《等保条例》的具体规定
《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,作为等保10体系的核心规定,其法律效力为部门规范性文件。另根据《管理办法》第一条规定,其制定依据为国务院行政法规《计算机信息系统安全保护条例》。
《等保条例》虽尚在征求意见稿阶段,根据《行政法规制定程序条例》第五条,行政法规的名称一般称“条例”,国务院各部门和地方人民政府制定的规章不得称“条例”,因此,《等保条例》应当属于行政法规范畴。此外,《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。
综上可知,《管理办法》为依据行政法规制定的部门规范性文件,而《等保条例》则属于依据国家法律制定的行政法规,显然,无论是自身法律效力亦或法律依据的效力位阶,等保20均优于等保10。
等级保护的适用范围
对于适用范围,《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络,开展网络安全等级保护以及监督管理工作,而个人及家庭自建自用的网络除外,内容较为简略。2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南20(征求意见稿)》(以下称“《定级指南20》”),为等保的具体适用提供了指引。
等保10体系中,《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南10》”)确定信息系统的安全保护等级。因此,《定级指南20》的出台很大程度上得益于《定级指南10》的已有规定。
相比《定级指南10》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统,《定级指南20》细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外,作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源
根据《定级指南20》,定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
网络等级
《等保条例》继受了《管理办法》所确立的五级安全保护等级体系,但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级,《定级指南10》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级,而《等保条例》则进行了相应修改,当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害时,相应系统应当定为第三级保护对象。具体等级划分请参照以下表格:
网络安全保护义务
《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任,但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定,就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。
对于安全保护义务,除《网安法》第二十一条已经明确的内容外,一般网络运营者还应:一、建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定 *** 作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施,防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外,还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度,同时定期开展等级测评工作。
对于网络产品和服务采购,网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务,第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务,对重要部位使用的网络产品,还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定,因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书,以减少运营法律风险。
对于应急预案的制定,第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。除及时记录并留存事件数据信息,向公安机关和行业主管部门报告外,网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》,报告网络安全事件信息时,还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。
网络安全保护要求
近年来,随着人工智能、大数据、物联网、云计算等的快速发展,安全趋势和形势的急速变化,2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》(简称等保10)已经不再适用于当前安全要求。从2015年开始,等级保护的安全要求逐步开始制定20标准,包括5个部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保10标准更偏重于对于防护的要求,而等保20标准更适应当前网络安全形势的发展,结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。等保测评分为五个级别,从一到五级别逐渐升高。等级越高,说明信息系统重要性越高。一般企业项目多为等保二级、三级。对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级;等保一级和等保五级(涉密)由于安全性太低或太高,单位或组织少有涉及。
等保20时代,等保测评中的定级对象级别必须经过专家评审和主管部门审核。定级流程为:确定定级对象→初步确定等级→主管部门审核→专家评审→公安机关备案审查(最终确定等级)。
建议运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构,比如国家网络安全等级保护工作协调小组办公室推荐测评机构-时代新威(推荐理由:1、一站式等级保护服务专家,省时省心2、做过大量各行业等保测评案例。3、从事网络安全18年),依据《网络安全等级保护测评要求》等技术标准,定期对等级保护对象开展等级测评。第三级定级对象应当每年进行一次等级测评工作,第四级定级对象应当每半年进行一次等级测评工作,第五级定级对象应当依据特殊安全需求进行等级测评。为保守国家秘密和企业商业秘密,加强在网络维护管理过程中涉及国家和企业工作的管理,下面我给大家介绍关于涉密网络保密管理规定的相关资料,希望对您有所帮助。
涉密网络保密管理规定篇一
一、涉密信息网络应严格按照《计算机信息系统保密管理暂行规定》和《涉及国家秘密的通信、办公自动化和计算机系统审批暂行办法》的规定,采取相应的保密技术防范 措施 。
二、所有上网用户严禁在接有涉密网络的计算机上使用未经病毒检查的外来软件、盘片,严禁用户私自修改本机的软、硬件配置,对于重要的计算机信息子系统,网络管理人员应定期检查是否感染病毒,实行专机、专盘、专用,对系统进行维护时,应采取数据保护措施,如修改、抽取、转储等,应事先对数据库进行备份。
三、禁止在涉密计算机上使用非涉密移动储存介质,禁止在涉密与非涉密计算机之间进行移动存储介质数据交换。
四、涉密信息网络使用者有责任保守各种机密,认真执行安全保密措施,严格执行保密制度,保障重要的数据不会泄露,记载有机密信息的报废磁介质和纸张,必须进行销毁后方可丢弃。
五、存储涉密信息的计算机媒体,应按所存储信息的最高密级标明密级,并按相应密级的文件进行管理,不再使用的信息应及时销毁。
六、涉密信息网络及其用户不得直接或间接与公共信息网联网,必须与公共信息实行物理隔离。
七、涉密信息网络的安全管理人员,应经过严格审查,定期进行检查,并保持相对稳定。
涉密网络保密管理规定篇二
第一条计算机 *** 作人员必须遵守国家有关法律,任何人不得利用计算机从事违法活动。
第二条接入互联网的计算机不得处理涉密资料。涉密计算机要专人管理、专人负责、专人使用,并设置密码,禁止访问互联网及其他外部网络系统。
第三条凡涉密数据的传输和存贮均应采取相应的保密措施;涉密移动存储介质要妥善保管,严防丢失。
第四条严禁私自将涉密移动存储介质带出机关,因工作需要必须带出机关的要经领导批准,并有专人保管。
第五条使用电子文件进行网上信息交流,要遵守有关保密规定,不得利用电子文件传递、转发或抄送涉密信息。
第六条接入互联网的计算机必须安装防病毒工具,进行实时监控和定期杀毒,定期对其计算机系统进行维护以加强防护措施。
第七条涉密计算机如需送到机关外维修时,要将涉密文件拷贝后,对硬盘上的有关内容进行必要的技术处理。外请人员到机关维修存有涉密文件的计算机,要事先征求有关领导批准,并做相应的技术处理,采取严格的保密措施,以防泄密。
第八条对重要数据要定期备份,防止因存储介质损坏造成数据丢失,备份介质可用光盘、硬盘等方式,要妥善保存。
第九条机关工作人员调离时要将有关涉密资料、档案、移动存储设备移交有关人员,调离后对应该保密的内容要严格保密
非涉密网络保密管理规定
一、计算机 *** 作人员必须遵守国家有关法律,任何人不得利用计算机从事违法活动。
二、计算机 *** 作人员未经领导批准,不得对外提供内部信息和资料以及用户名、口令等内容。
三、网络设备必须安装防病毒工具,并具有漏洞扫描和入侵防护功能,以进行实时监控,定期检测。
四、计算机 *** 作人员对计算机系统要经常检查,防止漏洞。禁止通过网络传递涉密文件,软盘、光盘等存贮介质要由相关责任人编号建档,严格保管。除需存档和必须保留的副本外,计算机系统内产生的文档一律删除,在处理过程中产生的样品等必须立即销毁。
五、具有互联网访问权限的计算机访问互联网及 其它 网络时,严禁浏览、下载、传播、发布违法信息。严禁接收来历不明的电子邮件。
六、上网信息的保密管理坚持“谁发布谁负责”的原则。不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息或工作秘密信息。
七、使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
涉密网络保密管理规定相关 文章 :
1 网络保密管理规定
2 保密电脑使用管理规定
3 计算机保密管理规定
4 有关技术保密管理规定
5 涉密计算机管理规定
保证网络能够安全稳定地运行,制定了网络保密管理的有关规定,下面我给大家介绍关于网络保密管理规定的相关资料,希望对您有所帮助。
网络保密管理规定
为认真贯彻《保密法》和《计算机信息系统保密管理暂行规定》,加强计算机网络信息安全管理,保护计算机信息系统处理的涉及国家秘密安全,根据计算机网络安全管理有关 政策法规 ,制定本规定。
一、办公室负责计算机信息系统的保密、监督和管理工作。
二、各涉密科室确定涉密计算机,并确定专门涉密人员管理。
三、计算机信息系统应当采取有效的保密 措施 ,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。
四、涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。未采取技术安全保密措施的数据库不得联网。
五、国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递,做到“上网不涉密,涉密不上网”。
六、存储过国家秘密信息的计算机媒体不能降低密级使用。不再使用的媒体应及时销毁。存储过国家秘密信息的计算机媒体的维修应保证所存储的国家秘密信息不被泄露。计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。
七、涉密信息处理场所应当根据涉密程度和有关规定设立控制区,未经管理机关批准无关人员不得进入。涉密信息处理场所应当定期或者根据需要进行保密技术检查。
八、计算机信息系统应采取相应的防电磁信息泄漏的保密措施。计算机信息系统的 其它 物理安全要求应符合国家有关保密标准。
九、计算机信息系统的保密管理应实行领导负责制,由使用计算机信息系统的主管领导负责本单位的计算机信息系统的保密,并指定有关机构和人员具体承办。
十、计算机信息系统的使用单位应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。
十一、计算机信息系统的 系统安全 保密管理人员应经过严格审查,定期进行考核,并保持相对稳定。
十二、个人发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级 报告 。
十三、违反本规定泄露国家秘密,依据《中华人民共和国保守国家秘密法》及其实施办法进行处理,并追究单位领导的责任。
十四、本规定自发布之日起施行。
网络保密管理规定相关 文章 :
1 涉密网使用管理制度
2 机关单位保密管理制度汇编
3 保密电脑使用管理规定
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)