网络安全等级保护是全国信息安全标准化技术委员会提出,公安部信息安全等级保护评估中心牵头起草完成,主要目的是对国家秘密信息、法人、和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息和信息系统的安全保护等级共分五级:第一级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级。
一、等级保护测评工作的内容
为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面的内容。
二、为什么要做信息安全等级保护
第一 降低信息安全风险,提高信息系统的安全防护能力
开展信息安全等级保护的最重要原因是为了通过等级保护工作,发现单位系统内部存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
第二 等级保护是我国关于信息安全的基本政策。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度。
2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号,以下简称“43号文件”)。
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三 合理地规避风险。
等保工作有没有开展就是衡量一个企业信息安全与否的一个重要标准,不仅可以有效的解决和规避安全风险,同时等级保护也是是国家基本信息安全制度要求。
三、网络安全法对等级保护的影响
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
21条是等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
38条,是明确了有关键信息基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,没有明确这里的检测评估是什么形式,但是等级保护测评至少从技术上可以满足这个要求。
第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
59条很明确,就是用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-10万。罚款是一方面,处罚这件事对单位声誉,对个人声誉,对个人的职业发展非常不利。
四、开展等级保护测评的益处
对于企业来说,实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,与国家安全保持一致,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
对于信息系统来说,通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。