信息安全等级保护制度的由来
随着计算机网络的普及,我们的日常生活越来越离不开它们,可是怎么样保护我们的计算机和网络安全不受外界攻击呢?
为了保护信息的安全,我国实行对信息及信息载体按照重要性等级分别进行保护,也就是信息安全等级保护制度。
1994年,《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护。
2007年,《信息安全等级保护管理办法》规范了信息安全等级保护工作。
2017年,《中华人民共和国网络安全法》将信息安全等级保护制度写入法律。
等级的划分
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
如何定级如何做好等级保护
第一步,准备资料,进行评级。
第二步,前往当地公安机关网络安全部门提交资料确定定级是否准确并备案。
第三步,按照等级保护建设要求,对信息和信息系统进行的网络安全升级。
第四步,委托有资质的测评机构,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估。
第五步、接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。
法律依据
那么问题来了,单位和个人如果有计算机系统没有做等级保护,没有备案怎么办?
《信息安全等级保护管理办法》第十五条规定:已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
《网络安全法》第二十一条规定 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
来源:澎湃新闻·澎湃号·政务
