关键词:
在上篇《网络安全等级保护:什么是网络安全等级保护?》我们谈到了《网络安全法》对等级保护的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。将“信息安全等级保护制度”调整为“网络安全等级保护制度”。因根据历史客观事实,介绍“信息安全等级保护制度”“网络安全等级保护制度”及“网络”“信息系统”“计算机信息系统”,虽然称谓不同,但本质是一致的。
所以,今天探讨等级保护制度的原则时,其来源是2004年的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)这个文件,所以在后面引述部分,我们依然依据原文的表述,而在解释或叙述部分,可能存在两类关键字的跳转的问题,在阅读时需要注意。在阅读本部分内容之前,我们要理解一下“等级保护制度”“等级保护工作”以及我们脑海里的“等级保护”概念的涵盖范围,这里探讨的是等级保护制度。
![网络安全等级保护:网络安全等级保护原则]( "网络安全等级保护:网络安全等级保护原则")
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则:
(一)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。
(二)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。
(三)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(四)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
第一个原则“明确责任,共同保护”。这里的描述基本上保留其原来意思,根据《网络安全法》将“信息系统”“网络”两个关键词进行与时俱进即可;
第二个原则“依照标准,开展保护”。在等级保护工作开展过程中,网络安全等级保护管理部门调整了原来的“自行定级”为“科学准确定级”,而“自行保护”则调整为“开展保护”,等级保护1.0和等级保护2.0之间在这里的一个比较大的变化。
第三个原则“同步建设,动态调整”除了关键字外,无变化。
第四个原则“指导监督,重点保护”。这个原则,在“指导监督”方面,暂无太大变动,但是“重点保护”的“重点”内容有了极大的扩展。在原来的基础上,将新技术新应用纳入等级保护范围,涵盖工控、大数据、云计算、物联网、移动安全等新内容,同时以“其他关系国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的网络和信息系统”将所有的信息系统。这样,根据《网络安全等级保护条例》(征求意见稿)中描述,除了“个人及家庭自建自用的网络除外”,统统纳入等级保护序列,内容覆盖面极大的扩展。同时,对关键信息基础设施的保护是建立在等级保护制度基础之上,也就是在等级保护2.0时代,这个重点将“关键信息基础设施”作为最重点内容,放到了等级保护保护的金字塔。
参考文件:
《网络安全等级保护条例》(征求意见稿)
《关于信息安全等级保护工作的实施意见》
《网络安全法和网络安全等级保护制度》
|
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。是一个系统性、体系性的工作。等级保护2.0时代,提出了新的要求,“三化六防”措施逐步在各层面落实落地,在学习和理解过程中,总有种常读常新的感觉。结合这几年的学习,重新再整理一次“网络安全等级保护”这个系列。期待着与朋友们又有一次深入交流与探讨。
|
原文始发于微信公众号(祺印说信安):网络安全等级保护:网络安全等级保护原则
评论