网络安全

网络安全

网络安全等级保护

      网络安全等级保护是对网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。

工作流程

定级阶段

      网络运营者依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,确定等级保护对象,明确定级对象,梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。

具体的定级流程如下:

      在定级指南中明确作为定级对象的等级保护对象需具有以下基本特征:

  • 具有确定的主要安全责任主体;
  • 承载相对独立的业务应用;
  • 包含相互关联的多个资源。

      对于不同的等级保护对象,在确定为定级对象时,应注意下列几点:

a. 针对等级保护对象为通信网络设施时,在确定定级对象时,应明确:

  • 对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。 
  • 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。

b. 针对等级保护对象为数据资源时,在确定定级对象时,应明确:

  • 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;
  • 当安全责任主体不同时,大数据应独立定级。

c. 针对“云大物移”新应用新技术的等级保护对象,在确定定级对象时,应注意:

      在确定定级对象后,在等级确定方面由责任主体根据业务实际运行状况,自主定级。具体的定级方法如下:

根据下列矩阵表分别确定等级保护对象业务信息等级和系统服务等级:

在分别确定业务信息安全的安全等级和系统服务的安全等级后,由二者中较高级别确定等级保护对象的安全级别。

备案阶段

第二级以上网络运营者在定级、撤销或变更调整网络安全保护等级时,在明确安全保护等级后需在10个工作日内,到县级以上公安机关备案,提交相关材料。备案所需材料及流程:

对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。

建设整改阶段

      信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南(以下称“实施指南”)中明确等级保护实施的基本原则:

  • 自主保护原则

      等级保护对象运营、使用单位及其主管部门自主确定等级保护对象的安全保护等级,自主实施安全保护。

  • 重点保护原则

      对等级保护对象根据其重要程度、业务特点,划分成不同安全保护等级的等级保护对象,实现不同强度安全保护,集中资源重点保护涉及核心业务或关键信息资产的等级保护对象。

  • 同步建设原则

      等级保护对象在新建、改建、扩建时应同步规划和设计安全方案,投入一定的资金建设网络安全设施,保障网络安全与信息化相适应。

  • 动态调整原则

      跟踪等级保护对象的变化情况,调整安全保护措施。定级对象的应用类型、范围等条件的变化及其他原图,安全保护等级变更的,需重新定级,根据安全保护基本,重新实施安全保护。

等级保护对象网络运营者实施等级保护的基本流程:

 安全建设整改工作分五步进行:

  • 落实安全建设整改工作部门,建设整改工作规划,进行总体部署;
  • 确定网络安全建设需求并论证;
  • 确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证,三级以上报公安机关审核);
  • 根据网络安全建设整改方案,实施安全建设工程;
  • 开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。

等级测评阶段

网络安全等级保护测评过程分为4个基本活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

1) 等级保护测评周期

      等保1.0阶段,测评周期参考:信息安全等级保护管理办法(公通字[2007]43号),该文中要求:“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”

      等保2.0阶段,测评周期参考:网络安全等级保护条例征求意见稿第二十三条[等级测评]规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

      第二十五条[自查工作]规定:网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。

2) 等级测评结论的变化

      等级测评结论发生了变化:等级保护测评结论由“符合、部分符合、不符合”变为:“优、良、中、差”。当等级保护对象存在高风险或等级测评综合得分低于70分,可判定等级保护对象安全防护能力无法满足网络安全等级保护基本要求。

监督检查阶段

      公安机关对第三级以上网络运营者每年至少开展一次安全检查,涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。

县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:

(一)日常网络安全防范工作;

(二)重大网络安全风险隐患整改情况;

(三)重大网络安全事件应急处置和恢复工作;

(四)重大活动网络安全保护工作落实情况;

(五)其他网络安全保护工作情况。