当前位置:文档之家 › 网络安全法与等级保护

网络安全法与等级保护

  • 格式:ppt
  • 大小:1.47 MB
  • 文档页数:17

下载文档原格式

  / 17

合集下载

《中华人民共和国网络安全法》

《中华人民共和国网络安全法》

《中华人民共和国网络安全法》第一章总则第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。

第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。

第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。

第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、任务和措施。

第六条国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。

第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。

第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。

国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。

县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。

第九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

第十一条网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。

网络安全等级保护制度是国家网络安全的基石

网络安全等级保护制度是国家网络安全的基石

JUANSHOU|卷 首| 网络安全等级保护制度是国家网络安全的基石◎郭启全今年5月,由公安部牵头历时五年组织修订的《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》和《网络安全等级保护测评要求》等国家标准,由国家市场监督管理总局、国家标准化管理委员会进行了发布,这标志着我国网络安全等级保护制度真正进入了2.0时代。

网络安全等级保护制度是我国网络安全保障工作的伟大创举、是国家网络安全的基石、是网络安全领域广大工作者的智慧结晶。

《网络安全法》明确了网络安全等级保护制度的法律地位。

作为国家网络安全保障领域的基本制度、基本策略和基本方法,它是维护网络空间主权、国家安全、社会秩序和公共利益的根本保障。

实施网络安全等级保护制度,可确保网络运营者在网络建设过程中,同步规划、同步建设、同步运行网络安全保护措施,履行相关责任和义务,确保产品生产厂商在IT产品和网络安全产品设计制造及网络安全服务商在安全服务中落实国家要求,并积极适应新形势新任务。

网络安全等级保护制度要求我们按照分等级保护、突出重点、积极防御、综合防护的原则,建立“打防管控”一体化的网络安全综合防御体系。

要求各有关单位变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防护,变粗放防护为精准防护,重点保护涉及国家安全、国计民生、社会公共利益的网络基础设施安全、运行安全和数据安全。

新时期国家网络安全等级保护制度具有鲜明的特点和内涵。

一是实现两个全覆盖。

其一覆盖全社会,包括民营企业、新兴互联网企业、云服务商和信息服务单位等。

其二覆盖所有保护对象,包括网络、信息系统、物联网、大数据、工控系统和移动互联网等新技术应用。

二是丰富工作内容。

在开展网络定级及评审、备案及审核、等级测评、安全建设整改、自查等要求基础上,增加测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求及应急处置要求等网络安全重点工作。

网络安全法及等保2

网络安全法及等保2

1.现行重要法律法规框架(网络安全)(关基单位:指关键基础设施单位)注:本图列举了当前我国在非涉密网络安全领域施行的几部重要法律和国家推荐标准;它们构成了我们日常网络安全建设中的基础法律框架。

在合法合规的前提下,我们所有的网络安全建设都必须参照上述法律和标准进行。

2.网络安全法重要建设内容解读《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度。

各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。

除此之外,《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。

未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份:第三十四条第三项规定/第二十一条第四项规定,关键信息基础设施/普通网络运营者单位对重要系统和数据库进行容灾备份。

没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

网络安全等级保护工作须知

网络安全等级保护工作须知

网络安全等级保护工作须知一、为什么要落实网络安全等级保护工作1、法律有明确规定。

《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。

因此,不落实网络安全等级保护制度就是违法。

(<中华人民共和国网络安全法>节选见附件1)2、有效提高自身网络安全。

实践证明,对网络信息系统分等级保护能够有效提高安全防护水平,降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险(相关案例见附件2)。

3、有效保障和控制网络安全建设成本。

在网络信息系统规划、建设和使用过程中同步建设安全设施,保证网络安全与网络信息系统建设相协调,可有效保障和控制网络安全建设成本,避免不必要的支出。

二、网络安全等级保护基本知识1、等级保护对象。

指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,等级保护对象覆盖全社会和所有网络信息系统,包括:非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。

2、三同步原则。

各单位应遵循网络安全与网络信息系统“同步规划、同步建设、同步使用”的原则,确保网络安全落实到位。

3、级别。

根据网络信息系统在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,从第一级开始,从低到高分为五个安全保护等级。

4、工作流程。

包括定级备案、安全建设、等级测评、安全整改和监督检查。

三、如何落实网络安全等级保护工作1、自定级。

单位确定网络安全等级保护对象后,参照《GA/T 1389—2017信息安全技术网络安全等级保护定级指南》自行确定网络系统的等级,填写《网络安全等级保护自定级报告》(模板见附件3)。

如主管部门对定级对象有定级指导意见的,按指导意见确定等级(原则上大数据安全保护等级为第三级以上;国家关键信息基础设施的安全保护等级应不低于第三级)。

网络安全等级保护管理制度

网络安全等级保护管理制度

网络安全等级保护管理制度第一章绪论第一条为了加强网络安全等级保护管理,维护国家网络安全,保护国家利益和社会公共利益,依据《网络安全法》等相关法律法规,制定本制度。

第二条本制度适用于我国各类网络运营者和网络使用者,具体包括但不限于政府机关、企事业单位、社会团体、个人等。

同时,本制度也适用于为其它单位、个人提供网络服务或者网络资源的网络运营者、服务提供者和网络使用者。

第三条网络安全等级保护管理是指根据网络安全风险等级划分网络安全等级,对不同等级的网络实行不同的安全保护管理措施的过程。

网络安全等级保护管理包括网络安全等级的划分、网络安全等级的评估、网络安全等级的保护和网络安全等级的监测监控等内容。

第四条国家网络安全等级保护管理是由国家网络安全主管部门负责统一领导、全面协调、指导管理,并指导和监督有关单位和个人按照网络安全等级保护管理制度的要求开展网络安全保护工作。

第五条地方各级人民政府网络安全及有关主管部门应当在本行政区域内组织、指导网络安全等级保护管理工作,并配合国家网络安全主管部门做好相关工作。

第二章网络安全等级划分第六条网络安全等级划分是指依据国家网络安全风险评估结果,对网络按照其网络安全风险等级的高低进行分类划分的活动。

第七条国家对网络安全等级划分的原则是:适应国家网络安全风险等级分类管理的需要,保证国家关键信息基础设施(以下简称关键信息基础设施)的网络安全,加强对网络安全的管理和控制,加强关键信息基础设施的保护力度。

第八条关键信息基础设施分为三个安全等级:高级别、中级别和低级别。

高级别包括国家安全、国民经济的正常运行和社会生活的运行至关重要的信息基础设施;中级别包括国民经济和社会生活运行的重要信息基础设施;低级别包括与国民经济和社会生活运行有关的信息基础设施。

第九条在国家网络安全等级划分中,应当综合考虑以下要素:信息技术系统的安全可靠性和运行稳定性、信息或信息系统的机密性、完整性和可用性等信息安全保护需求,以及与信息安全保护有关的法律法规和标准要求等。

《网络安全等级保护条例》与《信息安全等级保护管理办法》

《网络安全等级保护条例》与《信息安全等级保护管理办法》

《⽹络安全等级保护条例》与《信息安全等级保护管理办法》 2018年6⽉27⽇,公安部发布《⽹络安全等级保护条例(征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见。

《征求意见稿》包括总则、⽀持与保障、⽹络的安全保护、涉密⽹络的安全保护、密码管理、监督管理、法律责任和附则等⼋章,共七⼗三条。

《征求意见稿》对于⽹络安全等级保护的各项要求、⼯作流程、涉密⽹络、密码管理等⽅⾯做出了⾮常细致的规定。

对⽐《⽹络安全法》颁布之前的《信息安全等级保护管理办法》及其配套的相关规范、标准(以下简称“等保1.0”),《⽹络安全法》颁布之后的⽹络安全等级保护制度(以下简称“等保2.0”)结合新时期的⽹络安全新形势、新变化以及新技术、新应⽤的发展提出了更⾼的要求,⽹络安全等级保护制度成为⼀个全新的国家⽹络安全基本制度体系。

我们昨天推出《从<⽹络安全等级保护条例(征求意见稿)>看等保1.0到等保2.0的重要变化》,以《征求意见稿》为抓⼿,从法律依据的效⼒位阶、领导机构和主管部门、保护对象和适⽤范围、等级分类界定、法律责任五个⾓度,对等保1.0到等保2.0所发⽣的重要变化进⾏分析。

本⽂为《从<⽹络安全等级保护条例(征求意见稿)>看等保1.0到等保2.0的重要变化》中提到的《征求意见稿》与《管理办法》的条款⽐对,读者可通过本⽂对等保1.0到等保2.0的变化做更深⼊的了解。

下列对⽐中,前为等保2.0《⽹络安全等级保护条例(征求意见稿)》,后为等保1.0《信息安全等级保护管理办法》。

宗旨加强⽹络安全等级保护⼯作,提⾼⽹络安全防范能⼒和⽔平,维护⽹络空间主权和国家安全、社会公共利益,保护公民、法⼈和其他组织的合法权益,促进经济社会信息化健康发展规范信息安全等级保护管理,提⾼信息安全保障能⼒和⽔平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设⽴法依据《⽹络安全法》、《保守国家秘密法》等《计算机信息系统安全保护条例》等定义⽹络:由计算机或者其他信息终端及相关设备组成的按照⼀定的规则和程序对信息进⾏收集、存储、传输、交换、处理的系统。

网络安全等级保护管理制度

网络安全等级保护管理制度第一章绪论一、总则为加强我国网络安全等级保护管理工作,维护国家网络安全,保障国家政治、经济、文化和社会信息安全,根据《网络安全法》有关规定,制定本管理制度。

二、目的和基本原则(一)本管理制度的目的是规范网络安全等级保护管理工作,确保网络信息系统的安全性和稳定性,维护国家信息网络安全。

(二)基本原则:依法、科学、公正、独立原则。

三、适用范围本管理制度适用于国家机关、企事业单位、社会组织和个人在境内通过互联网接入或者提供信息服务业务的网络信息系统的等级保护管理工作。

第二章网络安全等级划分一、等级划分标准(一)根据网络信息系统对待保护对象的重要程度和对信息安全的保护要求,网络安全等级分为四个等级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级。

(二)对不同等级的网络信息系统,其重要性和风险程度越高,要求的保护程度越高。

(三)具体等级划分标准由国家网络信息安全管理部门按照现行法律法规和规章制度制定。

二、等级保护要求(一)Ⅰ级网络信息系统1. 高可用性:不可接受长时间停机。

2. 安全性:必须采取高强度防护,确保系统不被攻破。

3. 保密性:绝对保密,未经授权人员不得查看系统数据。

4. 审计功能:系统需具备完善的审计功能,对系统操作和记录进行监控。

5. 安全监控:对危险源进行监视,确保网络安全。

(二)Ⅱ级网络信息系统1. 可用性:要求系统可用性高,且能够快速恢复。

2. 安全性:系统需采取必要防护措施,保障系统不被攻击。

3. 机密性:要求信息保密性高,严格限制数据访问权限。

4. 审计功能:对系统操作和记录进行审计,及时发现安全问题。

5. 安全监控:对系统运行状态进行监控,发现异常状况及时处理。

(三)Ⅲ级网络信息系统1. 可靠性:确保系统稳定运行,能够防范常见的安全威胁。

2. 安全性:采取适当防护措施,确保系统不受攻击。

3. 机密性:要求信息保密性较高,限制数据访问权限。

4. 审计功能:对系统操作和记录进行审计,及时发现问题。

《网络安全等级保护条例》

网络安全等级保护条例(征求意见稿)第一章总则.......................................... - 2 - 第二章支持与保障...................................... - 4 - 第三章网络的安全保护.................................. - 5 - 第四章涉密网络的安全保护............................. - 13 - 第五章密码管理....................................... - 15 - 第六章监督管理....................................... - 17 - 第七章法律责任....................................... - 21 - 第八章附则......................................... - 23 -第一章总则第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。

第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。

个人及家庭自建自用的网络除外。

第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。

前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。

网络安全等级保护条例

第一章总则第一条为了加强网络安全保障,维护国家安全、社会公共利益和公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》等法律法规,制定本条例。

第二条国家实行网络安全等级保护制度,对网络信息系统的安全进行分等级保护、分等级监管。

第三条网络信息系统的安全等级保护工作应当遵循以下原则:(一)依法行政,严格规范,确保网络安全;(二)分类指导,分级实施,突出重点,兼顾全面;(三)安全与发展并重,技术创新与安全管理相结合;(四)责任明确,奖惩分明,保障网络安全。

第四条国家网信部门负责全国网络安全等级保护工作的统筹协调和监督管理。

国务院其他有关部门按照各自职责,负责网络安全等级保护工作的监督管理。

第五条网络信息系统的运营者应当依照本条例的规定,履行网络安全等级保护义务,加强网络安全保障能力建设,提高网络安全防护水平。

第二章等级划分与保护要求第六条网络信息系统的安全等级分为以下五级:(一)自主保护级:适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益。

(二)指导保护级:适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,或者对公民、法人和其他组织的合法权益造成较大损害。

(三)监督保护级:适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

(四)强制保护级:适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

(五)专控保护级:适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,将对国家安全和社会公共利益造成极其严重损害。

第七条各级网络信息系统的安全保护要求如下:(一)自主保护级:采取基本的安全防护措施,确保信息系统正常运行。

(二)指导保护级:在自主保护级的基础上,加强网络安全防护措施,提高安全防护水平。

网络安全等级保护制度的技术要求

一、引言随着互联网的普及和信息技术的发展,网络安全问题日益突出。

为了保障国家关键信息基础设施安全,我国政府高度重视网络安全工作,并制定了网络安全等级保护制度。

网络安全等级保护制度要求网络运营者按照国家相关标准,对网络进行安全等级划分,并采取相应的技术和管理措施,确保网络安全。

本文将重点介绍网络安全等级保护制度的技术要求。

二、网络安全等级保护制度概述网络安全等级保护制度是指根据我国《网络安全法》和相关标准,对网络进行安全等级划分,并采取相应的技术和管理措施,保障网络安全的一种制度。

网络安全等级保护制度分为五个等级,从低到高分别为:一级(专用网络)、二级(关键网络)、三级(重要网络)、四级(一般网络)、五级(公共网络)。

三、网络安全等级保护制度的技术要求1.物理安全(1)安全区域划分:根据网络的安全等级,将网络划分为不同的安全区域,确保不同安全区域之间信息隔离。

(2)安全设施建设:在重要区域设置安全门禁、摄像头、报警系统等安全设施,防止非法侵入。

(3)供电保障:确保网络设备正常运行,采用双路供电、UPS不间断电源等保障措施。

2.网络安全(1)访问控制:根据用户身份和权限,实施严格的访问控制策略,防止非法访问。

(2)安全审计:对网络访问、操作等行为进行审计,及时发现异常情况。

(3)入侵检测与防范:部署入侵检测系统,实时监测网络流量,发现并阻止恶意攻击。

(4)安全漏洞管理:定期对网络设备、操作系统、应用程序等进行安全漏洞扫描和修复。

3.数据安全(1)数据加密:对敏感数据进行加密存储和传输,确保数据安全。

(2)数据备份与恢复:制定数据备份策略,定期进行数据备份,确保数据不丢失。

(3)数据访问控制:对数据访问权限进行严格控制,防止未授权访问。

4.应用安全(1)应用安全开发:在应用开发过程中,遵循安全开发规范,确保应用安全。

(2)应用安全测试:对应用进行安全测试,发现并修复安全漏洞。

(3)应用安全运维:对应用进行安全运维管理,确保应用稳定运行。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复
业务信息安全类要求 S
系统服务保证类要求 A
安全保护等级 第一级 第二级 第三级 第四级 第五级
信息系统定级结果的组合 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5
罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。 对于违法问题有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一 万元以上一百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关 闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责 任人员处五千元以上十万元以下罚款。 尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以 上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上 一百万元以下罚款。
网络安全法与等级保护

一、网络安全法

二、信息安全等级保护
一、网络安全法
制定网络安全法的意义
《网络安全法》是我国第一部全面规范网络空间安全管理 方面问题的基础性法律,是我国网络空间法治建设的重要里 程碑,是依法治网、化解网络风险的法律重器,是让互联网 在法治轨道上健康运行的重要保障。 《网络安全法》将近年来一些成熟的好做法制度化,并为 将来可能的制度创新做了原则性规定,为网络安全工作提供 切实法律保障。
网络安全等级保护制度(上升为法律)
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金 融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、 丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利 益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重 点保护。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检 测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设 施安全保护工作的部门。(等级测评)
网络安全法要求及处罚
(1)安全风险评估要求 ①具体内容:应当自行或者委托网络安全服务机构对其网络的安 全性和可能风险每年至少1次检测评估;检测评估情况和改进措 施报送相关负责部门。 ②法律责任:由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处10-100 万罚款,对直接负责的主管人员处1-10万罚款。
3、制定过程 2013年下半年提上日程,2014年形成草案,15年初 形成征求意见稿,15年6月一审,16年6月二审、10月 31 日三审、11 月 7 日人大通过, 2017 年 6 月 1 日起施行。 154票赞成、0票反对、1票弃权。
制定网络安全法的意义
确立了网络安全法律规范的基本原则 明确了网络安全工作的重点 提出制定网络安全战略,明确网络空间治理目标 完善了网络安全监管体制 强化了网络运行安全,重点保护关键信息基础设施 完善了网络安全义务和责任 将监测预警与应急处置措施制度化、规范化
(5)信息与数据境内存储及跨境数据传输的安全评估要求 ①具体内容:境内运营中收集和产生的个人信息和重要数据应当 在境内存储;需向境外提供的,应当按照国家网信部门会同国务 院有关部门制定的办法进行安全评估。 ②法律责任:责令改正,给予警告,没收违法所得;处 5-50万 罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相 关业务许可证或者吊销营业执照;对直接负责主管和直接责任人 处1-10万罚款。
8=MAX(4,7)
24
基本要求--GB/T 22239
基本保护要求(最低) 基本保护要求(最低)
对抗能力+恢复能力 对抗能力+恢复能力
保护能力 保护能力 技术要求+管理要求 整体安全保护能力
物理、网络、主机、应用、数据 物理、网络、主机、应用、数据 制度、机构、人员、建设、运维 制度、机构、人员、建设、运维 纵深防御、互补关联、强度一致、 纵深防御、互补关联、强度一致、 平台统一、 平台统一、 集中安管 集中安管 通用安全保护类要求 通用安全保护类要求 G G 安全类 安全类 关键控制点 关键控制点 具体要求项 控制强度
网络安全法要求及处罚
(6)应急预案要求 ①具体内容:制定网络安全事件应急预案;在发生危害网络安全 的事件时,立即启动应急预案;按照规定向有关主管部门报告。 ②法律责任:责令改正及警告;警告不改罚款 公司1-10万,主管5千-5万。
根据《网络安全法
对客体的侵害程度 保护对象受到破坏时受侵害的客体 一般损害 严重损害 特别严重损害
3、综合评定对客体的侵害程度
6、综合评定对客体的侵害程度
公民、法人和其他组织的合法权益
4、业务信息安全等级 7、系统服务安全等级
第一级
第二级 第三级
第二级
第三级 第四级
第二级
第四级 第五级
社会秩序、公共利益 国家安全
8、定级对象的安全保护等级
等级保护的内容-十个方面
业务安全
基本要求 技术要求 管理要求
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
数 据 安 全
安 全 管 理 机 构
安 全 管 理 制 度
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
基本要求--GB/T 22239
控 制 项
安全要求类 技术要求
网络运营者:是指网络的所有者、管理者和网络服务提供 者。 网络数据:是指通过网络收集、存储、传输、处理和产生 的各种电子数据。 个人信息:是指以电子或者其他方式记录的能够单独或者 与其他信息结合识别自然人个人身份的各种信息,包括但 不限于自然人的姓名、出生日期、身份证件号码、个人生 物识别信息、住址、电话号码等。
• 《信息安全等级保护管理办法》国家通过制定统一的信息安全等级 保护管理规范和技术标准,组织公民、法人和其他组织对信息系统 分等级实行安全保护,对等级保护工作的实施进行监督、管理。
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。 第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。 第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公 共利益造成严重损害,或者对国家安全造成损害。 第四级为强制保护级,信息系统受到破坏后,会对社会秩序和 公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级为专控保护级,适用于涉及国家安全的重要信息和信息系 统的核心子系统,其受到破坏后,会对国家安全造成特别严重损害。
(一)综述
1、总体框架
第二章 第三章
共7章79条。
第四章 第五章 第六章 第七章
第一章 总 则 网络安全支持与促进 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 网络信息安全 监测预警与应急处置 法律责任 附 则
2、定位 是互联网领域、网络安全的基础性法律。
是党的十八大以来的又一部重要法律。
受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工 作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 依照有关法律、行政法规的规定记入信用档案,并予以公示。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自 1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。音乐网、蘑菇街互动网等上百家的企事业单位。 对于违反《网络安全法》的处罚视情节严重,处罚措施分为: 1、责令改正,给予警告; 2 、拒不改正或者导致危害网络安全等后果的,对企业处 1-100万罚款,对直接负 责的主管人员和其他直接责任人员处1-10万罚款; 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊 销营业执照。
二、信息安全等级保护
信息安全等级保护定义
• 《信息安全等级保护管理办法(试行)》:信息安全等级保护是指 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息 和存储、传输、处理这些信息的信息系统分等级实行安全保护,对 信息系统中使用的信息安全产品实行按等级管理,对信息系统中发 生的信息安全事件分等级响应、处置。
• 基础类 • 《计算机信息系统安全保护等级划分准则》GB 17859-1999 • 《信息系统安全等级保护实施指南》GB/T 25058-2010 • 应用类 • 定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 • 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010 • 测评:《信息系统安全等级保护测评要求》GB/T 28448-2012 《信息系统安全等级保护测评过程指南》 GB/T 28449-2012 • 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
网络安全法要求及处罚
(2)网络安全等级保护要求 ①具体内容:制度建设与负责人;安全防范技术措施;不少于6 个月的安全日志;数据分类与备份加密。 ②法律责任:责令改正及警告;警告不改罚款公司1-10万,主管 5千-5万。