企業怎么樣實施網絡安全等級保護制度?
一、網絡安全等級保護系統的前身
網絡安全級別保護系統不是新事物,是計算機信息系統安全級別保護系統的升級版本。
1994年頒布的《中華人民共和國計算機信息系統安全與保護條例》(以下簡稱《計算機安全條例》)首先明確了由公安機關監督實施的計算機信息系統安全保護水平。作為主管當局。
此后,公安部與有關部門一道,逐步完善了層次保護制度和管理的具體內容,并導致了“計算機信息系統安全保護等級分類指南”(gb-17859-1999)等一系列國家標準的改進。2007年,四個部委發布了《信息安全等級保護行政措施》。
隨著目前社會的快速發展,網絡的擴展不斷擴大,云計算、大數據、物聯網、工業控制系統紛紛出現。計算機信息系統的層次保護系統已經不能再適應了。所以,《網絡安全法》確認并更新了等級保護(以下簡稱“等?!保┲贫鹊膬热?。與此同時,正在制定、修訂或改進相關的支持性國家標準。
二、公司有義務實施等級保護體系
許多企業認為,網絡安全等保與自己的企業沒有什么關系。
這在“網絡安全法”正式實施之前可能是正確的。《計算機安保條例》第四條規定“計算機信息系統的安全與保護,以國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全為重點”。
但是, 與《計算機等保條例》有限的適用范圍不同, 《網絡安全法》規定網絡運營者均負有實施網絡安全等級保護制度的義務。并且, 《網絡安全法》第五十九條明確規定, 未落實網絡安全等級保護義務的“由有關主管部門責令改正, 給予警告; 拒不改正或者導致危害網絡安全等后果的, 處一萬元以上十萬元以下罰款, 對直接負責的主管人員處五千元以上五萬元以下罰款?!?br /> 《網絡安全法》實施后,公安機關開始對未履行網絡安全和其他安全義務的企業進行處罰。
公安機關作為網絡安全的主管機關之一,在《網絡安全法》逐步完善后,將把網絡安全保護制度作為網絡安全領域的一項重點工作來推進。因此,企業不應該有僥幸心態,要積極履行網絡安全水平保護的義務。
三、是實施網絡安全級別保護系統
網絡安全等級保護體系包括法律和技術體系。企業僅靠自身實力履行保險義務更為困難。建議聘請專業的法律機構和合格的評估機構協助實施。企業應當立即履行法律明確規定的義務:
制定內部安全管理制度和操作規程,確定網絡安全負責人;
采取技術措施,防止計算機病毒和網絡攻擊,網絡入侵等網絡安全行為;
采取技術措施,監測、記錄網絡運行狀況和網絡安全事件,并按照規定保存相關網絡日志不少于6個月;
采取數據分類、重要數據備份、加密等措施。
四、要注意的問題
1.評級是否由評估機構和專業組織確定?
雖然聘請了專業的評估機構來幫助履行平等的保障義務,但對網絡信息系統分級準確性的責任仍由企業承擔。因此,評價機構只提出等級建議,最終的等級需要企業正確把握。被確定為二級以上的,在二級以上確定之日起三十日內向公安機關備案。
2.一次或兩次?
對于評級為3級或以上的網絡運營商來說,這不是一勞永逸的問題。三級網絡運營商應至少每年進行一次評估和自我檢查。四級網絡運營商的評審和自我檢查應至少每六個月進行一次。
三。采用SaaS和其他網絡框架并租用云服務的網絡運營商不承擔同等的等保義務?
目前saas、paas、issa等普遍采用網絡結構或租賃云服務或由他人托管的系統。在上述情況下,公司仍有法律義務實施此類保險。要參照相關國家標準和網絡服務提供商根據網絡邊界劃分,明確雙方的責任。
網絡安全級別保護系統不是新事物,是計算機信息系統安全級別保護系統的升級版本。
1994年頒布的《中華人民共和國計算機信息系統安全與保護條例》(以下簡稱《計算機安全條例》)首先明確了由公安機關監督實施的計算機信息系統安全保護水平。作為主管當局。
此后,公安部與有關部門一道,逐步完善了層次保護制度和管理的具體內容,并導致了“計算機信息系統安全保護等級分類指南”(gb-17859-1999)等一系列國家標準的改進。2007年,四個部委發布了《信息安全等級保護行政措施》。
隨著目前社會的快速發展,網絡的擴展不斷擴大,云計算、大數據、物聯網、工業控制系統紛紛出現。計算機信息系統的層次保護系統已經不能再適應了。所以,《網絡安全法》確認并更新了等級保護(以下簡稱“等?!保┲贫鹊膬热?。與此同時,正在制定、修訂或改進相關的支持性國家標準。
二、公司有義務實施等級保護體系
許多企業認為,網絡安全等保與自己的企業沒有什么關系。
這在“網絡安全法”正式實施之前可能是正確的。《計算機安保條例》第四條規定“計算機信息系統的安全與保護,以國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全為重點”。
但是, 與《計算機等保條例》有限的適用范圍不同, 《網絡安全法》規定網絡運營者均負有實施網絡安全等級保護制度的義務。并且, 《網絡安全法》第五十九條明確規定, 未落實網絡安全等級保護義務的“由有關主管部門責令改正, 給予警告; 拒不改正或者導致危害網絡安全等后果的, 處一萬元以上十萬元以下罰款, 對直接負責的主管人員處五千元以上五萬元以下罰款?!?br /> 《網絡安全法》實施后,公安機關開始對未履行網絡安全和其他安全義務的企業進行處罰。
公安機關作為網絡安全的主管機關之一,在《網絡安全法》逐步完善后,將把網絡安全保護制度作為網絡安全領域的一項重點工作來推進。因此,企業不應該有僥幸心態,要積極履行網絡安全水平保護的義務。
三、是實施網絡安全級別保護系統
網絡安全等級保護體系包括法律和技術體系。企業僅靠自身實力履行保險義務更為困難。建議聘請專業的法律機構和合格的評估機構協助實施。企業應當立即履行法律明確規定的義務:
制定內部安全管理制度和操作規程,確定網絡安全負責人;
采取技術措施,防止計算機病毒和網絡攻擊,網絡入侵等網絡安全行為;
采取技術措施,監測、記錄網絡運行狀況和網絡安全事件,并按照規定保存相關網絡日志不少于6個月;
采取數據分類、重要數據備份、加密等措施。
四、要注意的問題
1.評級是否由評估機構和專業組織確定?
雖然聘請了專業的評估機構來幫助履行平等的保障義務,但對網絡信息系統分級準確性的責任仍由企業承擔。因此,評價機構只提出等級建議,最終的等級需要企業正確把握。被確定為二級以上的,在二級以上確定之日起三十日內向公安機關備案。
2.一次或兩次?
對于評級為3級或以上的網絡運營商來說,這不是一勞永逸的問題。三級網絡運營商應至少每年進行一次評估和自我檢查。四級網絡運營商的評審和自我檢查應至少每六個月進行一次。
三。采用SaaS和其他網絡框架并租用云服務的網絡運營商不承擔同等的等保義務?
目前saas、paas、issa等普遍采用網絡結構或租賃云服務或由他人托管的系統。在上述情況下,公司仍有法律義務實施此類保險。要參照相關國家標準和網絡服務提供商根據網絡邊界劃分,明確雙方的責任。