电话热线
服务热线 19195761296
如何开展《网络安全等级保护实施指南》项目建设 2022-02-18

网络安全和信息安全关系着国家安全和发展,也与广大人民群众工作生活息息相关。没有网络安全,社会经济就无法稳定运行,也无法保障人民群众的利益。新版《网络安全等级保护实施指南》(以下简称等保2.0)于2019年12月正式实施。它扩充基础信息网、云平台、大数据平台、物联网系统和移动互联网等新技术的安全保护。那么,如何开展《网络安全等级保护实施指南》项目建设?

网络安全等级保护

网络安全领域国家相关法律要求

《国家安全法》

第二十五条:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。

《网络安全法》

2017年6月1日正式实施,其中第二十一条规定,国家实行网络安全等级保护制度。同时第三十一条规定,对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。等级保护由基本制度、基本国策,上升为法律,不做等保就是不合法。

《网络安全等级保护条例》

主要是根据《网络安全法》《保守国家秘密法》制定的。从《网络安全等级保护条例》看等保1.0到等保2.0的重要变化;核心法律依据的效力位阶提高;等级分类的界定有所调整(第三级);测评周期变化(第三级以上的网络运营者应当每年开展一次网络安全等级测评)。

《关键信息基础设施安全保护条例》

“关保条例”以八章共五十五条的篇幅对关键信息基础设施安全保护做了相较于《网络安全法》更为详细的规定,其中包括总则,支持与保障,关键信息基础设施范围,运营者安全保护,产品和服务安全,监测预警、应急处置和检测评估,法律责任以及附则,构建了关键信息基础设施安全保护的整体框架。

等保检查不合规结果的部分处罚条例

《网络安全法》第五十九条

网络运营者不履行本法第二十一条,第二十五条规定的网络安全保护义务的,由有关主管部门责令更正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

《网络安全法》第七十二条

国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接负责人员依法给予处分。

《刑法》第二百八十六条

不履行信息网络安全管理义务罪。造成违法信息大量传播、用户信息泄露,造成严重后果的。处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。

等保2.0的工作流程和内容

等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保2.0标准仍然将围绕这5个规定动作开展工作。

一、定级、备案

1、信息系统运营使用单位按照定级指南相关要求确定等级保护对象的安全等级;

2、安全保护等级确定后,由运营、使用单位到所在地设区的公安机关办理备案手续。

二、建设整改

根据需求制定建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,满足安全等级需求产品,开展信息系统安全建设整改。

三、等级测评

1、选择具有国家相关技术资质和安全资质的测评单位进行等级测评;

2、系统运营、使用单位向所在地设区的公安机关提交测评报告。

四、监督检查

公安机关依据相关管理办法和工作规范,监督检查运营使用单位开展等级保护工作,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

等保2.0项目需求五要素

一、建设背景:确定客户做等保的起因和建设预期(要做几级、是否为合规而作),是上级建设指导还是业务发展的安全需要。输出文字内容,便于后期定制方案。

二、资金来源:明确资金来源,资金形式。便于确定项目时间、采购形式等。

三、网络状况:了解现状,拿到拓扑。便于了解项目规模和后期定制方案。

四、项目周期:了解建设进展,以及项目周期。便于把控项目全局,不同阶段采取不同策略,明确定级、备案、差评、建设、复审时间点。

五、竞争情况:明确项目局势,了解参与方。明确敌我,把控全局。

网络安全等级保护制度是促进信息化建设健康发展的基本制度,不做等级保护工作是不合规行为。等保工作能够发现信息系统的安全隐患,通过整改可以提高系统的安全防护能力。开展等级保护工作,要抓紧开展测评及后续的安全整改,发现问题并解决问题。