等級保護(hù)三級基本介紹

1、等級保護(hù)三級基本介紹信息系統(tǒng)處理能力和連接能力在不斷的提高。同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。如何才能保證網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，需要做到保證網(wǎng)絡(luò)的物理安全，保證網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和系統(tǒng)的安全。以下內(nèi)容由主要來自社區(qū)專家doc在交流活動“你的網(wǎng)絡(luò)安全嗎？能達(dá)到等保三級嗎嚴(yán)2018年6月27日，公安部發(fā)布網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）（以下簡稱“保護(hù)條例”）o作為網(wǎng)

2、絡(luò)安全法的重要配套法規(guī)，保護(hù)條例對網(wǎng)絡(luò)安全等級保護(hù)的適用范圍、各監(jiān)管部門的職責(zé)、網(wǎng)絡(luò)運(yùn)營者的安全保護(hù)義務(wù)以及網(wǎng)絡(luò)安全等級保護(hù)建設(shè)提出了更加具體、操作性也更強(qiáng)的要求，為開展等級保護(hù)工作提供了重要的法律支撐。條例適用范圍保護(hù)條例的適用范圍擴(kuò)大。所有網(wǎng)絡(luò)運(yùn)營者都要進(jìn)行對相關(guān)網(wǎng)絡(luò)開展等保工作。監(jiān)管部門保護(hù)條例確立了各部門統(tǒng)籌協(xié)作、分工負(fù)責(zé)的監(jiān)管機(jī)制，所涉及的監(jiān)管部門包括中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)、國家網(wǎng)信部門、國務(wù)院公安部門、國家保密行政管理部門、國家密碼管理部門、國務(wù)院其他相關(guān)部門、以及縣級以上地方人民政府有關(guān)部門等。各國家行業(yè)主管或監(jiān)管部門的監(jiān)管權(quán)力和職責(zé)具體如下表：網(wǎng)絡(luò)的安全保護(hù)網(wǎng)絡(luò)定級定級步

3、驟為：確定定級對象-初步確認(rèn)定級對象-專家評審-主管部門審核-公安機(jī)關(guān)備案審查1）網(wǎng)絡(luò)等級網(wǎng)絡(luò)等級主要以網(wǎng)絡(luò)的重要程度以及一旦遭受破壞造成的危害程度來評估。值得注意的是，在信息安全等級保護(hù)管理辦法中，對于信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害的情況，最高保護(hù)等級只到第二級。保護(hù)條例將“會造成特別嚴(yán)重?fù)p害的情況下，信息系統(tǒng)應(yīng)采取的保護(hù)等級提高到第三級，即使對社會公共利益沒有造成危害，或者對國家安全造成危害。這也是本條例重大變化之2）網(wǎng)絡(luò)定級保護(hù)條例第十六條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)在規(guī)劃設(shè)計階段確定網(wǎng)絡(luò)的安全保護(hù)等級。意味著系統(tǒng)使用前必須先定級。與此同時，網(wǎng)絡(luò)功能、服務(wù)范圍

4、、服務(wù)對象和處理的數(shù)據(jù)等發(fā)生重大變化時，需要根據(jù)情況調(diào)整定級。3）定級評審保護(hù)條例在定級階段新增要求，第二級以上必須經(jīng)過專家評審、行業(yè)主管部門核準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)由行業(yè)主管部門統(tǒng)一擬定安全保護(hù)等級、統(tǒng)一組織定級評審。4）定級備案第二級以上網(wǎng)絡(luò)運(yùn)營者在定級、撤銷或變更調(diào)整網(wǎng)絡(luò)安全保護(hù)等級時，需在10個工作日內(nèi)，到縣級以上公安機(jī)關(guān)備案。地點(diǎn)上由之前所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)擴(kuò)展到縣級，更加便捷。5）備案審核由公安機(jī)關(guān)對備案材料進(jìn)行審核，并在10個工作日內(nèi)岀具網(wǎng)絡(luò)安全等級保護(hù)備案證明。一般保護(hù)義務(wù)及特殊保護(hù)義務(wù)等級保護(hù)一般安全保護(hù)義務(wù)對責(zé)任人、安全管理、技術(shù)保護(hù)制度等要求與網(wǎng)絡(luò)安全法第21條

5、內(nèi)容對應(yīng)。同時對個人信息的保護(hù)、身份驗(yàn)證、報告時限要求等進(jìn)行明確。第三級以上還需履行特殊安全保護(hù)義務(wù)，包含管理機(jī)構(gòu)、總體規(guī)劃和整體防護(hù)策賂、背景審查等。要求落實(shí)網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測預(yù)曾措施，并與同級公安機(jī)關(guān)對接。上線檢測新建二級系統(tǒng)上線前按照相關(guān)標(biāo)準(zhǔn)進(jìn)行安全性測試。新建三級以上系統(tǒng)上線前優(yōu)先進(jìn)行等保測評，通過等級測評后方可投入運(yùn)行。等級測評保護(hù)條例下調(diào)了等級測評周期。對四級網(wǎng)絡(luò)來說測評周期下調(diào)帶來部分便利，但并不意味著安全防護(hù)和檢查要求降低。安全整改與之前一樣，都要求網(wǎng)絡(luò)運(yùn)營者在等保測評中發(fā)現(xiàn)安全風(fēng)險隱患時進(jìn)行安全整改。自查工作要求單位每年進(jìn)行一次自查，并向備案的公安機(jī)關(guān)報告。三級網(wǎng)絡(luò)每年做測

6、評可以看做一次自查。對二級網(wǎng)絡(luò)來說，可能會每年要向公安機(jī)關(guān)提交一份自查報告，實(shí)際上是對二級網(wǎng)絡(luò)要求進(jìn)行了補(bǔ)充增強(qiáng)。監(jiān)測預(yù)警通報與網(wǎng)絡(luò)安全法要求一致，進(jìn)行安全監(jiān)測預(yù)警通報。涉及以下三方協(xié)作：?地市級以上人民政府：建立監(jiān)測預(yù)警制度及信息通報制度，開展安全監(jiān)測、態(tài)勢感知、通報預(yù)警等工作。?第三級以上網(wǎng)絡(luò)運(yùn)營者：向公安機(jī)關(guān)及行業(yè)主管部門報送安全預(yù)警信息及安全事件。?行業(yè)主管部門：建立健全本行業(yè)冷頁域的安全監(jiān)測預(yù)警和信息通報制度，向同級網(wǎng)信部門、公安機(jī)關(guān)報送監(jiān)測預(yù)警信息及安全事件。數(shù)聒和信思安全侏護(hù)網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立并落實(shí)重要數(shù)據(jù)和個人信息安全保護(hù)制度。保障重要數(shù)據(jù)的完整性、保密性和可用性，以及確保個人

7、信息安全。應(yīng)急處置要求第三級以上網(wǎng)絡(luò)的運(yùn)營者，需制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并定期開展演練。處置網(wǎng)絡(luò)事件時需保護(hù)現(xiàn)場，留存數(shù)據(jù)，并及時向公安機(jī)關(guān)和行業(yè)主管部門報告。審核審計要求對于向社會公眾提供經(jīng)營活動的網(wǎng)絡(luò)運(yùn)營者，主管部門應(yīng)當(dāng)將等級保護(hù)納入審計、審核范圍，也意味著相關(guān)運(yùn)營者將被審計、審核。新技術(shù)新應(yīng)用風(fēng)險管控保護(hù)條例對云計算、人工智能、物聯(lián)網(wǎng)等新技術(shù)要求進(jìn)行風(fēng)險識別及風(fēng)險管控。體現(xiàn)了等級保護(hù)定級對象大擴(kuò)展。此外，保護(hù)條例也對測評活動安全管理、網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)、產(chǎn)品服務(wù)采購使用、技術(shù)維護(hù)等提岀了相應(yīng)的要求。涉密網(wǎng)絡(luò)的安全保護(hù)分級保護(hù)等級保護(hù)是針對非涉密系統(tǒng)和網(wǎng)絡(luò)，涉密網(wǎng)絡(luò)進(jìn)行分級保護(hù)。分級保護(hù)定級有三個

8、級別:秘密級機(jī)密級晩密級，安全要求依次增強(qiáng)。網(wǎng)絡(luò)定級保護(hù)條例確定了分級保護(hù)網(wǎng)絡(luò)定級流程：確定涉密網(wǎng)絡(luò)的密級-本單位保密委員會（領(lǐng)導(dǎo)小組）的審定-同級保密行政管理部門備案（保密局）。方案審查論證涉密網(wǎng)絡(luò)運(yùn)營者規(guī)劃建設(shè)涉密網(wǎng)絡(luò)，應(yīng)當(dāng)依據(jù)國家保密規(guī)定和標(biāo)準(zhǔn)要求，制定分級保護(hù)方案，采取身份鑒別、訪問控制、安全審計、邊界安全防護(hù)、信息流轉(zhuǎn)管控、電磁泄漏發(fā)射防護(hù)、病毒防護(hù)、密碼保護(hù)和保密監(jiān)管等技術(shù)與管理措施。這也就是分級保護(hù)方案需要關(guān)注的防護(hù)重點(diǎn)。建設(shè)管理分級保護(hù)項(xiàng)目，需要選擇具備涉密信息系統(tǒng)集成資質(zhì)的單位承接建設(shè)，與建設(shè)單位簽訂保密協(xié)議。信息設(shè)備、安全保密產(chǎn)品管理涉密網(wǎng)絡(luò)中使用的安全保密產(chǎn)品，應(yīng)當(dāng)從國家

9、有關(guān)主管部門發(fā)布的涉密專用信息設(shè)備名錄中選擇，并通過國家保密行政管理部門設(shè)立的檢測機(jī)構(gòu)檢測。測評審查和風(fēng)險評估絕密級網(wǎng)絡(luò)每年至少進(jìn)行一次，機(jī)密級和秘密級網(wǎng)絡(luò)每兩年至少進(jìn)行一次。涉密網(wǎng)絡(luò)重大變化的處置有下列情形之一的，需及時向保密行政管理部門報告并采取相應(yīng)措施，由管理部門評估是否對涉密網(wǎng)絡(luò)重新檢測與審查:（-）密級發(fā)生變化的；（-）連接范圍、終端數(shù)量超出審查通過的范圍、數(shù)量的；（三）所處物理環(huán)境或者安全保密設(shè)施變化可能導(dǎo)致新的安全保密風(fēng)險的；（四）新增應(yīng)用系統(tǒng)的，或者應(yīng)用系統(tǒng)變更、減少可能導(dǎo)致新的安全保密風(fēng)險的。涉密網(wǎng)絡(luò)廢止的處理涉密網(wǎng)絡(luò)不再使用的，需向保密行政管理部門報告，特定場所及措施處置，

10、不能直接丟棄。此外，涉密網(wǎng)絡(luò)運(yùn)營者要求建立安全保密管理制度，健全涉密網(wǎng)絡(luò)預(yù)警通報制度，及時采取應(yīng)急處置措施等。密碼管理涉密網(wǎng)絡(luò)及傳輸?shù)膰颐孛苄畔ⅲ瑧?yīng)當(dāng)依法采用密碼保護(hù)。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)（等級保護(hù)三級使用），需委托密碼應(yīng)用安全性測評機(jī)構(gòu)開展密碼應(yīng)用安全性評估。網(wǎng)絡(luò)運(yùn)營者應(yīng)建立密碼安全制度、完善密碼安全管理措施，規(guī)范密碼使用行為。任何單位和個人不得利用密碼從事違法犯罪活動。監(jiān)督管理1）第三級以上網(wǎng)絡(luò)運(yùn)營者實(shí)行重點(diǎn)監(jiān)督管理；每年等級保護(hù)工作情況通報同級網(wǎng)信部門。2）公安機(jī)關(guān)對第三級以上網(wǎng)絡(luò)運(yùn)營者每年至少開展一次安全檢查?？蓵湫袠I(yè)主管部門開展安全檢

11、查。3）明確公安機(jī)關(guān)的檢查處宣權(quán)利。限期整改、第三級以上通報行業(yè)主管部門，并向同級網(wǎng)信部門通報。4）公安機(jī)關(guān)在監(jiān)督檢查中發(fā)現(xiàn)重大隱患處置需報告同級人民政府、網(wǎng)信部門和上級公安機(jī)關(guān)。5）第三級以上網(wǎng)絡(luò)運(yùn)營者的關(guān)鍵人員（含安全服務(wù)人員）管理要求，不得擅自參加境外組織的網(wǎng)絡(luò)攻防活動。6）網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)配合、支持公安機(jī)關(guān)和有關(guān)部門開展事件調(diào)查和處宣工作。刀網(wǎng)絡(luò)存在的安全風(fēng)險隱患嚴(yán)重威脅國家安全、社會秩序和公共利益的，緊急情況下公安機(jī)關(guān)可以責(zé)令其停止聯(lián)網(wǎng)、停機(jī)整頓。8）網(wǎng)絡(luò)運(yùn)營者的法定代表人、主要負(fù)責(zé)人及其行業(yè)主管部門對等級保護(hù)情況要進(jìn)行管理及監(jiān)管。發(fā)生重大安全風(fēng)險及隱患，省級以上人民政府公安部門、保密行政管理部門、密碼管理部門有權(quán)對其進(jìn)行約談。法律責(zé)任保護(hù)條例的規(guī)定處罰基本上依照網(wǎng)絡(luò)安全法，處罰措施集中在警告處分、責(zé)令整改、罰款（包括單位和直接負(fù)責(zé)人）、責(zé)令停產(chǎn)停業(yè)、行政拘留等形式。值得注意的是，第三級以上網(wǎng)絡(luò)運(yùn)營者違反本條例第