公安部重磅發(fā)布《指導(dǎo)意見(jiàn)》等級(jí)保護(hù)2.0或迎來(lái)強(qiáng)監(jiān)管
今年以來(lái),已有多家單位因未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度而受到處罰。
2020年7月,湘陰某醫(yī)院因網(wǎng)絡(luò)安全等級(jí)保護(hù)制度落實(shí)不到位且被警告后拒不改正的違法行為,被當(dāng)?shù)毓簿志W(wǎng)安大隊(duì)處以10000元整并責(zé)令該單位限期整的行政處罰。
2020年2月,甘孜州某直屬機(jī)關(guān)門戶網(wǎng)站因未落實(shí)等級(jí)保護(hù)技術(shù)措施致使網(wǎng)頁(yè)被篡改,致使搜索網(wǎng)站自動(dòng)跳轉(zhuǎn)到賭博平臺(tái),甘孜州公安局網(wǎng)安支隊(duì)對(duì)該直屬機(jī)關(guān)門戶網(wǎng)站處以停機(jī)整頓一個(gè)月的行政處罰。
2020年2月,南京某研究院、無(wú)錫某圖書(shū)館因網(wǎng)絡(luò)安全等級(jí)保護(hù)制度落實(shí)不到位,導(dǎo)致網(wǎng)站遭受攻擊破壞。南京、無(wú)錫警方依據(jù)對(duì)上述單位分別予以5萬(wàn)元罰款,對(duì)相關(guān)責(zé)任人予以5千元、2萬(wàn)元不等罰款,同時(shí)責(zé)令限期整改安全隱患,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。
2020年1月,永川區(qū)某醫(yī)院服務(wù)器被黑客攻擊植入勒索病毒,永川區(qū)公安機(jī)關(guān)在刑事偵查中發(fā)現(xiàn)該醫(yī)院未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù),對(duì)該醫(yī)院予以一萬(wàn)元罰款,對(duì)直接負(fù)責(zé)的主管人員予以5000元罰款。
近日,公安部重磅發(fā)布了《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》,進(jìn)一步明確貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。
主要內(nèi)容:
01深化網(wǎng)絡(luò)定級(jí)備案工作
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)第二級(jí)以上網(wǎng)絡(luò)依法向公安機(jī)關(guān)備案,并向行業(yè)主管部門報(bào)備。對(duì)新建網(wǎng)絡(luò),應(yīng)在規(guī)劃設(shè)計(jì)階段確定安全保護(hù)等級(jí)。
02定期開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)
第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)每年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。新建第三級(jí)以上網(wǎng)絡(luò)應(yīng)在通過(guò)等級(jí)測(cè)評(píng)后投入運(yùn)行。
03加強(qiáng)供應(yīng)鏈安全管理
網(wǎng)絡(luò)運(yùn)營(yíng)者因業(yè)務(wù)需要確需通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維的,應(yīng)進(jìn)行評(píng)估論證,并采取相應(yīng)的管控措施;第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)積極應(yīng)用安全可信的網(wǎng)絡(luò)產(chǎn)品及服務(wù)。
04落實(shí)密碼安全防護(hù)要求
第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)正確、有效采用密碼技術(shù)進(jìn)行保護(hù),并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù),并在網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)中同步開(kāi)展密碼應(yīng)用安全性評(píng)估。
該《指導(dǎo)意見(jiàn)》的發(fā)布,預(yù)示著等級(jí)保護(hù)制度將迎來(lái)強(qiáng)監(jiān)管,各企業(yè)應(yīng)對(duì)予以重視,避免不必要的合規(guī)風(fēng)險(xiǎn)。
那網(wǎng)絡(luò)安全等級(jí)保護(hù)到底是什么?合規(guī)官帶你認(rèn)識(shí)等級(jí)保護(hù)
2017年生效的《網(wǎng)絡(luò)安全法》
2019年12月1日正式實(shí)施三大推薦性國(guó)家標(biāo)準(zhǔn):
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019)
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070-2019)
上述主要法律標(biāo)準(zhǔn)共同構(gòu)成了等級(jí)保護(hù)2.0時(shí)代。
等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。簡(jiǎn)而言之,主要目的就為了我國(guó)網(wǎng)絡(luò)安全運(yùn)行。
等級(jí)保護(hù)工作主要包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查 5個(gè)步驟。
如何劃分安全保護(hù)等級(jí)?從一級(jí)到五級(jí)由低到高,共分為五個(gè)等級(jí)。
如何才算通過(guò)等級(jí)保護(hù)評(píng)測(cè)?等級(jí)保護(hù)測(cè)評(píng)結(jié)果及格分?jǐn)?shù)為75分。
一旦發(fā)生安全事件,如果沒(méi)有進(jìn)行等保測(cè)評(píng),將會(huì)受到法律追責(zé),重則面臨牢獄之災(zāi)。
律師一般在等級(jí)保護(hù)工作中能夠提供哪些服務(wù)?
附等級(jí)保護(hù)相關(guān)的主要法律標(biāo)準(zhǔn)文件:
(一)國(guó)家標(biāo)準(zhǔn) …
GB/T 22240-2020 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》
GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》
GB/T 25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》
GB/T 28448-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》
GB/T 25058-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》
GB/T 28449-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》
GB/T 36959-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》
GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》
(二)相關(guān)法律法規(guī) …
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(2016)
《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》(公網(wǎng)安[2020]1960號(hào))
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)
《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕27號(hào))
《信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字[2004]66號(hào))
《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))
(三)行業(yè)相關(guān)標(biāo)準(zhǔn)…
《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》
《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》
《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》
《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南(試行)》
《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引(試行)》
《電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》
《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》
《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》
《煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等