docurl=/cn/Solution/TechnologySolution/Security/Home/Solution/201712/1055439_30004_0.htm

等级?;?/H3>
【发布时间:2017-12-22】
《网络安全法》于2017年6月1日正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。该法的发布也标志着国家网络安全等级?;すぷ髡浇?.0时代,现在不做等保就是违法了。

下文将网络安全法中与等级?;び泄氐奶蹩罱薪舛练治?,从网络安全法角度梳理出我们等级?;すぷ鞯闹氐愫秃诵?。同时介绍下在2.0时代等级?;さ谋曜继逑岛凸ぷ髁鞒?。

一、网络安全法明确了等级?;すぷ髦氐?/B>

第二十一条 国家实行网络安全等级?;ぶ贫?/B>。网络运营者应当按照网络安全等级?;ぶ贫鹊囊?,履行下列安全?;ひ逦?,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

解读:本条规定的是网络运营者的义务。条款提到的网络安全等级?;ぶ贫扔牍膊吭擞嗄甑男畔⑾低嘲踩燃侗;ぶ贫龋吹燃侗;?.0)有非常大的关联,也说明国家会修订和出台相关“网络安全等级?;ぁ钡南喙嘏涮字贫龋吹燃侗;?.0),目前等级?;?.0标准体系的修订工作已基本完成,近期即将出台。

(一) 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全?;ぴ鹑?;

解读:一般第一主要责任人是单位一把手,厅长、局长、院长、校长等领导,第二主要责任人是单位具体分管信息化、分管网络安全的领导,副厅长、副局长、副院长、副校长或总工等。

(二) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

解读:一般来说防火墙、IDS、IPS、防病毒网关、杀毒软件和防DDOS攻击系统等属于这类技术措施。

(三) 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

解读:网络审计、行为审计、运维审计、日志管理分析、安全管理平台和态势感知平台等都属于这类技术措施。

(四) 采取数据分类、重要数据备份和加密等措施;

解读:数据安全越来越重要,等保方案需要充分考虑数据备份、数据传输和数据存储安全等内容。

(五)法律、行政法规规定的其他义务。

第五十九条 网络运营者违反规定拒不改正或情节严重的,???-10万元,直接责任人???.5-5万元

二、网络安全法明确了等级?;さ暮诵?/B>

1、关键信息基础设施的定义

第三十一条国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级?;ぶ贫鹊幕∩?,实行重点?;?/B>。关键信息基础设施的具体范围和安全?;ぐ旆ㄓ晒裨褐贫?。

解读:等级?;すぷ鞯暮诵氖枪丶畔⒒∩枋?,本条首先定义了什么是关键信息基础设施。国家互联网信息办公室已于2017年7月发布《关键信息基础设施安全?;ぬ趵ㄕ髑笠饧澹?,参照网络安全法和关键信息基础设施安全?;ぬ趵确煞ü嬉?,关键信息基础设施的认定可参照下表:

关键信息基础设施种类

认定标准

网络安全事件的潜在影响

网站类

1)县级(含)以上党政机关网站。

2)重点新闻网站。

3)日均访问量超过100万人次的网站。

4)一旦发生网络安全事故,可能造成右边列影 响之一的。

5)其他应该认定为关键信息基础设施。

1) 影响超过100万人工作、生活;
2) 影响单个地市级行政区30%以上人口的工作、生活;
3) 造成超过100万人个人信息泄露;
4) 造成大量机构、企业敏感信息泄露;
5) 造成大量地理、人口、资源等国家基础数据泄露;
6) 严重损害政府形象、社会秩序,或危害国家安全。

平台类

1)注册用户数超过1000万,或活跃用户(每 日至少登陆一次)数超过100万。

2)日均成交订单额或交易额超过1000万元。

3)一旦发生网络安全事故,可能造成右边列

影响之一的。

4)其他应该认定为关键信息基础设施

1) 造成1000万元以上的直接经济损失;
2) 直接影响超过1000万人工作、生活;
3) 造成超过100万人个人信息泄露;
4) 造成大量机构、企业敏感信息泄露;
5) 造成大量地理、人口、资源等国家基础数据泄露;
6) 严重损害社会和经济秩序,或危害国家安全。

生产业务类

1)地市级以上政府机关面向公众服务的业务 系统,或与医疗、安防、消防、应急指挥、 生产调度、交通指挥等相关的城市管理系统。

2)规模超过1500个标准机架的数据中心。

3)一旦发生网络安全事故,可能造成右边列影响之一的。

4)其他应该认定为关键信息基础设施。

1) 影响单个地市级行政区30%以上人口的工作、生活;
2) 影响10万人用水、用电、用气、用油、取暖或交通出行等;
3) 导致5人以上死亡或50人以上重伤;
4) 直接造成5000万元以上经济损失;
5) 造成超过100万人个人信息泄露;
6) 造成大量机构、企业敏感信息泄露;
7) 造成大量地理、人口、资源等国家基础数据泄露;
8) 严重损害社会和经济秩序,或危害国家安全。

2、关键信息基础设施的安全?;ひ逦?/B>

第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。

解读:本条款说明关键信息基础设施的?;ひ蟾哂谕绨踩燃侗;ぶ贫鹊囊话阋?,从制度、培训、灾备、应急等方面提出了进一步要求。

第五十九条 运营者拒不改正或导致危害网络安全的,???0-100万元,直接责任人???-10万元。

3、敏感信息保存

第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估。

解读:本条是外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的问题。核心是数据安全。这里有两个关键词,一个是“重要数据”,什么是重要数据,相关的常见提法还有“业务数据”、“运营数据”、“服务数据”、“个人数据”、“企业数据”、“国家数据”,专家认为,重要数据是从影响因子的权重来区分数据,是一种新的数据分类方式,而不是从用途和归属的角度去分类。另一个关键词是“安全评估”,这个安全评估的方式是将来要出台的配置制度。相关问题也并不清晰,例如评估对象的问题,是对要流向境外的数据进行评估?还是对业务的模式进行评估?还有谁来评估的问题,是主管单位来评估,还是运营者自己进行评估? 本条说明了将来会出台“向境外提供关键信息基础设施重要数据的安全评估办法”。

第六十六条 运营者违反规定的,没收违法所得,???-50万元,吊销执照,直接责任人???-10万元。

4、风险检测评估

第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门。

解读:本条主要是关于对关键信息基础设施年度检测评估的问题。这里提到了网络安全服务机构,就是我们常说的提供风险评估等各类安全服务的机构,这些机构以后又多了一项业务了。

第五十九条 运营者拒不改正或导致危害网络安全的,???0-100万元,直接责任人???-10万元。

三、等级?;?.0标准体系

等级?;?.0系列标准已形成标准送审稿,近期将颁布出台。等级?;?.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联网、工业控制、大数据。未来随着技术的发展,N会不断扩展。

《网络安全等级?;せ疽蟮?部分:安全通用要求》
《网络安全等级?;せ疽蟮?部分:云计算安全扩展要求》
《网络安全等级?;せ疽蟮?部分:移动互联安全扩展要求》
《网络安全等级?;せ疽蟮?部分:物联网安全扩展要求》
《网络安全等级?;せ疽蟮?部分:工业控制系统安全扩展要求》
《网络安全等级?;せ疽蟮?部分:大数据安全扩展要求》
,《网络安全等级?;ど杓萍际跻蟮?部分:安全通用要求》
《网络安全等级?;ど杓萍际跻蟮?部分:云计算安全扩展要求》
《网络安全等级?;ど杓萍际跻蟮?部分:移动互联安全扩展要求》
《网络安全等级?;ど杓萍际跻蟮?部分:物联网安全扩展要求》
《网络安全等级?;ど杓萍际跻蟮?部分:工业控制系统安全扩展要求》
《网络安全等级?;ど杓萍际跻蟮?部分:大数据安全扩展要求》
,《网络安全等级?;げ馄酪蟮?部分:安全通用要求》
《网络安全等级?;げ馄酪蟮?部分:云计算安全扩展要求》
《网络安全等级?;げ馄酪蟮?部分:移动互联安全扩展要求》
《网络安全等级?;げ馄酪蟮?部分:物联网安全扩展要求》
《网络安全等级?;げ馄酪蟮?部分:工业控制系统安全扩展要求》
《网络安全等级?;げ馄酪蟮?部分:大数据安全扩展要求》
,《网络安全等级?;げ馄拦讨改稀?《网络安全等级?;げ馄榔拦兰际踔改稀?《网络安全等级?;げ馄阑鼓芰σ蠛推拦拦娣丁?网络安全等级?;は盗斜曜?《网络安全等级?;な凳┲改稀? src=

《网络安全等级?;ざ吨改稀?src="/cn/res/201801/03/20180103_3319366_image002_1055439_30004_0.png"

等级?;?.0工作流程

与等保1.0相比,等保2.0将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综合考核等与网络安全密切相关的措施纳入等级?;ぶ贫炔⒓右允凳?。

总结

作为全国唯一具备等级?;そㄉ枘芰ψ手实淖酆贤绨踩?,新华三是国家信息安全标准委员会标准牵头单位,参与了公安部的云计算安全等级?;け曜加氩馄酪笠约肮倚畔⒅行牡恼裨频燃侗;せ疽蠹笆凳┲改系认喙乇曜贾贫?,并拥有系列齐全的安全产品和服务,具备等级?;ひ惶寤桓赌芰?,可帮助客户完成定级备案、差距分析、方案设计、整改加固、等保测评和等保运维的全部流程。新华三等级?;ふ褰饩龇桨竿耆阃绨踩ê偷燃侗;?.0标准体系要求,全面覆盖政府、教育、医疗、交通等多个行业的等级?;ば枨?。另外新华三拥有信息安全风险评估服务资质,可为客户提供风险检测评估服务。

  • 【改革印记——看中国发展】“电话情缘”中的改革发展印记 2018-11-20
  • 张家口市把巡察监督触角延伸到基层 开展交叉巡察发现问题1246个 2018-11-20
  • 新版外商投资负面清单已修订完成 即将发布 2018-11-02
  • 多余的解释,看看设计书。 2018-11-02
  • 周强:深入推进智慧法院建设,开放动态透明便民的阳光司法机制基本形成 2018-10-22
  • 步飘恒的专栏作者中国国家地理网 2018-10-21
  • 金融战,贸易战,是看不见硝烟的战争,但代价同样是惨烈的。面对强敌,奉陪到底,打好这场事关国运之战。 2018-10-10
  • 菲律宾国警继续改组 1华裔获任大岷东警区警长 2018-10-07
  • 研究:芒果比纤维粉更能有效治疗便秘和肠炎 2018-09-23
  • 白云区新办证大厅户籍办理服务平台正式投入使用啦 2018-09-23
  • 看完5月北京16区最新房价!你觉得今年还能不买房吗? ——凤凰网房产北京 2018-09-21
  • 国家安全与每一位公民息息相关-光明时评 2018-09-21
  • 在端午品味文化的芳香 锐评 2018-09-08
  • 高清:江西南昌志愿者爱心陪伴特殊儿童 2018-08-24
  • 专家谈当前市场预期 信心持续攀升预期比较乐观 2018-08-24
  • 188| 522| 643| 202| 540| 163| 654| 950| 882| 168|