进的内部防御 第 225 条 联邦网络安全的要求 第 226 条 评估和报告 第 227 条 终止
第 228 条 与国家安全有关的信息系统的识别 第 229 条 机构指引
第 III 篇 联邦网络安全人事评估(第301条---第305条)第 301 条 简称 第 302 条 定义
第 303 条 国家网络安全人事评测计划 第 304 条 网络相关关键岗位的确定 第 305 条 政府问责办公室的状态报告
第 IV 篇 其他网络事项(第401条---第407条)
第 401 条 移动设备安全研究
第 402 条 国务院的国际网络空间政策战略 第 403 条 对国际网络犯罪的逮捕与起诉 第 404 条 增强应急服务
第 405 条 改善医疗卫生行业的网络安全 第 406 条 联邦计算机安全
第 407 条 禁止欺诈性地销售美国人民的金融信息
第四篇:网络安全法口号
随着网路的发展,网络安全成为了我们需要注意的,各位,我们看看下面的网络安全法口号吧!
网络安全法口号
11、网安,民安,国家安
2、共建网络安全,共享网络文明
3、网络安全同担,网络生活共享
4、网络安全同担,网络生活共享
5、同心共筑中国梦想,合力共建网络强国
6、网络社会法治社会,网络空间网警保卫
7、网络创造幸福时代,安全守护绿色家园
8、网络服务各行各业,安全保障改革发展
9、网络社会也是法治社会
10、注意网络安全,保护个人隐私
11、没有网络安全就没有国家安全,没有信息化就没有现代化。
12、增强社会网络安全意识,提高全民网络安全知识水平
13、切实增强网络安全意识,共同提高识骗防骗能力
14、打击互联网违法犯罪,共同抵制网络谣言
15、提倡诚实守信,摒弃弄虚作假,促进网络安全可信
网络安全法口号
21、筑牢网络安全基石,成就网络强国梦想
2、网安则国安,国安则民安-
3、网络连着你我他,安全防范靠大家
网络连着你我他,防骗防盗两手抓
4、网上公开巡查,打造清明网络空间-淄博
5、文明上网,不触法律红线;安心用网,共享多彩生活。
6、上网需谨慎 “中奖”莫当真
7、隐私加把锁,骗徒远离我!
8、守护人民网络、建设网络强国
9、加强数据安全保护,防范网络欺诈骗局。
10、数据无价,丢失难复;手机安全,杀毒护航。
11、网络欺诈花样百出,杜贪便宜让违法之徒无机可乘!
12、网安人人抓,“信”福千万家
13、共筑网络安全,守护绿色家园
14、网络安全重于泰山,人人有责共建和谐
15、巩固网络安全,共创和谐社会。
16、幸幸苦苦赚十年,网络赌博全赔完。
17、网络身份可信,网络安全可保
18、加强防范意识,严守个人信息
19、网罗天下之事,安为万事之先
20、树立网安意识,莫念无名之利
21、尽网安之责,享网络之便
22、网安则天下安,失网则失天下
23、网络安全,关系你我他
第五篇:等级保护
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级”
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)
点击咨询 