咨詢熱線:
135-0000-00001、 法規、政策部分
1.1、1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》(國務院第147號令)規定,“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。
1.2、2003年中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出,“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。
1.3、2004年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合印發的《關于信息安全等級保護工作的實施意見》明確指出“實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,對信息系統分級實施保護,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。
在該意見中還明確了信息安全等級保護制度遵循以下基本原則:明確責任,共同保護;依照標準,自行保護;同步建設,動態調整;指導監督,重點保護;
1.4、2007年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合印發了《信息安全等級保護管理辦法》(公通字[2007]43號),在該辦法第七條明確“信息系統的安全保護等級分為五級”,第十四條明確“信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。” 第十五條“已運營(運行)的第二級以上信息系統,應當在安全保護等級確定后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統,應當在投入運行后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。”
1.5、2011年內蒙古自治區人民政府頒布《內蒙古自治區計算機信息系統安全保護辦法》(自治區政府183號令),該辦法第六條“計算機信息系統運營、使用單位應當遵守下列規定: 對計算機信息系統安全保護等級準確定級,并按照等級保護管理規范和技術標準實施保護;新建計算機信息系統的,應當在規劃、設計階段確定安全保護等級,同步建設符合該安全保護等級要求的信息系統安全保護設施,落實安全保護措施”,第九條“計算機信息系統涉及國家安全、社會公共利益、重大經濟建設等信息的,其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構,依據國家規定的技術標準,對計算機信息系統安全等級狀況進行測評。第二級以上計算機信息系統建設完成后,經測評合格方可投入使用”。第十條“計算機信息系統確定為第二級保護等級的,應當每兩年至少進行一次系統安全等級測評;確定為第三級的,應當每年至少進行一次系統安全等級測評;確定為第四級以上的,應當每半年至少進行一次系統安全等級測評”
1.6、2012年自治區發改委、自治區公安廳、自治區財政廳、自治區保密局、自治區內網辦聯合發《關于進一步加強國家電子政務網絡建設和應用工作的通知》(內發改高技字[2012]2242),該通知第四條“嚴格電子政務建設項目管理:自治區各級政務部門新建和續建電子政務建設項目,安全設施要與項目同步規劃、同步建設、同步驗收……項目驗收前,項目建設單位應接受取得自治區安全等級保護協調小組辦公室出具備案證明且具備資質的測評機構對涉密和不涉密項目進行分級或等級測評和風險評估,測評費列入總投資。”
1.7、2015年11月1日 刑法修正案(九)第二百八十六條之一網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露,造成嚴重后果的;
(三)致使刑事案件證據滅失,情節嚴重的;
(四)有其他嚴重情節的。
單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。
有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。
1.8、網絡安全法:全國人民代表大會常務委員會于2016年11月7日發布,自2017年6月1日起施行。第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務。第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。(專用幻燈片專門講解)。
2、 技術部分:
等保是國家現在最具權威的網絡安全標準體系,技術標準分兩大方面:技術和管理,技術有五個部分:物理、網絡、主機、應用、數據安全與備份,管理有五個部分:系統運維管理、系統建設管理、人員安全管理、安全制度管理、安全機構管理。
