如何結(jié)合網(wǎng)絡(luò)安全法開展等級(jí)保護(hù)工作

如何結(jié)合網(wǎng)絡(luò)安全法開展等級(jí)保護(hù)工作摘要：從1994年2月18日國(guó)務(wù)院147號(hào)令發(fā)布，規(guī)定計(jì)算信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，到2016年11月7日第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過《中華人民共日和國(guó)網(wǎng)絡(luò)安全法》，并于2017年6月1日起正式實(shí)施，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度已然上升為法律要求。作為網(wǎng)絡(luò)運(yùn)營(yíng)者如何落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，確保信息系統(tǒng)滿足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)要求，成為廣大網(wǎng)絡(luò)運(yùn)營(yíng)者急需了解掌握的內(nèi)容，本文從定級(jí)備案、整改建設(shè)和等級(jí)測(cè)評(píng)三個(gè)層面，結(jié)合網(wǎng)絡(luò)安全法相關(guān)要求進(jìn)行解讀說明。2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“網(wǎng)絡(luò)安全法”）正式實(shí)施。第二十一條提出“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，第三十一條提出“關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。至此，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升為法律要求，網(wǎng)絡(luò)運(yùn)營(yíng)者必須按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，采取相應(yīng)的管理措施和技術(shù)防范措施，履行相應(yīng)的網(wǎng)絡(luò)安全保護(hù)義務(wù)。本文從網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)三個(gè)方面，結(jié)合網(wǎng)絡(luò)安全法相關(guān)內(nèi)容闡述作為網(wǎng)絡(luò)運(yùn)營(yíng)者需要履行的安全保護(hù)義務(wù)及工作要求。1.

定級(jí)備案系統(tǒng)定級(jí)作為網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的第一步，定級(jí)結(jié)果直接影響到后續(xù)工作的順利開展。作為網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）（以下簡(jiǎn)稱“定級(jí)指南”）分析業(yè)務(wù)信息和系統(tǒng)服務(wù)遭到破壞后，所侵害的客體，以及對(duì)相應(yīng)客體的侵害程度，確定信息系統(tǒng)安全保護(hù)級(jí)別，并及時(shí)到當(dāng)?shù)厥屑?jí)以上公安機(jī)關(guān)辦理備案手續(xù)。另外，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施，從網(wǎng)絡(luò)安全法第三十一條可以看出關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能會(huì)嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益，通過查看定級(jí)指南，可能嚴(yán)重危害到國(guó)家安全、國(guó)計(jì)民生、公共利益的信息系統(tǒng)，安全保護(hù)等級(jí)至少在三級(jí)及以上，所以作為關(guān)鍵信息基礎(chǔ)設(shè)施，其安全保護(hù)等級(jí)不得低于三級(jí)。作為網(wǎng)絡(luò)運(yùn)營(yíng)者一定要仔細(xì)分析信息系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)遭到破壞后，所侵害的客體，以及對(duì)相應(yīng)客體的侵害程度，準(zhǔn)確定級(jí)。網(wǎng)絡(luò)運(yùn)營(yíng)者在初步確定網(wǎng)絡(luò)安全保護(hù)等級(jí)后，應(yīng)當(dāng)及時(shí)組織相關(guān)專家對(duì)定級(jí)結(jié)果的合理性進(jìn)行評(píng)審，避免出現(xiàn)所定級(jí)別過低或過高的現(xiàn)象，并及時(shí)向主管部門報(bào)批系統(tǒng)定級(jí)結(jié)果。2.

建設(shè)整改在確定網(wǎng)絡(luò)安全保護(hù)等級(jí)后，網(wǎng)絡(luò)運(yùn)營(yíng)者在開展建設(shè)整改工作時(shí)，首先應(yīng)當(dāng)確保已完全履行了網(wǎng)絡(luò)安全法第二十一條，所規(guī)定的全部安全保護(hù)義務(wù)。網(wǎng)絡(luò)安全法第二十一條具體內(nèi)容如下：第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第一條是安全管理方面的要求，雖說安全技術(shù)是信息安全控制的重要手段，許多信息系統(tǒng)的安全性保障都要依靠技術(shù)手段來實(shí)現(xiàn)，但光有安全技術(shù)還不行，要讓安全技術(shù)發(fā)揮應(yīng)有的作用，必然要有適當(dāng)?shù)墓芾沓绦颍駝t，安全技術(shù)只能趨于僵化和失敗。所以強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者必須要有針對(duì)性的建立自己的網(wǎng)絡(luò)安全管理體系，且至少包含管理制度和操作規(guī)范兩個(gè)層面。管理制度是網(wǎng)絡(luò)運(yùn)營(yíng)者制定的有關(guān)管理組織架構(gòu)、人員配備、行為規(guī)范和管理責(zé)任等方面的規(guī)則。操作規(guī)程是網(wǎng)絡(luò)運(yùn)維者制定的相關(guān)人員在進(jìn)行日常操作時(shí)應(yīng)當(dāng)遵守的程序和步驟。除此以外還需確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者第一責(zé)任人