咨询电话:400-001-1101

关于安盟

全部分类
您现在的位置:
/
/
等级保护制度值得关注的新变化

等级保护制度值得关注的新变化

  • 作者:北京安盟信息技术股份有限公司
  • 发布时间:2018-02-13 00:00
  • 访问量:

【概要描述】《网络安全法》出台后,网络等级保护进入2.0时代。这意味着在遵照2007年公安部、国家保密局、国家密码管理局和国务院信息化工作办公室颁布实施的《信息安全等级保护管理办法》及其配套的标准《信息系统安全等级保护定级指南》建立的“信息安全等级保护体系”已全面升级。

等级保护制度值得关注的新变化

【概要描述】《网络安全法》出台后,网络等级保护进入2.0时代。这意味着在遵照2007年公安部、国家保密局、国家密码管理局和国务院信息化工作办公室颁布实施的《信息安全等级保护管理办法》及其配套的标准《信息系统安全等级保护定级指南》建立的“信息安全等级保护体系”已全面升级。

  • 分类:新闻资讯
  • 作者:北京安盟信息技术股份有限公司
  • 来源:
  • 发布时间:2018-02-13 00:00
  • 访问量:
详情

从信息安全到网络安全,

等级保护制度有那些值得关注的变化?

注意

《网络安全法》出台后,网络等级保护进入2.0时代。这意味着在遵照2007年公安部、国家保密局、国家密码管理局和国务院信息化工作办公室颁布实施的《信息安全等级保护管理办法》及其配套的标准《信息系统安全等级保护定级指南》建立的“信息安全等级保护体系”已全面升级。

 

 
 
 

 

《网络安全法》

第二十一条  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

 1   制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

 2   采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

 3   采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

 4   采取数据分类、重要数据备份和加密等措施;

 5   法律、行政法规规定的其他义务。

 

然而,相关法案出台后,仍有很多人意识不到这其中的重要性……

 

《网络安全法》出台后各地处罚案例不断涌现,其中不乏有关网络安全等级保护义务的案例:

 

四川宜宾市翠屏区教师培训与教育研究中心,未落实网络安全等级保护制度,未履行网络安全等级保护义务,被处以1万元罚款,法人代表被处以5000元罚款。《网络安全法》实施以来,四川省内公安机关依法处置的第一起违反《网络安全法》的行政案件。

我的天呐!

这些处罚案例距离网络运营者是如此之近!

我们不得不关注啊!

 

那么,何谓《网络安全等级保护制度》?它与之前的信息安全等级保护制度有什么不同要求?随着2018年1月19日,全国信息安全标准化技术委员会发布关于《信息安全技术 网络安全等级保护定级指南(征求意见稿)》(以下称“《定级指南》”),我们一起来看一下,网络安全等级保护有哪些值得关注的变化。

 

 

一、整体继承关系

 

 

《定级指南》在前言说明,本标准代替GB/T 22240—2008《信息安全技术信息系统安全等级保护定级指南》,与GB/T 22240—2008相比,主要技术变化如下:

 

变更|标准名称变更为《信息安全技术 网络安全等级保护定级指南》;

增加|修改了等级保护对象,增加了网络、基础信息网络等术语定义;

修改|修改了定级要素与安全保护等级的关系;

增加|增加了基础信息网络的定级对象确定方法;

增加|增加了特定定级对象定级说明;

修改|修改了定级流程。

 

二、等级保护对象

 

 

等级保护制度始终保持不变的安全保护目标,即保护系统安全,保证敏感信息的处理、保证服务的连续。但随着IT向DT的转变,现有网络等级保护体系更加丰富,从内容的维度,除基础信息网络外,把云平台、大数据、物联网、工控系统等纳入等级保护制度管理中,从监管对象这一维度,大型互联网企业也加入其中

 

作为定级对象的网络应具有如下三个基本特征:

✦ 具有确定的主要安全责任主体;

✦ 承载相对独立的业务应用; 

✦ 包含相互关联的多个资源;

 

三、安全保护等级

 

 

网络安全等级保护对象的级别由两个定级要素决定,分别是受侵害的客体(三类)和对客体的侵害程度(三种程度),相互对应起来形成五级安全保护等级,如图所示:

关于上述三类受侵害的客体分类,一般损害、严重损害和特别严重损害的定义,基本沿袭原有表达。但是在《定级指南》中,对公民、法人和其他组织的合法权益,遭受特别严重损害的,明确定级在“第三级”,彰显了对私权利维护的升级。

对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。

 

《定级指南》规定,对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。

 

四、定级流程

 

 

定级的流程在本次《定级指南》中予以明确,按照如下五个步骤进行:

 

 

其实这五个步骤也是信息安全等级保护体系下原有步骤,不过,根据《信息安全等级保护管理办法》,以上第三步和第四步并不是每个等级必须的强制性要求。

相应的规定是:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

由于《定级指南》的级别较低,目前还在征求意见中,是否能取代《信息安全等级保护管理办法》而将5个步骤普遍适用于全部定级流程,还有待看《信息安全等级保护管理办法》是否会进行进一步的修订。

 

五、定级保护自主性

 

 

在2007年《信息安全等级保护管理办法》实施期间,曾经确立了“依照标准,自行保护”的原则,即国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。”

  • 第一级依照国家管理规范和技术标准进行自主保护;

  • 第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;

  • 第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;

  • 第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;

  • 第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督;

但是,在网络安全法下,网络安全等级保护成为网络运营者最重要的义务之一,“自行定级、自行保护”明显已不符合网络安全管理的需要。如何避免企业降低保护等级规避,尚缺少更高位级的法律要求。

另一方面,不同的行业按照行业政策的要求,有更具体的等级保护工作要求和定级方案,在这个过程中,主管部门的审核就具有更强的现实意义。比如电子政务网,金融行业,电力行业,广电部门,交通行业,教育行业,税收行业,卫生行业,烟草行业,以及最近刚刚兴起的网络借贷,网约车行业;

所以,网络等级保护的定级将越来越趋于规范性管理,而不是自主保护。

以上内容来自网络

《网络安全法》为网络安全等级保护提出了新要求,在继续原有《信息安全等级保护管理办法》的规则之下,如何与新发布的定级指南相匹配,特别是对强制性的级别要求有更明确的梳理,则是我们所期待的。

 

期(qí)待(daì)~

“网络安全之光”早日普照全国~

 

安盟信息作为专业的网络安全解决方案厂商,拥有大量政府、能源、金融、教育等行业实践案例,在充分理解网络安全法以及等级保护2.0的基础上,对原有的等级保护建设方案进行了相应的调整,欢迎广大用户来电垂询400-001-1101。安盟信息积极响应国家政策,发挥积极主动性,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,努力推动我国信息安全的快速发展。

 

北京安盟信息技术股份有限公司(简称:安盟信息),作为安全隔离的技术创新者和防护方案佼佼者,专业致力于信息安全产品研发。安盟信息产品已经广泛地应用于公检法、税务、国土、军工、军队、航天、金融、能源、冶金、化工、医疗等高安全需求行业,并得到了广大用户的认可和好评。安盟信息愿与众多合作伙伴携手并进,共同助力信息安全事业的创新与发展!

关键词:

行业新闻       |      渠道合作       |       公司介绍       |       招贤纳才 

旗下子公司:        华御数观

北京安盟信息技术股份有限公司

邮政编码:100085

总部地址:北京市海淀区邓庄南路万家盛景大厦B座3A层

人力部:hr@anmit.com

销售部:sales@anmit.com

技术部:support@anmit.com

服务热线:400-001-1101

公司网址:http://www.anmit.com

这是描述信息

版权所有:北京安盟信息技术股份有限公司  网站建设:中企动力 北二分 京ICP备14050102号-1 京公网安备 11010802036550号  SEO标签