等保相关问题

首页 > 新闻动态 > 帮助中心 > 等保相关问题

网络安全等保等级是如何划分的?各个等级的标准和要求

2023-10-07 16:43  浏览:

网络安全等保等级是如何划分的?各个等级的标准和要求

网络安全等保,全称网络安全等级保护,是指国家对网络实施分等级保护、分等级监管的制度。网络安全等保的目的是保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动,维护国家安全、社会秩序和公共利益。

那么,网络安全等保等级是如何划分的呢?各个等级的标准和要求又是什么呢?本文将从以下几个方面为您介绍:

1、网络安全等保的法律依据

网络安全等保制度的法律依据主要有以下几部法律法规:

《中华人民共和国网络安全法》:这是我国第一部专门针对网络安全领域制定的法律,于2017年6月1日正式实施。该法律首次提出了“网络安全等级保护制度”的概念,并明确了相关具体要求。

《网络安全等级保护管理条例(征求意见稿)》:这是我国目前正在制定中的一部重要的行政法规,于2018年6月27日向社会公开征求意见。该条例更新了由《信息安全等级保护管理办法》建立的信息安全等级保护制度,标志着国家对信息安全技术与网络安全保护迈入2.0时代。

《信息安全技术 网络安全等级保护基本要求》:这是我国最新发布的一部国家标准,于2019年5月13日正式发布,并于2019年12月1日开始实施。该标准规定了网络安通用要求和扩展要求,以及相应的评估方法。

《信息安全技术 网络安全等级保护定级指南》:这是我国最新发布的另一部国家标准,于2020年7月22日正式发布,并于2020年11月1日开始实施。该标准规定了网络定级对象、定级原则、定级方法、定级流程和定级报告。

2、网络安全等保的对象和范围

根据《网络安全法》第2条的定义,“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

因此,网络安通对象包括但不限于以下几类:

互联网

专用网

云计算平台/系统

物联网

工业控制系统

移动互联技术系统

在中华人民共和国境内建设、运营、维护、使用上述类型的网络,开展网络安通工作以及监督管理,都适用《网络安通条例》,个人及家庭自建自用的网络除外。

3、网络安通五个等级

根据《网络安通条例》第15条的规定,根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级,分别是:

第一级(自主保护级):网络的安全保护主要由网络运营者自主实施,国家不对其实施强制性的监督管理。该级别的网络一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度最低。

第二级(指导保护级):网络的安全保护主要由网络运营者自主实施,国家对其实施指导性的监督管理。该级别的网络一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度较低。

第三级(监督保护级):网络的安全保护需要由网络运营者实施,并接受国家的监督管理。该级别的网络一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度较高。

第四级(强制保护级):网络的安全保护需要由网络运营者实施,并接受国家的强制性监督管理。该级别的网络一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度高。

第五级(专控保护级):网络的安全保护需要由网络运营者实施,并接受国家专门机构的专项监督管理。该级别的网络一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度极高。

4、网络安通工作流程

根据《网络安通条例》第16至25条的规定,网络运营者应当依法开展以下几个步骤的工作:

网络定级:在规划设计阶段确定网络的安全保护等级,并在发生重大变化时变更。

定级评审:对拟定为第二级以上的网络,组织专家评审,并报请主管部门核准。

定级备案:第二级以上网络在确定等级后10个工作日内,到县级以上公安机关备案,并在发生变更或撤销时办理相应手续。

备案审核:公安机关对备案材料进行审核,并在10个工作日

内部10个工作日内,向网络运营者反馈审核结果,并在通过审核后将备案信息报送国家网信部门。

网络安全保护:根据网络的安全保护等级,制定并实施相应的安全保护措施,包括技术措施、管理措施和法律措施,确保网络的安全运行和数据的完整、可用、机密。

网络安全检测:定期对网络进行自检或者委托第三方机构进行检测,评估网络的安全状况和风险,及时发现和消除安全隐患。

网络安全审计:对第三级以上的网络,每年至少进行一次安全审计,并将审计结果报送主管部门和公安机关。

网络安全事件处置:建立健全网络安全事件应急预案,及时发现、处置、报告和处理网络安全事件,减少损失和影响,恢复正常运行。

网络安全监督管理:接受国家网信部门、主管部门和公安机关的监督管理,按照规定提供相关信息和协助,配合开展网络安通检查、评估、审计等工作。

5、网络安通一般和特殊要求

根据《网络安通基本要求》的规定,网络运营者应当根据网络的安通等级,满足以下一般要求:

组织管理要求:建立健全网络安通组织架构、职责分工、人员管理、资金保障、规章制度等。

资产管理要求:对网络资产进行识别、分类、标记、登记、维护等。

物理环境要求:对网络设备、介质、场所等进行物理防护和环境控制。

通信与运维要求:对网络的通信链路、传输协议、数据交换、运维管理等进行技术保障和规范控制。

访问控制要求:对网络的用户身份认证、权限分配、访问控制策略等进行有效管理。

信息系统获取与开发要求:对采购或者开发的信息系统进行需求分析、设计规范、测试验证等。

信息内容与应用要求:对网络的信息内容发布、应用服务提供等进行内容审核、服务质量保证等。

安全运营要求:对网络的日常运行进行监测分析、日志记录、备份恢复等。

安全维护要求:对网络的漏洞修复、补丁更新、配置变更等进行及时处理。

安全管理要求:对网络的风险评估、安全培训、合同约定等进行有效实施。

此外,根据《网络安通基本要求》的规定,针对不同类型的网络,还有以下特殊要求:

互联网特殊要求:包括域名解析服务、电子邮件服务、即时通信服务、搜索引擎服务、社交媒体服务等。

专用网特殊要求:包括政务专网服务、金融专网服务、电力专网服务等。

云计算平台/系统特殊要求:包括云计算平台/系统建设与运营服务、云计算平台/系统使用服务等。

物联网特殊要求:包括物联网平台/系统建设与运营服务、物联网平台/系统使用服务等。

工业控制系统特殊要求:包括工业控制系统建设与运营服务、工业控制系统使用服务等。

移动互联技术系统特殊要求:包括移动互联技术系统建设与运营服务、移动互联技术系统使用服务等。

以上就是关于网络安通等级的划分、标准和要求的简要介绍,希望对您有所帮助。如果您想了解更多相关信息,可以访问以下网站:

[国家网络安全等级保护管理中心]:这是国家网信部门设立的专门负责网络安通工作的机构,提供网络安通政策法规、标准规范、定级备案、检测评估、审计监督等服务。

[中国信息安全测评中心]:这是国家认定的第三方网络安全检测评估机构,提供网络安全检测评估、咨询培训、产品认证等服务。

[中国信息通信研究院]:这是国家重点的信息通信领域的科研机构,提供网络安全技术研发、标准制定、测试验证等服务。现在,为了帮助企业用户快速满足等保合规的要求,天*下*数*据推出了等级保护测评解决方案,能为你的等保测评提供关键服务。

【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015

下一篇:等保三级备份要求,如何满足等保三级备份要求? 上一篇:通过网络安全三级等保测评的技巧分享