为何要开展网络安全等级保护工作

网络信息安全等级保护工作

一、 为什么要实行等级保护？

1.1 网络信息安全小组架构顶层设计

2014年2月27日，中央网络安全和信息化领导小组宣告成立。习近平担任组长，在中央网信领导小组第一次会议上，习近平提出“没有网络安全就没有国家安全”，这标志着网络安全上升至国家战略高度。中央网络安全和信息化领导小组负责统筹协调各个领域的网络安全和信息化重大问题，制定实施网络安全和信息化发展战略、宏观规划和重大策略，不断增强安全保障能立。

1.2 WIN8禁令

政府采购计划对WIN 8说“不”的消息引发社会关注，业内普遍认为，此举主要出于安全考虑，凸显政府对信息安全的高度重视。

1.3 网络安全事件不断发生

作为提供产品和服务的主体，我国互联网企业近期频发大规模信息泄露事故。，国内手机厂商小米发生用户信息泄露事故，其中涉及800万用户的短信、通讯录、精确位置等私密信息；携程网大量用户信用卡账号、姓名、身份证号等敏感信息泄露；多家酒店的开房信息因系统漏洞发生泄露，2000万条开房信息在网上“裸奔”。

随着云计算、大数据技术的广泛应用，用户数据量越来越大，大规模数据泄露的风险也越来越大，大规模信息泄露事故高发期已经到来。

1.4 网络安全面临内忧外患

外因：

1、敌对势力的入侵、破坏和攻击。

2、针对基础信息网络和重要信息系统的违法犯罪持续上升。

3、基础信息网络和重要信息系统安全隐患严重。

内因：

1、基础信息网络与重要信息系统已成为国家关键基础设施。

2、信息安全是国家安全的重要组成部分。

二、开展网络信息安全等级保护工作的必要性

网络信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。国务院法规和中央文件，包括十二五规划中都明确规定，要切实实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务，是信息安全保障工作中国家意志的体现。

通过开展信息安全等级保护，可以解决以下问题：

● 明确系统安全保护现状、提高信息安全建设水平、增强安全防护能力

● 能够及时发现系统漏洞，并修复漏洞，加强系统自身安全性

● 在信息安全监视时能突出重点，控制成本

● 明确安全责任，加强信息安全管理

● 优化信息安全的资源配置，重点保障重要信息系统的安全

● 有利于推动信息安全产业发展

三、等级保护工作的法律政策支撑

《中华人民共和国网络安全法》

《网络安全等级保护条例》

《关键信息基础设施安全保护条例》

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

《信息安全等级保护管理办法》（公通字[2007]43号）

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）

《关于开展全国重要信安等保定级工作通知》（公信安[2007]861号）

《关于推动信安等保测评建设和开展等测的通知》（公信安[2010]303号）

《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）

《江苏省开展重要信息系统安全等级保护定级工作的实施意见》（苏公通［2007］187号）；

《江苏省信息化条例》（省人大公告第90号）

……

四、网络安全法与等级保护工作

第二十一条 国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

注：等级保护工作的鲜明旗帜，是从国家层面对等级保护工作的法律认可，是网络安全法关于等级保护工作最重要的一条，简单点就是单位不做等级保护工作就是违法。

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

注:明确了有关键信息基础设施单位，需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估，等级保护测评就是对单位重要信息系统做的一个安全检测评估。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

注：用户单位不做等级保护测评，用户单位需要被罚款。

四、责任义务主体

信息系统主管部门责任义务

信息系统主管部门应当依照《管理办法》及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

运营使用单位的责任义务

　　　信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

涉及国家秘密信息系统的分级保护管理

涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责；

非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。

本文来源：https://www.2haoxitong.net/k/doc/39b0d738f4335a8102d276a20029bd64783e62af.html