当前位置:首页 > 新闻动态 > 公司要闻

公司要闻

bob鲍勃体育:从“信息安全”到“网络安全”等级保护制度有哪些值得关注的变化?

来源:bob256体育 作者:bob鲍勃体育 日期:2022-09-25 09:28:01

  金评媒()编者按:《网络安全法》出台后,网络等级保护进入2.0时代。这意味着在遵照2007年公安部、国家保密局、国家密码管理局和国务院信息化工作办公室颁布实施的《信息安全等级保护管理办法》及其配套的标准《信息系统安全等级保护定级指南》建立的“信息安全等级保护体系”已全面升级。

  第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

  (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

  ——安徽省蚌埠怀远县教育进修学校,未进行网络安全等级保护的定级备案、等级评测工作;未落实网络安全等级保护制度;未履行网络安全等级保护义务;机构被处以1.5万元罚款,负有直接责任人员处以5000元罚款。

  ——四川宜宾市“教师发展平台”网站,未落实网络安全等级保护制度;未履行网络安全等级保护义务;机构被处以1万元罚款,负有直接责任人员处以5000元罚款。

  这些处罚案例距离网络运营者是如此之近,不得不关注何谓《网络安全等级保护制度》,与之前的信息安全等级保护制度有什么不同要求?随着2018年1月19日,全国信息安全标准化技术委员会发布关于《信息安全技术 网络安全等级保护定级指南(征求意见稿)》(以下称“《定级指南》”),我们一起来看一下,网络安全等级保护有哪些值得关注的变化。

  《定级指南》在前言说明,本标准代替GB/T 22240—2008《信息安全技术信息系统安全等级保护定级指南》,与GB/T 22240—2008相比,主要技术变化如下:

  等级保护制度始终保持不变的安全保护目标,即保护系统安全,保证敏感信息的处理、保证服务的连续。但随着IT向DT的转变,现有网络等级保护体系更加丰富,从内容的维度,除基础信息网络外,把云平台、大数据、物联网、工控系统等纳入等级保护制度管理中;从监管对象这一维度,大型互联网企业也加入其中。

  作为定级对象的网络应具有如下三个基本特征:具有确定的主要安全责任主体;承载相对独立的业务应用; 包含相互关联的多个资源。在此定义之下,特别关注:

  云计算平台。在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

  大数据。大数据应作为单独定级对象进行定级;安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。

  网络安全等级保护对象的级别由两个定级要素决定,分别是受侵害的客体(三类)和对客体的侵害程度(三种程度),相互对应起来形成五级安全保护等级,如图所示:

  关于上述三类受侵害的客体分类,一般损害、严重损害和特别严重损害的定义,基本沿袭原有表达。但是在《定级指南》中,对公民、法人和其他组织的合法权益,遭受特别严重损害的,明确定级在“第三级”,彰显了对私权利维护的升级。

  对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。

  《定级指南》规定,原则上,大数据安全保护等级不低于第三级。对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。

  其实这五个步骤也是信息安全等级保护体系下原有步骤,不过,根据《信息安全等级保护管理办法》,以上第三步和第四步并不是每个等级必须的强制性要求。相应的规定是:

  信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。

  对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

  由于《定级指南》的级别较低,目前还在征求意见中,是否能取代《信息安全等级保护管理办法》而将5个步骤普遍适用于全部定级流程,还有待看《信息安全等级保护管理办法》是否会进行进一步的修订。

  在2007年《信息安全等级保护管理办法》实施期间,曾经确立了“依照标准,自行保护”的原则,即国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。”

  但是,在网络安全法下,网络安全等级保护成为网络运营者最重要的义务之一,“自行定级、自行保护”明显已不符合网络安全管理的需要。如何避免企业降低保护等级规避,尚缺少更高位级的法律要求。

  另一方面,不同的行业按照行业政策的要求,有更具体的等级保护工作要求和定级方案,在这个过程中,主管部门的审核就具有更强的现实意义。比如电子政务网,金融行业,电力行业,广电部门,交通行业,教育行业,税收行业,卫生行业,烟草行业,以及最近刚刚兴起的网络借贷,网约车行业。

  《网络安全法》为网络安全等级保护提出了新要求,在继续原有《信息安全等级保护管理办法》的规则之下,如何与新发布的定级指南相匹配,特别是对强制性的级别要求有更明确的梳理,则是我们所期待的。

  情报 京东进军餐饮外卖业务;法拉第未来计划2025年在国内开设工厂;百度90后程序员删改数据库被判刑

  情报 工信部回应轻微摇动App就跳广告;上市公司将迎破产重整新规;华为转移多项专利至荣耀公司

  情报 京东宣布修改回购计划;商汤科技香港IPO定价每股3.85港元;中公教育今日起下架公考类“不过全退”协议班

体育彩票bobapp|256体育_鲍勃体育©体育彩票bobapp     苏ICP备10215542号-1     (苏)-非经营性-2014-0026