当前位置：文档之家› 网络安全法与等级保护

网络安全法与等级保护

层面物理安全网络安全主机安全应用安全数据安全及备份恢复
业务信息安全类要求 S
系统服务保证类要求 A
安全保护等级第一级第二级第三级第四级第五级
信息系统定级结果的组合 S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5
罚不仅涉及到企业，而且涉及到法人、管理人员、一般员工等多个层面；既有经济处罚，也有行政处罚。对于违法问题有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上一百万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上十万元以下罚款。尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。
网络安全法与等级保护
目
一、网络安全法
录
二、信息安全等级保护
一、网络安全法
制定网络安全法的意义
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。
网络安全等级保护制度（上升为法律）
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。（等级测评）
网络安全法要求及处罚
（1）安全风险评估要求 ①具体内容：应当自行或者委托网络安全服务机构对其网络的安全性和可能风险每年至少1次检测评估；检测评估情况和改进措施报送相关负责部门。 ②法律责任：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10-100 万罚款，对直接负责的主管人员处1-10万罚款。
3、制定过程 2013年下半年提上日程，2014年形成草案，15年初形成征求意见稿，15年6月一审，16年6月二审、10月 31 日三审、11 月 7 日人大通过， 2017 年 6 月 1 日起施行。 154票赞成、0票反对、1票弃权。
制定网络安全法的意义
确立了网络安全法律规范的基本原则明确了网络安全工作的重点提出制定网络安全战略，明确网络空间治理目标完善了网络安全监管体制强化了网络运行安全，重点保护关键信息基础设施完善了网络安全义务和责任将监测预警与应急处置措施制度化、规范化
（5）信息与数据境内存储及跨境数据传输的安全评估要求 ①具体内容:境内运营中收集和产生的个人信息和重要数据应当在境内存储；需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 ②法律责任：责令改正，给予警告，没收违法所得；处 5-50万罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责主管和直接责任人处1-10万罚款。
8＝MAX（4，7）
24
基本要求－－GB/T 22239
基本保护要求（最低）基本保护要求（最低）
对抗能力＋恢复能力对抗能力＋恢复能力
保护能力保护能力技术要求＋管理要求整体安全保护能力
物理、网络、主机、应用、数据物理、网络、主机、应用、数据制度、机构、人员、建设、运维制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、纵深防御、互补关联、强度一致、平台统一、平台统一、集中安管集中安管通用安全保护类要求通用安全保护类要求 G G 安全类安全类关键控制点关键控制点具体要求项控制强度
网络安全法要求及处罚
（6）应急预案要求 ①具体内容：制定网络安全事件应急预案；在发生危害网络安全的事件时，立即启动应急预案；按照规定向有关主管部门报告。 ②法律责任：责令改正及警告；警告不改罚款公司1-10万，主管5千-5万。
根据《网络安全法
对客体的侵害程度保护对象受到破坏时受侵害的客体一般损害严重损害特别严重损害
3、综合评定对客体的侵害程度
6、综合评定对客体的侵害程度
公民、法人和其他组织的合法权益
4、业务信息安全等级 7、系统服务安全等级
第一级
第二级第三级
第二级
第三级第四级
第二级
第四级第五级
社会秩序、公共利益国家安全
8、定级对象的安全保护等级
等级保护的内容－十个方面
业务安全
基本要求技术要求管理要求
物理安全
网络安全
主机安全
应用安全
数据安全
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运维管理
基本要求－－GB/T 22239
控制项
安全要求类技术要求
网络运营者：是指网络的所有者、管理者和网络服务提供者。网络数据：是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
• 《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。
划分准则--GB 17859-1999
第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损害国家安全、社会秩序和公共利益。第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级为专控保护级，适用于涉及国家安全的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。
（一）综述
1、总体框架
第二章第三章
共7章79条。
第四章第五章第六章第七章
第一章总则网络安全支持与促进网络运行安全第一节一般规定第二节关键信息基础设施的运行安全网络信息安全监测预警与应急处置法律责任附则
2、定位是互联网领域、网络安全的基础性法律。
是党的十八大以来的又一部重要法律。
受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。依照有关法律、行政法规的规定记入信用档案，并予以公示。
《网络安全法》自2017年6月1日正式实施，网络安全等级保护制度已经上升为法律规定的强制义务，这是我国自 1994年发布实施《中华人民共和国计算机信息系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来，首次将其写入法律。音乐网、蘑菇街互动网等上百家的企事业单位。对于违反《网络安全法》的处罚视情节严重，处罚措施分为： 1、责令改正，给予警告； 2 、拒不改正或者导致危害网络安全等后果的，对企业处 1-100万罚款，对直接负责的主管人员和其他直接责任人员处1-10万罚款； 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
二、信息安全等级保护
信息安全等级保护定义
• 《信息安全等级保护管理办法（试行）》：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。
• 基础类 • 《计算机信息系统安全保护等级划分准则》GB 17859-1999 • 《信息系统安全等级保护实施指南》GB/T 25058-2010 • 应用类 • 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 • 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010 • 测评：《信息系统安全等级保护测评要求》GB/T 28448-2012 《信息系统安全等级保护测评过程指南》 GB/T 28449-2012 • 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
网络安全法要求及处罚
（2）网络安全等级保护要求 ①具体内容：制度建设与负责人；安全防范技术措施；不少于6 个月的安全日志；数据分类与备份加密。 ②法律责任：责令改正及警告；警告不改罚款公司1-10万，主管 5千-5万。

e商务文档

网络安全法与等级保护

相关文档推荐：