一、网络安全等级保护制度的前身 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》(下称《计算机安保条例》)最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部会同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 《网络安全法》确认并更新了等级保护(下称“等保”)制度的内容。同时, 相关配套的国家标准正在制定、修订或完善中。 二、企业有义务落实等级保护制度 不少企业认为, 网络安全等保制度与自己企业关系不大。在《网络安全法》正式施行前也许确实如此, 《计算机安保条例》第四条规定“计算机信息系统的安全保护工作, 重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”。但是, 与《计算机等保条例》有限的适用范围不同, 《网络安全法》规定网络运营者均负有实施网络安全等级保护制度的义务。并且, 《网络安全法》第五十九条明确规定, 未落实网络安全等级保护义务的“由有关主管部门责令改正, 给予警告; 拒不改正或者导致危害网络安全等后果的, 处一万元以上十万元以下罚款, 对直接负责的主管人员处五千元以上五万元以下罚款。” 三、网络安全等级保护制度的落实 网络安全等级保护制度包括法律和技术制度, 企业仅靠自身力量实施等保义务的难度较大, 宜聘请专业的律所以及有资质的评测机构协助落实。对于法律明确要求的义务, 企业应当立即落实: (2) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (3) 采取监测、记录网络运行状态、网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月; (4) 采取数据分类、重要数据备份和加密等措施。 四、应当注意的问题 1、定级由评测机构和专业机构说了算? 网络安全法与网络安全等级保护制度培训教程(2018版)作者:郭启全 等 |
|
来自: qingse1976 > 《我的图书馆》