“没有网络安全,就没有国家安全”。网络安全已经成为关系国家安全和发展,关系广大人民群众切身利益的重大问题。网络已经深刻地融入了经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性也随之不断提高。
近年来,党中央、国务院高度重视,有关方面协调配合、共同努力,我国网络安全保障工作取得了很大进展。但是从总体看,我国的网络安全保障工作尚处于起步阶段。中国是网络大国,也是面临网络安全威胁最严重的国家之一。
在这种情况下,施行网络安全等级保护制度,并且制定各种政策法律支持,是维护国家广大人民群众切身利益的需要,是维护网络安全的客观需要,是落实国家总体安全观的重要举措。
下面我们介绍一下国家在政策法规方面对等保制度的基础支撑。
《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《关于加强党政机关网站安全管理的通知》
2014年5月9日,中央网络安全和信息化领导小组办公室发布《关于加强党政机关网站安全管理的通知》(网办发文〔2014)1号),在“加强党政机关网站技术防护体系建设”中明确指出:“各地区各部门在规划建设党机关网站时,应按照同步规划、同步建设、同步运行的要求,参照国家有关标准规范,从业务需求出发,建立以网页防篡改、域名防劫持、网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系。切实落实信息安全等级保护等制度要求,做好党政机关网站定级、备案、建设、整改和管理工作。”
关于《贯彻等保和关保保护制度指导意见》公安部【2020】1960号文
网络运营者应全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,科学确定网络的安全保护等级,对第二级以上网络依法向公安机关备案,并向行业主管部门报备。对新建网络,应在规划设计阶段确定安全保护等级。公安机关对网络运营者提交的备案材料和网络的安全保护等级进行审核,对定级结果合理、备案材料符合要求的,及时出具网络安全等级保护备案证明。行业主管部门可以依据《网络安全等级保护定级指南》国家标准,结合行业特点制定行业网络安全等级保护定级指导意见。
第三级以上网络运营者应委托符合国家有关规定的等级测评机构,每年开展一次网络安全等级测评,并及时将等级测评报告提交受理备案的公安机关和行业主管部门。新建第三级以上网络应在通过等级测评后投入运行。
各单位、各部门要高度重视网络安全等级保护和关键信息基础设施安全保护工作,将其列入重要议事日程,加强统筹领导和规划设计,认真研究解决网络安全机构设置、人员配备、经费投入、安全保护措施建设等重大问题。
各单位、各部门要通过现有经费渠道、保障关键信息基础设施、第三级以上网络等开展等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运行维护、监督检查、教育培训等经费投入。关键信息基础设施运营者应保障足额的网络安全投入,作出网络安全和信息化有关决策时应有网络安全管理机构人员参与。有关部门要扶持重点网络安全技术产业和项目,支持网络安全技术研究开发和创新应用,推动网络安全产业健康发展。
各单位、各部门要进一步健全完善网络安全考核评价制度,明确考核指标,组织开展考核。公安机关将网络安全工作纳入社会治安综合治理考核评价体系,每年组织对各地区网络安全工作进行考核评价,每年评选网络安全等级保护、关键信息基础设施安全保护工作先进单位,并将结果报告党委政府,通报网信部门。
《中华人民共和国数据安全法》
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《中华人民共和国个人信息保护法》
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
《关键信息基础设施安全保护条例》
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用。
等级保护2.0法律法规体系
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)
《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)
《信息安全等级保护管理办法》(公通字【2007】43号)
《信息安全等级保护备案实施细则》(公信安【2007】1360号)
《公安机关信息安全等级保护检查工作规范》(公信安【2008】736号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
《中华人民共和国网络安全法》(2017年6月1日起施行)
《中华人民共和国密码法》(2019年10月26日起施行)
《贯彻等保和关保保护制度指导意见》公安部【2020】1960号文
《中华人民共和国数据安全法》(2021年9月1日起施行)
《中华人民共和国个人信息保护法》(2021年11月1日起施行)
《网络安全等级保护条例》(征求意见稿)
等级保护2.0标准体系:
GB/T25058-2019 信息安全技术 网络安全等级保护实施指南
GB/T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
GB/T28448-2019 信息安全技术 网络安全等级保护测评要求
GB/T28449-2018 信息安全技术 网络安全等级保护测评过程指南
GB/T22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T22240-2020 信息安全技术 网络安全等级保护定级指南
关键信息基础设施标准体系
《关键信息基础设施安全保护条例》(国务院令 第745号)
《信息安全技术关键信息基础设施边界确定方法》(征求意见稿)
《关键信息基础设施安全保护要求》(征求意见稿)
《关键信息基础设施安全控制要求》(征求意见稿)
《关键信息基础设施安全防护能力评价方法》(征求意见稿)