如何落实网络安全等级保护制度

---

一、网络安全等级保护制度的前身

网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》(下称《计算机安保条例》)最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部会同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 《网络安全法》确认并更新了等级保护(下称“等保”)制度的内容。同时, 相关配套的国家标准正在制定、修订或完善中。

二、企业有义务落实等级保护制度

不少企业认为, 网络安全等保制度与自己企业关系不大。在《网络安全法》正式施行前也许确实如此, 《计算机安保条例》第四条规定“计算机信息系统的安全保护工作, 重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”。但是, 与《计算机等保条例》有限的适用范围不同, 《网络安全法》规定网络运营者均负有实施网络安全等级保护制度的义务。并且, 《网络安全法》第五十九条明确规定, 未落实网络安全等级保护义务的“由有关主管部门责令改正, 给予警告; 拒不改正或者导致危害网络安全等后果的, 处一万元以上十万元以下罚款, 对直接负责的主管人员处五千元以上五万元以下罚款。”
《网络安全法》实施后, 公安机关对未履行网络安全等保义务的企业已开始实施处罚。例如, 2017年7月20日汕头警方对汕头市某信息科技有限公司处以警告并责令改正; 2017年7月22日, 四川省宜宾市警方对未开展等保相关工作、未落实等保义务造成网站发生被黑客攻击入侵网络安全事件的翠屏区教师培训与教育研究中心处一万元罚款, 其法定代表人唐某处五千元罚款。

公安机关作为网络安全的主管机关之一, 在《网络安全法》配套规定和国家标准逐步完善之后, 将对网络安全等级保护制度作为网络安全领域的重点工作予以推进。因此, 企业不应存有侥幸心理, 而应积极落实网络安全等级保护义务。

三、网络安全等级保护制度的落实

网络安全等级保护制度包括法律和技术制度, 企业仅靠自身力量实施等保义务的难度较大, 宜聘请专业的律所以及有资质的评测机构协助落实。对于法律明确要求的义务, 企业应当立即落实：

（1） 制定内部安全管理制度和操作规程, 确定网络安全负责人；

（2） 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（3） 采取监测、记录网络运行状态、网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月；

（4） 采取数据分类、重要数据备份和加密等措施。

四、应当注意的问题

1、定级由评测机构和专业机构说了算？

虽然聘请了专业的评测机构进行评测以帮助落实等保义务, 但是对于网络信息系统定级准确性的责任由企业承担。因此, 评测机构仅提出等级建议, 最终的级别需要企业正确把握。对于确定为第二等级以上的, 应当在等级确定后30日内向所在地设区的市级公安机关备案。

2、一次等保抑或重复等保？

对定级为三级或三级以上的网络运营者而言, 等保评测与定级并非一劳永逸的事情, 三级网络运营者应当至少每一年进行一次评测和自查, 四级网络运营者应当至少每半年进行一次评测和自查。

3、采取SaaS等网络构架和租用云服务的网络运营者不承担等保义务？

当前采取SaaS、PaaS、Issa等网络构架或者租用云服务或系统由他人托管的情况比较普遍, 在前述情况下企业仍然负有落实等保的法律义务, 应参照相关国家标准与网络服务商根据网络边界切分厘清双方责任。

【推荐书籍】

网络安全法与网络安全等级保护制度培训教程（2018版）

作者：郭启全 等