网络信息安全等级保护一站式服务网,助力企业快速通过等保备案!

您当前的位置:主页 > 资讯中心 > 行业动态 >

等级保护VS信息安全 两者之间关系对比

2019-05-16 15:34 等级保护一站通

  2017年6月1日《网络安全法》正式施行,该法的公布也标志着國家网络信息安全等级保护工做宣布进到2.0时期,是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是中国网络环境法治建设的关键转折点,是依法治网、解决互联网危害性的法规重器,是让互连网在法治路轨上运作的关键保障。

  网络安全法明确等级保护工作重点

  将网络安全法中与等级保护有关的条款进行解读分析,从网络安全法角度梳理出我们等级保护工作的重点和核心。

  《网络安全法》第二十一条说明如下:

  第二十一条 国家实行网络安全等级保护制度。

  网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

  解读:本条要求的是互联网经营者的责任。

  条款提起的网络安全等级保护制度与司法部营运数年的信息系统安全等级保护制度(即等级保护1.0)有特别大的关系,也表明我国会修定和出台有关“网络安全等级保护”的相关配套制度(即等级保护2.0),目前等级保护2.0标准体系的修订工作已基本完成,近期即将实行。
全球互联网

  (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

  解读:通常第一首要责任人是企业领导,厅长、局长、院长、校长等干部,第二主要责任人是企业具体分管信息系统、分管网络安全的领导,副厅长、副局长、副院长、副校长或总工等。

  (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

  解读:通常情况下防火墙、IDS、IPS、防病毒网关、杀毒软件和防DDOS攻击系统等属于这类技术措施。

  (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

  解读:网络审计、行为审计、运维审计、日志管理分析、安全管理系统和态势感知平台等都属于这方面技术措施。

  (四)采取数据分类、重要数据备份和加密等措施;

  解读:数据安全越来越重要,等保方案需要充分考虑数据备份、数据传输和数据存储安全等内容。

  (五)法律、行政法规规定的其他义务。

  通过以上解读,了解了网络安全法明确等级保护工作的重点,接下来再聊聊网络安全法如何明确等级保护工作的核心。

  网络安全法明确等级保护工作核心

  第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

  1.关键信息基础设施的具体范围和安全保护办法由国务院制定。

  解读:等级保护工作的关键是重要信息基础设施,本条首先定义了什么是关键信息基础设施。

  国家互联网信息办室已于2017年7月发布《关键信息基础设施安全保护条例(征求意见稿)》,参照网络安全法和重要信息基础设施安全保护规章等法律法规要求,关键信息基础设施的评定可参照下表:


信息基础设施表
信息基础设施表
信息基础设施表

  2.关键信息基础设施的安全保护义务

  第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。

  解读:本条款说明关键信息基础设施的保护要求超出网络安全等级保护制度的一般标准,从制度、培训、灾备、应急等领域提出了进一步要求。

  第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。

  3.敏感信息保存

  第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。

  确需向境外提供的,应进行安全评估。

  解读:本条是外资企业和有海外业务的国内企业很关注的一条。

  主要是关于信息境内存储和境外信息流动的情况。

  主要是网络数据安全。

  这里有两个关键字,一个是“重要数据”,什么叫重要数据,有关的普遍说法还有“业务数据”、“运营数据”“、服务数据”、“个人数据”、“企业数据”、“国家数据”,专家认为,重要数据是以影响因子的权重来区分数据,是一种新的数据分类方式,而不是从用途和归属的角度去分类。

  另一个关键字是“安全评估”,这个安全评估的形式是将来要出台的配置制度。

  有关难题也不太清楚,比如评估对象的情况,是对要流向境外的数据进行评估?

  还是对工作的方式进行评估?

  还有谁来评估的问题,是主管单位来评估,还是运营者自身进行评估?

  本条表明了今后会颁布“向海外提供关键信息基础设施重要数据的安全评估办法”。

  第六十六条 运营者违反规定的,没收违法所得,罚款5-50万元,吊销执照,直接责任人罚款1-10万元。

  4.风险检测评估

  第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门。

  解读:本条主要是关于对关键信息基础设施年度检测评估的问题。

  这里提到了网络安全保障服务部门,也是我们常说的提供风险评估等各类安全服务的机构,这些机构以后又多了一项业务了。

  第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。

  以上上述是等级保护与网络安全法的关系,看起来类似,其实隔阂不浅。安全保护等级越高,安全保护能力就越强。等级保护是筑起了我国网络和信息安全的重要防线,保障避免了单位和企业网络和信息系统的安全隐患和不足,而如今不做等保也算是违反规定了,等保通专做等级保护的机构,凭借其短、平、快(周期短、价格低、快速获得等保)的优势赢得广大客户的认可。

如有疑问,无须注册马上在线咨询 点击在线咨询

相关阅读

  • 免费服务热线:

    周一至周日 8:00-22:00

    400-133-0633

  • 微信扫描

    即可开始对话

    等保通客服二维码
等保通让企业一次性低费用快速通过等级保护备案!
咨询热线:400-133-0633