组织为什么要实施网络安全等级保护
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了组织为什么要实施网络安全等级保护相关的知识,希望对你有一定的参考价值。
现行已实施三年的《网络安全法》中要求国家实行网络安全等级保护制度,以下为《网络安全法》摘抄的条款内容(51cto学院搜索:网络安全等级保护2.0实践体系课程),具体涉及等级保护的法律条款如下:
第三章 网络运行安全
第一节 一般规定
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络*、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二节 关键信息基础设施的运行安全
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
《关键信息基础设施确定指南》(试行)中关于关键信息基础设施认定的划分类型:
(一)、什么是关键信息基础设施
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
(二)、如何确定关键信息基础设施
关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
1.确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
2.确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
3.认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类**
符合以下条件之一的,可认定为关键信息基础设施:
- 县级(含)以上党政机关网站。
- 重点新闻网站。
- 日均访问量超过100万人次的网站。
- 一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生活; (3)造成超过100万人个人信息泄露; (4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露; (6)严重损害政府形象、社会秩序,或危害国家安全。
- 其他应该认定为关键信息基础设施。
B.平台类
符合以下条件之一的,可认定为关键信息基础设施:****
1.注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。- 日均成交订单额或交易额超过1000万元。
3.一旦发生网络安全事故,可能造成以下影响之一的:
(1)造成1000万元以上的直接经济损失;
(2)直接影响超过1000万人工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
C.生产业务类
符合以下条件之一的,可认定为关键信息基础设施:
1.地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。
2.规模超过1500个标准机架的数据中心。- 一旦发生安全事故,可能造成以下影响之一的:
(1)影响单个地市级行政区30%以上人口的工作、生活;
(2)影响10万人用水、用电、用气、用油、取暖或交通出行等;
(3)导致5人以上死亡或50人以上重伤;
(4)直接造成5000万元以上经济损失;
(5)造成超过100万人个人信息泄露;
(6)造成大量机构、企业敏感信息泄露;
(7)造成大量地理、人口、资源等国家基础数据泄露;
(8)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
通过《网络安全法》条款的内容来看(51cto学院搜索:网络安全等级保护2.0实践体系课程),如果是涉及关键信息基础设施的信息系统是要等保三级及以上的,反之信息系统定为等保二级即可。
以上是关于组织为什么要实施网络安全等级保护的主要内容,如果未能解决你的问题,请参考以下文章
新版网络安全等级保护测评报告模板包含哪些内容?哪里可以找到?