为什么要开展等级保护工作?
1)通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
2)等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》。
3)很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。
4)落实个人及单位的网络安全保护义务,合理规避风险。
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
接下来从法律要求、安全要求、行业要求三个层面说明为什么要做等保。
法律要求层面
等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例 》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。
2017年《网络安全法》生效,生效后等级保护由“信息安全”等级保护转变为“网络安全”等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。
同时,在《网络安全法》生效后,国家大力开展“净网行动”,就有大量因未履行等级保护义务而受到处罚的执法案例。
- 2018年11月,上海某不锈钢管有限公司互联网信息系统发生重大网络安全事件,并对公共互联网安全产生严重威胁。市通信管理局依据《网络安全法》、工业和信息化部《公共互联网网络安全威胁监测与处置办法》等有关要求,组织相关网络接入服务单位对涉事系统采取停止服务和屏蔽措施,及时阻断网络安全威胁的扩散;同时,责令涉事单位暂停相关系统的互联网信息服务,限期落实网络安全整改,在整改工作完成之前,涉事系统及其关联平台不得上线。
- 2019年1月,宜宾学院因网络安全责任意识淡薄、联网备案制度和网络安全等级保护制度落实不到位,导致“移动图书馆馆藏书目查询平台”的页面被攻击篡改。宜宾市翠屏区公安分局网安大队依据《网络安全法》,对宜宾学院作出罚款80000元,对直接负责的主管人员作出罚款10000元的处罚;依据《计算机信息网络国际联网安全保护管理办法》,对学院“移动图书馆馆藏书目查询平台”未履行备案职责,作出停机整顿六个月的处罚。
- 2019年4月,江苏某通信技术公司因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致该公司业务管理系统遭受攻击破坏。南京警方依据《网络安全法》第21条、第59条规定,对该公司予以罚款10000元,对法人袁某(男,66岁,南京人)予以罚款5000元,同时责令限期整改,落实网络安全等级保护制度。
- 2019年5月,重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆”,经过民警和技术专家调查核实,该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。公安部门按照公安部“一案双查”工作要求,对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按照《中华人民共和国网络安全法》第59条之规定,对医院处以罚款10000元,对直接负责的主管人员处以罚款5000元的行政处罚。
- ......
从诸多案例中可以看到,大量执法案例的发生围绕着等级保护制度,并且大多是在网站发生安全事故以后,被公安部门所处罚,而且不乏对企业负责人的处罚。《网络安全法》与等级保护已经不仅是需要IT或者安全部门关注的事项,同样成为企业法务、合规工作中不可回避的问题。
安全要求层面
等级保护制度可有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,维护国家信息安全,有效提高企业信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本,有利于企业明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
以新明确的等级保护对象物联网为例,新标准中对于物联网的等级保护,依据物联网架构的三个逻辑层次,即感知层、网络传输层和处理应用层,提出了具体的技术要求。
而利用葫芦娃集团推出的网络安全等级保护测评服务,即可按照感知层、传输层、应用层的体系框架,针对安全通用要求和物联网安全扩展要求,制定立体性、先进性和综合性的物联网等保合规解决方案。
不管是物联网或其他等保对象,通过开展等级保护工作,可及时发现系统与国家安全标准之间存在的差距,查明系统内部存在的安全隐患与不足之处,通过安全整改,提升系统的安全防护能力,降低被攻击的风险,减少不必要的财产损失。
行业要求层面
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。
- 2016年4月的《互联网金融风险专项整治工作实施方案》中指出,由公安部负责“指导、监督、检查互联网金融从业机构落实等级保护工作,监督指导互联网金融网站依法落实网络和信息安全管理制度、措施,严厉打击侵犯用户个人信息安全的违法犯罪活动”。即所有互联网金融平台都必须通过等保测评。
- 2018年9月,国家卫生健康委员会发布《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》,对互联网医院信息安全、人员资质、监督管理等进行了规范,明确提出了互联网医院要实施第三级信息安全等级保护等规定。
- 2019年3月,教育部办公厅关于印发《2019年教育信息化和网络安全工作要点》的通知,提出深入贯彻落实《网络安全法》,根据落实网络安全等级保护制度的要求,进一步完善相关管理制度和标准规范。持续推进网络安全监测预警通报机制,建立常态化的通用软件安全评估机制;完善网络安全信息通报机制,加强与省级教育行政部门的信息共享,提高安全威胁信息的质量和针对性。
- ......
各行业的管理办法无不透露一点:等保已成为许多行业的必需品。
同时,等保测评是监管机构指定的备案材料,是监管检查的依据,也是国家发改委等一些单位项目验收的必要步骤。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的保障,是网络安全防护工作中国家意志的体现。葫芦娃集团推出的网络安全等级保护测评,帮助工作人员完成等级保护建设工作的同时,切实提升网络安全防护能力,使客户信息系统或网络满足国家等级保护基本要求,全方位助力互联网安全发展。
网络安全威胁事件频发,没有网络安全就没有国家安全,国家对网络安全重视程度进一步提高。2015年至今网络安全威胁事件层出不穷,从沙特民航系统被黑、美国遭史上最大规模DDoS攻击东海岸网站集体瘫痪、乌克兰电网被攻击、俄罗斯央行被黑客入侵造成3100万美元损失、WannaCry病毒全球大爆发超10万机构组织被攻陷到中国社保系统被曝漏洞等等,从政府机关、金融、能源到互联网公司,各行业几乎都受到网络攻击、病毒的威胁。网络安全是经济全球化和社会信息化的前提,也是国家安全和社会稳定的基础,没有网络安全就没有国家安全,因此各国政府、企业都提高了对网络安全的重视。
网络安全等级保护是指对国家重要信息、法人和公民等的专有信息、公开信息,以及存储、传输、处理上述信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,其发展历程已有20余年。随着云计算、物联网等新技术的发展,网络安全态势越发复杂,等保1.0标准已不适用,等保体系升级是必然选择。升级后的等保2.0体系根据信息技术的发展和网络安全的态势,不断丰富等保内容和保护范围。
等保2.0的定级,不是自主定级,而是参照定级指南进行定级,是一种强制定级。管理策略也由之前等保1.0的“自主定级、自主保护、监督指导”转向为等保2.0的“明确等级、增强保护、常态监督”。修改后的定级工作包括5个环节:确定定级对象——初步定级——专家评审——主管部门审核——公安机关备案审查,相比等保1.0增加了专家评审和主管部门审核两个环节。等保定级(定级工作已于2008年完成):根据《信息安全等级保护定级指南》,信息系统的安全保护等级分为以下五级:
第一级信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
自2015年7月发布的《国家安全法》首次明确了“维护国家网络空间主权”后,“网络空间”正式成为继海、陆、空、天后的第五疆域,网络安全成为了国家安全的重点工作予以部署。随后,《网络安全法》、《网络安全等级保护条例(征求意见稿)》、网络安全等级保护制度2.0标准以及《国家网络安全产业发展规划》相继出台,网络安全被划入“十三五”规划的重点建设方向,这为我国信息安全市场产业的有序发展提供了良好的政策保障和法律依托,进一步刺激信息安全市场需求。
社会信息安全防护意识的提高、政策不断驱动以及新兴安全市场的逐步发展,网络信息安全行业的投资力度不断加大,行业市场规模快速增长。根据赛迪顾问数据预计,2021年全球网络信息安全市场规模将超过1500亿美元。
行行查,行业研究数据库
