網(wǎng)絡(luò)安全法與等級保護(hù)

網(wǎng)絡(luò)安全法與等級保護(hù)12021/5/9一、網(wǎng)絡(luò)安全法二、信息安全等級保護(hù)目錄22021/5/9一、網(wǎng)絡(luò)安全法32021/5/9制定網(wǎng)絡(luò)安全法的意義

《網(wǎng)絡(luò)安全法》是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑，是依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險的法律重器，是讓互聯(lián)網(wǎng)在法治軌道上健康運行的重要保障。

《網(wǎng)絡(luò)安全法》將近年來一些成熟的好做法制度化，并為將來可能的制度創(chuàng)新做了原則性規(guī)定，為網(wǎng)絡(luò)安全工作提供切實法律保障。42021/5/91、總體框架

共7章79條。

第一章 總 則第二章 網(wǎng)絡(luò)安全支持與促進(jìn)第三章 網(wǎng)絡(luò)運行安全

第一節(jié) 一般規(guī)定

第二節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全第四章 網(wǎng)絡(luò)信息安全第五章 監(jiān)測預(yù)警與應(yīng)急處置第六章 法律責(zé)任第七章 附 則（一）綜述52021/5/92、定位是互聯(lián)網(wǎng)領(lǐng)域、網(wǎng)絡(luò)安全的基礎(chǔ)性法律。是黨的十八大以來的又一部重要法律。3、制定過程2013年下半年提上日程，2014年形成草案，15年初形成征求意見稿，15年6月一審，16年6月二審、10月31日三審、11月7日人大通過，2017年6月1日起施行。154票贊成、0票反對、1票棄權(quán)。62021/5/9

確立了網(wǎng)絡(luò)安全法律規(guī)范的基本原則明確了網(wǎng)絡(luò)安全工作的重點提出制定網(wǎng)絡(luò)安全戰(zhàn)略，明確網(wǎng)絡(luò)空間治理目標(biāo)完善了網(wǎng)絡(luò)安全監(jiān)管體制強化了網(wǎng)絡(luò)運行安全，重點保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施完善了網(wǎng)絡(luò)安全義務(wù)和責(zé)任將監(jiān)測預(yù)警與應(yīng)急處置措施制度化、規(guī)范化制定網(wǎng)絡(luò)安全法的意義72021/5/95、有關(guān)概念網(wǎng)絡(luò)：是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。網(wǎng)絡(luò)安全：是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。82021/5/9網(wǎng)絡(luò)運營者：是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。網(wǎng)絡(luò)數(shù)據(jù)：是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。個人信息：是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。92021/5/9第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)。第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。（等級測評）網(wǎng)絡(luò)安全等級保護(hù)制度（上升為法律）102021/5/9

（1）安全風(fēng)險評估要求①具體內(nèi)容：應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能風(fēng)險每年至少1次檢測評估；檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)部門。②法律責(zé)任：由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處10-100萬罰款，對直接負(fù)責(zé)的主管人員處1-10萬罰款。網(wǎng)絡(luò)安全法要求及處罰112021/5/9（2）網(wǎng)絡(luò)安全等級保護(hù)要求①具體內(nèi)容：制度建設(shè)與負(fù)責(zé)人；安全防范技術(shù)措施；不少于6個月的安全日志；數(shù)據(jù)分類與備份加密。②法律責(zé)任：責(zé)令改正及警告；警告不改罰款公司1-10萬，主管5千-5萬。網(wǎng)絡(luò)安全法要求及處罰122021/5/9（3）安全技術(shù)措施同步要求①具體內(nèi)容：建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。②法律責(zé)任：由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處10萬元以上100萬元以下罰款，對直接負(fù)責(zé)的主管人員處1萬元以上10萬元以下罰款。網(wǎng)絡(luò)安全法要求及處罰132021/5/9（4）采購安全保密要求①具體內(nèi)容:采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。②法律責(zé)任：責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處10-100萬罰款，對直接負(fù)責(zé)的主管人員處1-10萬罰款。網(wǎng)絡(luò)安全法要求及處罰142021/5/9（5）信息與數(shù)據(jù)境內(nèi)存儲及跨境數(shù)據(jù)傳輸?shù)陌踩u估要求①具體內(nèi)容:境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲；需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。②法律責(zé)任：責(zé)令改正，給予警告，沒收違法所得；處5-50萬罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負(fù)責(zé)主管和直接責(zé)任人處1-10萬罰款。網(wǎng)絡(luò)安全法要求及處罰152021/5/9（6）應(yīng)急預(yù)案要求①具體內(nèi)容：制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案；按照規(guī)定向有關(guān)主管部門報告。②法律責(zé)任：責(zé)令改正及警告；警告不改罰款

公司1-10萬，主管5千-5萬。網(wǎng)絡(luò)安全法要求及處罰162021/5/9

根據(jù)《網(wǎng)絡(luò)安全法》第六章-法律責(zé)任相關(guān)條款解釋：本法律處罰力度空前嚴(yán)格，處罰不僅涉及到企業(yè)，而且涉及到法人、管理人員、一般員工等多個層面；既有經(jīng)濟(jì)處罰，也有行政處罰。對于違法問題有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者情節(jié)嚴(yán)重的，處一萬元以上一百萬元以下罰款，并可以由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五千元以上十萬元以下罰款。尚不構(gòu)成犯罪的，由公安機關(guān)沒收違法所得，處五日以下拘留，可以并處五萬元以上五十萬元以下罰款；情節(jié)較重的，處五日以上十五日以下拘留，可以并處十萬元以上一百萬元以下罰款。受到治安管理處罰的人員，五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作；受到刑事處罰的人員，終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。172021/5/9

《網(wǎng)絡(luò)安全法》自2017年6月1日正式實施，網(wǎng)絡(luò)安全等級保護(hù)制度已經(jīng)上升為法律規(guī)定的強制義務(wù)，這是我國自1994年發(fā)布實施《中華人民共和國計算機信息系統(tǒng)保護(hù)條例》將“等級保護(hù)”明確為我國計算機安全保護(hù)的根本制度以來，首次將其寫入法律。從實施以來已經(jīng)處罰騰訊微信、新浪微博、百度貼吧、boss直聘、京東、淘寶網(wǎng)、蝦米音樂網(wǎng)、蘑菇街互動網(wǎng)等上百家的企事業(yè)單位。對于違反《網(wǎng)絡(luò)安全法》的處罰視情節(jié)嚴(yán)重，處罰措施分為：1、責(zé)令改正，給予警告；2、拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，對企業(yè)處1-100萬罰款，對直接負(fù)責(zé)的主管?員和其他直接責(zé)任人員處1-10萬罰款；3、并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。182021/5/9二、信息安全等級保護(hù)192021/5/9信息安全等級保護(hù)定義

《信息安全等級保護(hù)管理辦法（試行）》：信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置?！缎畔踩燃壉Ｗo(hù)管理辦法》國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護(hù)，對等級保護(hù)工作的實施進(jìn)行監(jiān)督、管理。202021/5/9

第一級為自主保護(hù)級，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成一定損害，但不損害國家安全、社會秩序和公共利益。

第二級為指導(dǎo)保護(hù)級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。劃分準(zhǔn)則--GB17859-1999

第三級為監(jiān)督保護(hù)級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

第四級為強制保護(hù)級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級為?？乇Ｗo(hù)級，適用于涉及國家安全的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。212021/5/9實施指南－－GB/T25058-2010等級保護(hù)實施過程基本原則主要過程及其活動角色、職責(zé)基本流程等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行維護(hù)信息系統(tǒng)終止國家管理部門信息系統(tǒng)主管部門信息系統(tǒng)運營、使用單位信息安全服務(wù)機構(gòu)信息安全等級測評機構(gòu)信息安全產(chǎn)品供應(yīng)商22222021/5/9等級保護(hù)之十大標(biāo)準(zhǔn)基礎(chǔ)類《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級保護(hù)實施指南》GB/T25058-2010

應(yīng)用類定級：《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008

建設(shè)：《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008

《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006

《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》GB/T25070-2010

測評：《信息系統(tǒng)安全等級保護(hù)測評要求》GB/T28448-2012《信息系統(tǒng)安全等級保護(hù)測評過程指南》GB/T28449-2012管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006

《信息系統(tǒng)安全工程管理要求》GB/T20282-2006

23232021/5/97、系統(tǒng)服務(wù)安全等級等級保護(hù)定級指南－－GB/T22240保護(hù)對象受到破壞時受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護(hù)定級方法保護(hù)對象對客體的侵害程度客體：社會關(guān)系受侵害的客體信息系統(tǒng)安全系統(tǒng)服務(wù)安全業(yè)務(wù)信息安全3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體4、業(yè)務(wù)信息安全等級8、定級對象的安全保護(hù)等級8＝MAX（4，7）1、確定定級對象（系統(tǒng)邊界）一般流程等級確定24242021/5/9安全保護(hù)等級信息系統(tǒng)定級結(jié)果的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保護(hù)要求（最低）保護(hù)能力對抗能力＋恢復(fù)能力技術(shù)要求＋管理要求物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)制度、機構(gòu)、人員、建設(shè)、運維縱深防御、互補關(guān)聯(lián)、強度一致、

平臺統(tǒng)一、集中安管業(yè)務(wù)信息安全類要求S系統(tǒng)服務(wù)保證類要求A通用安全保護(hù)類要求G整體安全保護(hù)能力關(guān)鍵控制點安全類具體要求項控制強度基本要求－－GB/T22239基本保護(hù)要求（最低）保護(hù)能力對抗能力＋恢復(fù)能力物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)制度、機構(gòu)、人員、建設(shè)、運維縱深防御、互補關(guān)聯(lián)、強度一致、

平臺統(tǒng)一、集中安管通用安全保護(hù)類要求G關(guān)鍵控制點安全類252021/5/9等級保護(hù)的內(nèi)容－十個方面業(yè)務(wù)安全物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理262021/5/9272021/5/9安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528控制項28基本要求－－GB/T22239282021/5/9物理位置的選擇基本防護(hù)能力高層、地下室物理訪問控制基本出入控制分區(qū)域管理在機房中的活動電子門禁防盜竊和防破壞存放位置、標(biāo)記標(biāo)識監(jiān)控報警系統(tǒng)防雷擊建筑防雷、機房接地設(shè)備防雷防火滅火設(shè)備、自動報警自動消防系統(tǒng)區(qū)域隔離措施防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護(hù)線纜隔離接地防干擾電磁屏蔽防水和防潮溫濕度控制物理安全的整改要點292021/5/9結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過濾撥號訪問限制會話終止安全審計日志記錄審計報表邊界完整性檢查內(nèi)部的非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全的整改要點子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬重要網(wǎng)段部署路由控制帶寬分配優(yōu)先級端口控制最大流量數(shù)及最大連接數(shù)防止地址欺騙審計記錄的保護(hù)定位及阻斷入侵防范檢測常見攻擊記錄、報警惡意代碼防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)設(shè)備防護(hù)基本的登錄鑒別組合鑒別技術(shù)特權(quán)用戶的權(quán)限分離302021/5/9身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)用戶的權(quán)限分離安全審計服務(wù)器基本運行情況審計審計報表剩余信息保護(hù)空間釋放及信息清除主機安全的整改要點組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作審計記錄的保護(hù)入侵防范最小安裝原則重要服務(wù)器：檢測、記錄、報警惡意代碼防范主機與網(wǎng)絡(luò)的防范產(chǎn)品不同資源控制監(jiān)視重要服務(wù)器最小服務(wù)水平的檢測及報警重要客戶端的審計升級服務(wù)器重要程序完整性防惡意代碼軟件、代碼庫統(tǒng)一管理對用戶會話數(shù)及終端登錄的限制312021/5/9身份鑒別基本的身份鑒別訪問控制安全策略最小授權(quán)原則安全審計運行情況審計（用戶級）審計報表剩余信息保護(hù)空間釋放及信息清除應(yīng)用安全的整改要點組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作審計過程的保護(hù)通信完整性校驗碼技術(shù)密碼技術(shù)軟件容錯自動保護(hù)功能資源控制資源分配限制、資源分配優(yōu)先級最小服務(wù)水平的檢測及報警數(shù)據(jù)有效性檢驗、部分運行保護(hù)對用戶會話數(shù)及系統(tǒng)最大并發(fā)會話數(shù)的限制審計記錄的保護(hù)通信保密性初始化驗證整個報文及會話過程加密敏感信息加密抗抵賴322021/5/9數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)重要數(shù)據(jù)的備份數(shù)據(jù)安全及備份恢復(fù)的整改要點各類數(shù)據(jù)傳輸及存儲異地備份網(wǎng)絡(luò)冗余、硬件冗余本地完全備份硬件冗余檢測和恢復(fù)數(shù)據(jù)保密性鑒別數(shù)據(jù)存儲的保密性各類數(shù)據(jù)的傳輸及存儲每天1次備份介質(zhì)場外存放332021/5/9合理分域，準(zhǔn)確定級信息系統(tǒng)等級保護(hù)以系統(tǒng)所處理信息的最高重要程度來確定安全等級在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù)信息的最高重要程度單獨定級，實施“分域分級防護(hù)”的策略，從而降低系統(tǒng)建設(shè)成本和管理風(fēng)險信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控對于不同等級的安全域間通信，應(yīng)實施有效的訪問控制策略和機制，控制高密級信息由高等級安全域流向低等級安全域。342021/5/9安全域（第3