企業(yè)怎么樣實(shí)施網(wǎng)絡(luò)安全等級保護(hù)制度?
一、網(wǎng)絡(luò)安全等級保護(hù)系統(tǒng)的前身
網(wǎng)絡(luò)安全級別保護(hù)系統(tǒng)不是新事物,是計算機(jī)信息系統(tǒng)安全級別保護(hù)系統(tǒng)的升級版本。
1994年頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全與保護(hù)條例》(以下簡稱《計算機(jī)安全條例》)首先明確了由公安機(jī)關(guān)監(jiān)督實(shí)施的計算機(jī)信息系統(tǒng)安全保護(hù)水平。作為主管當(dāng)局。
此后,公安部與有關(guān)部門一道,逐步完善了層次保護(hù)制度和管理的具體內(nèi)容,并導(dǎo)致了“計算機(jī)信息系統(tǒng)安全保護(hù)等級分類指南”(gb-17859-1999)等一系列國家標(biāo)準(zhǔn)的改進(jìn)。2007年,四個部委發(fā)布了《信息安全等級保護(hù)行政措施》。
隨著目前社會的快速發(fā)展,網(wǎng)絡(luò)的擴(kuò)展不斷擴(kuò)大,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)紛紛出現(xiàn)。計算機(jī)信息系統(tǒng)的層次保護(hù)系統(tǒng)已經(jīng)不能再適應(yīng)了。所以,《網(wǎng)絡(luò)安全法》確認(rèn)并更新了等級保護(hù)(以下簡稱“等?!保┲贫鹊膬?nèi)容。與此同時,正在制定、修訂或改進(jìn)相關(guān)的支持性國家標(biāo)準(zhǔn)。
二、公司有義務(wù)實(shí)施等級保護(hù)體系
許多企業(yè)認(rèn)為,網(wǎng)絡(luò)安全等保與自己的企業(yè)沒有什么關(guān)系。
這在“網(wǎng)絡(luò)安全法”正式實(shí)施之前可能是正確的。《計算機(jī)安保條例》第四條規(guī)定“計算機(jī)信息系統(tǒng)的安全與保護(hù),以國家事務(wù)、經(jīng)濟(jì)建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機(jī)信息系統(tǒng)的安全為重點(diǎn)”。
但是, 與《計算機(jī)等保條例》有限的適用范圍不同, 《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營者均負(fù)有實(shí)施網(wǎng)絡(luò)安全等級保護(hù)制度的義務(wù)。并且, 《網(wǎng)絡(luò)安全法》第五十九條明確規(guī)定, 未落實(shí)網(wǎng)絡(luò)安全等級保護(hù)義務(wù)的“由有關(guān)主管部門責(zé)令改正, 給予警告; 拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的, 處一萬元以上十萬元以下罰款, 對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款?!?br /> 《網(wǎng)絡(luò)安全法》實(shí)施后,公安機(jī)關(guān)開始對未履行網(wǎng)絡(luò)安全和其他安全義務(wù)的企業(yè)進(jìn)行處罰。
公安機(jī)關(guān)作為網(wǎng)絡(luò)安全的主管機(jī)關(guān)之一,在《網(wǎng)絡(luò)安全法》逐步完善后,將把網(wǎng)絡(luò)安全保護(hù)制度作為網(wǎng)絡(luò)安全領(lǐng)域的一項重點(diǎn)工作來推進(jìn)。因此,企業(yè)不應(yīng)該有僥幸心態(tài),要積極履行網(wǎng)絡(luò)安全水平保護(hù)的義務(wù)。
三、是實(shí)施網(wǎng)絡(luò)安全級別保護(hù)系統(tǒng)
網(wǎng)絡(luò)安全等級保護(hù)體系包括法律和技術(shù)體系。企業(yè)僅靠自身實(shí)力履行保險義務(wù)更為困難。建議聘請專業(yè)的法律機(jī)構(gòu)和合格的評估機(jī)構(gòu)協(xié)助實(shí)施。企業(yè)應(yīng)當(dāng)立即履行法律明確規(guī)定的義務(wù):
制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人;
采取技術(shù)措施,防止計算機(jī)病毒和網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)入侵等網(wǎng)絡(luò)安全行為;
采取技術(shù)措施,監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀況和網(wǎng)絡(luò)安全事件,并按照規(guī)定保存相關(guān)網(wǎng)絡(luò)日志不少于6個月;
采取數(shù)據(jù)分類、重要數(shù)據(jù)備份、加密等措施。
四、要注意的問題
1.評級是否由評估機(jī)構(gòu)和專業(yè)組織確定?
雖然聘請了專業(yè)的評估機(jī)構(gòu)來幫助履行平等的保障義務(wù),但對網(wǎng)絡(luò)信息系統(tǒng)分級準(zhǔn)確性的責(zé)任仍由企業(yè)承擔(dān)。因此,評價機(jī)構(gòu)只提出等級建議,最終的等級需要企業(yè)正確把握。被確定為二級以上的,在二級以上確定之日起三十日內(nèi)向公安機(jī)關(guān)備案。
2.一次或兩次?
對于評級為3級或以上的網(wǎng)絡(luò)運(yùn)營商來說,這不是一勞永逸的問題。三級網(wǎng)絡(luò)運(yùn)營商應(yīng)至少每年進(jìn)行一次評估和自我檢查。四級網(wǎng)絡(luò)運(yùn)營商的評審和自我檢查應(yīng)至少每六個月進(jìn)行一次。
三。采用SaaS和其他網(wǎng)絡(luò)框架并租用云服務(wù)的網(wǎng)絡(luò)運(yùn)營商不承擔(dān)同等的等保義務(wù)?
目前saas、paas、issa等普遍采用網(wǎng)絡(luò)結(jié)構(gòu)或租賃云服務(wù)或由他人托管的系統(tǒng)。在上述情況下,公司仍有法律義務(wù)實(shí)施此類保險。要參照相關(guān)國家標(biāo)準(zhǔn)和網(wǎng)絡(luò)服務(wù)提供商根據(jù)網(wǎng)絡(luò)邊界劃分,明確雙方的責(zé)任。
網(wǎng)絡(luò)安全級別保護(hù)系統(tǒng)不是新事物,是計算機(jī)信息系統(tǒng)安全級別保護(hù)系統(tǒng)的升級版本。
1994年頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全與保護(hù)條例》(以下簡稱《計算機(jī)安全條例》)首先明確了由公安機(jī)關(guān)監(jiān)督實(shí)施的計算機(jī)信息系統(tǒng)安全保護(hù)水平。作為主管當(dāng)局。
此后,公安部與有關(guān)部門一道,逐步完善了層次保護(hù)制度和管理的具體內(nèi)容,并導(dǎo)致了“計算機(jī)信息系統(tǒng)安全保護(hù)等級分類指南”(gb-17859-1999)等一系列國家標(biāo)準(zhǔn)的改進(jìn)。2007年,四個部委發(fā)布了《信息安全等級保護(hù)行政措施》。
隨著目前社會的快速發(fā)展,網(wǎng)絡(luò)的擴(kuò)展不斷擴(kuò)大,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)紛紛出現(xiàn)。計算機(jī)信息系統(tǒng)的層次保護(hù)系統(tǒng)已經(jīng)不能再適應(yīng)了。所以,《網(wǎng)絡(luò)安全法》確認(rèn)并更新了等級保護(hù)(以下簡稱“等?!保┲贫鹊膬?nèi)容。與此同時,正在制定、修訂或改進(jìn)相關(guān)的支持性國家標(biāo)準(zhǔn)。
二、公司有義務(wù)實(shí)施等級保護(hù)體系
許多企業(yè)認(rèn)為,網(wǎng)絡(luò)安全等保與自己的企業(yè)沒有什么關(guān)系。
這在“網(wǎng)絡(luò)安全法”正式實(shí)施之前可能是正確的。《計算機(jī)安保條例》第四條規(guī)定“計算機(jī)信息系統(tǒng)的安全與保護(hù),以國家事務(wù)、經(jīng)濟(jì)建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機(jī)信息系統(tǒng)的安全為重點(diǎn)”。
但是, 與《計算機(jī)等保條例》有限的適用范圍不同, 《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營者均負(fù)有實(shí)施網(wǎng)絡(luò)安全等級保護(hù)制度的義務(wù)。并且, 《網(wǎng)絡(luò)安全法》第五十九條明確規(guī)定, 未落實(shí)網(wǎng)絡(luò)安全等級保護(hù)義務(wù)的“由有關(guān)主管部門責(zé)令改正, 給予警告; 拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的, 處一萬元以上十萬元以下罰款, 對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款?!?br /> 《網(wǎng)絡(luò)安全法》實(shí)施后,公安機(jī)關(guān)開始對未履行網(wǎng)絡(luò)安全和其他安全義務(wù)的企業(yè)進(jìn)行處罰。
公安機(jī)關(guān)作為網(wǎng)絡(luò)安全的主管機(jī)關(guān)之一,在《網(wǎng)絡(luò)安全法》逐步完善后,將把網(wǎng)絡(luò)安全保護(hù)制度作為網(wǎng)絡(luò)安全領(lǐng)域的一項重點(diǎn)工作來推進(jìn)。因此,企業(yè)不應(yīng)該有僥幸心態(tài),要積極履行網(wǎng)絡(luò)安全水平保護(hù)的義務(wù)。
三、是實(shí)施網(wǎng)絡(luò)安全級別保護(hù)系統(tǒng)
網(wǎng)絡(luò)安全等級保護(hù)體系包括法律和技術(shù)體系。企業(yè)僅靠自身實(shí)力履行保險義務(wù)更為困難。建議聘請專業(yè)的法律機(jī)構(gòu)和合格的評估機(jī)構(gòu)協(xié)助實(shí)施。企業(yè)應(yīng)當(dāng)立即履行法律明確規(guī)定的義務(wù):
制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人;
采取技術(shù)措施,防止計算機(jī)病毒和網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)入侵等網(wǎng)絡(luò)安全行為;
采取技術(shù)措施,監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀況和網(wǎng)絡(luò)安全事件,并按照規(guī)定保存相關(guān)網(wǎng)絡(luò)日志不少于6個月;
采取數(shù)據(jù)分類、重要數(shù)據(jù)備份、加密等措施。
四、要注意的問題
1.評級是否由評估機(jī)構(gòu)和專業(yè)組織確定?
雖然聘請了專業(yè)的評估機(jī)構(gòu)來幫助履行平等的保障義務(wù),但對網(wǎng)絡(luò)信息系統(tǒng)分級準(zhǔn)確性的責(zé)任仍由企業(yè)承擔(dān)。因此,評價機(jī)構(gòu)只提出等級建議,最終的等級需要企業(yè)正確把握。被確定為二級以上的,在二級以上確定之日起三十日內(nèi)向公安機(jī)關(guān)備案。
2.一次或兩次?
對于評級為3級或以上的網(wǎng)絡(luò)運(yùn)營商來說,這不是一勞永逸的問題。三級網(wǎng)絡(luò)運(yùn)營商應(yīng)至少每年進(jìn)行一次評估和自我檢查。四級網(wǎng)絡(luò)運(yùn)營商的評審和自我檢查應(yīng)至少每六個月進(jìn)行一次。
三。采用SaaS和其他網(wǎng)絡(luò)框架并租用云服務(wù)的網(wǎng)絡(luò)運(yùn)營商不承擔(dān)同等的等保義務(wù)?
目前saas、paas、issa等普遍采用網(wǎng)絡(luò)結(jié)構(gòu)或租賃云服務(wù)或由他人托管的系統(tǒng)。在上述情況下,公司仍有法律義務(wù)實(shí)施此類保險。要參照相關(guān)國家標(biāo)準(zhǔn)和網(wǎng)絡(luò)服務(wù)提供商根據(jù)網(wǎng)絡(luò)邊界劃分,明確雙方的責(zé)任。