咨询热线:
135-0000-00001、 法规、政策部分
1.1、1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
1.2、2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
1.3、2004年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《关于信息安全等级保护工作的实施意见》明确指出“实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
在该意见中还明确了信息安全等级保护制度遵循以下基本原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护;
1.4、2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发了《信息安全等级保护管理办法》(公通字[2007]43号),在该办法第七条明确“信息系统的安全保护等级分为五级”,第十四条明确“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。” 第十五条“已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。”
1.5、2011年内蒙古自治区人民政府颁布《内蒙古自治区计算机信息系统安全保护办法》(自治区政府183号令),该办法第六条“计算机信息系统运营、使用单位应当遵守下列规定: 对计算机信息系统安全保护等级准确定级,并按照等级保护管理规范和技术标准实施保护;新建计算机信息系统的,应当在规划、设计阶段确定安全保护等级,同步建设符合该安全保护等级要求的信息系统安全保护设施,落实安全保护措施”,第九条“计算机信息系统涉及国家安全、社会公共利益、重大经济建设等信息的,其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况进行测评。第二级以上计算机信息系统建设完成后,经测评合格方可投入使用”。第十条“计算机信息系统确定为第二级保护等级的,应当每两年至少进行一次系统安全等级测评;确定为第三级的,应当每年至少进行一次系统安全等级测评;确定为第四级以上的,应当每半年至少进行一次系统安全等级测评”
1.6、2012年自治区发改委、自治区公安厅、自治区财政厅、自治区保密局、自治区内网办联合发《关于进一步加强国家电子政务网络建设和应用工作的通知》(内发改高技字[2012]2242),该通知第四条“严格电子政务建设项目管理:自治区各级政务部门新建和续建电子政务建设项目,安全设施要与项目同步规划、同步建设、同步验收……项目验收前,项目建设单位应接受取得自治区安全等级保护协调小组办公室出具备案证明且具备资质的测评机构对涉密和不涉密项目进行分级或等级测评和风险评估,测评费列入总投资。”
1.7、2015年11月1日 刑法修正案(九)第二百八十六条之一网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
1.8、网络安全法:全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。(专用幻灯片专门讲解)。
2、 技术部分:
等保是国家现在最具权威的网络安全标准体系,技术标准分两大方面:技术和管理,技术有五个部分:物理、网络、主机、应用、数据安全与备份,管理有五个部分:系统运维管理、系统建设管理、人员安全管理、安全制度管理、安全机构管理。
