爆米花

网络安全等级保护制度的主要内容有哪些

分享
回答 1
浏览 837
  • X0_0X 2 等保中级测评师 CICSA
    X0_0X2 等保中级测评师 CICSA

    网络安全等级保护制度的主要内容有:

    • 网络定级

      网络运营者应当依照有关政策标准,在规划设计阶段确定网络的安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应依照有关政策标准变更网络的安全保护等级。关键信息基础设施应当在第三级以上的网络中确定。

      网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核准、公安机关审核的流程进行。网络运营者按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》(GA/T 1389-2017)拟定网络安全保护等级。

      对拟定为第二级的网络,网络运营者应聘请网络安全等级保护专家进行定级评审;有行业主管部门的,还应报请行业主管部门核准。跨省或者全国统一联网运行的网络,可以由行业主管部门统一拟定安全保护等级,统一组织定级评审。行业主管部门可依据国家标准规范,结合本行业网络特点制定行业定级指导意见。

    • 网络备案

      第二级以上网络的运营者,应当在网络的安全保护等级确定后十个工作日内,到所在地设区的地市级以上公安机关网络安全保卫部门办理备案手续,提交定级报告。因网络撤销或变更调整安全保护等级的,应当在十个工作日内向原受理备案公安机关办理备案撤销或变更手续。第三级以上网络运营者(含关键信息基础设施运营者)在向公安机关备案时,还应当提交测评报告、经专家评审通过的安全建设方案等其他有关材料。

      公安机关应当按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)的要求,对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在十个工作日内出具网络安全等级保护备案证明;对定级不准确、备案材料不符合要求的,应当通知备案单位进行修改。

    • 网络安全建设整改

      网络安全保护等级确定后,网络运营者应按照《管理办法》《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等有关管理规范和技术标准,选择《管理办法》要求的网络安全产品,制定并落实安全管理制度,落实安全责任,建设安全设施,落实安全技术措施。

      网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:一是确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;二是落实安全管理措施和技术保护措施,建立人员管理、教育培训、系统安全建设、系统安全运维等制度,落实网络安全保护责任;三是落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;四是落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;五是落实监测、记录网络运行状态、网络安全事件的管理和技术措施,并按照规定留存六个月以上的相关网络日志;六是落实数据分类、重要数据备份和加密等措施;七是落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;八是对网络中发生的案(事)件,应当在二十四小时内向属地公安机关报告;九是法律、行政法规规定的其他网络安全保护义务。

      第三级以上的网络运营者(含关键信息基础设施运营者)除履行上述网络安全保护义务外,还应当履行下列安全保护义务:一是确定网络安全等级保护机构,明确网络安全部门的岗位职责,对系统变更、系统接人、运维和技术保障单位变更等事项建立逐级审批制度;二是制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,经专家评审通过后方可实施;三是对关键岗位人员的身份、背景、专业资格和从业资质等进行安全审查,对关键岗位人员落实持证上岗制度;四是对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全审查;五是落实网络安全监测预警措施,对网络运行状态、网络流量、用户行为、网络安全事件等进行监测分析;六是落实重要网络设备、安全监测、应急处置、通信链路及系统的冗余、备份和恢复措施;七是建立网络安全检测评估制度,定期开展安全审计、安全检测评估,并将检测评估情况及安全整改措施、整改结果向公安机关和有关部门报告;八是法律和行政法规规定的其他网络安全保护义务。

    • 等级测评

      网络建设整改完成后,第三级以上网络运营者(含关键信息基础设施运营者)应每年开展一次网络安全等级测评,主动发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向受理备案的公安机关报告。网络运营者应从国家信息安全等级保护工作协调小组办公室公布的等级保护测评机构目录中选择测评机构,依据《管理办法》《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》,对网络安全保护状况开展等级测评,按照《信息系统安全等级测评报告模版》编写等级测评报告。

      新建网络上线运行前应自行或委托网络安全服务机构对网络的安全性进行检测评估。第三级以上网络(含关键信息基础设施)上线运行前应当选择符合要求的网络安全等级测评机构,按照网络安全等级保护有关标准规范进行等级测评,并进行源代码审查,通过等级测评后方可投入运行。

      网络运营者应当对检测评估、等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。关键信息基础设施运营者应当制定安全建设整改方案,通过专家评审后方可实施。

    • 自查和监督检查

      网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况,至少开展一次自查,发现安全风险隐患及时整改,并向受理备案的公安机关报告。

      公安机关依据《管理办法》和《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号),监督检查网络运营者开展等级保护工作,定期对第三级以上的信息系统进行安全检查。网络运营者应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

      在检查工作中,公安机关要依据公安机关网络安全执法检查工作指引,政府信息系统及网站安全执法检查工作指引,云计算平台安全执法检查丁作指引,大数据服务安全执法检查工作指引,工作控制系统安全执法检查工作指引,视频监控系统安全执法检查工作指引,移动App系统安全执法检查工作指引,邮件系统安全执法检查工作指引,以及IDC、CDN、DNS安全执法检查工作指引等,开展网络安全执法检查。

    分享
    微信二维码
    • 推荐文章
    相关问题
    热门回答
    写回答
    © 2022 WANGAN.COM 帮助网安从业者成长;关注产业发展,做网络安全忠诚卫士!