¿Por qué necesitamos realizar una evaluación de protección del nivel de seguridad de la red?

Enterprise 2023-10-01 07:55:20 views: null

¿Qué? —¿Qué es la evaluación de grado de protección?

La protección del nivel de seguridad de la red se refiere a la implementación de protección jerárquica y supervisión jerárquica de las redes (incluidos los sistemas de información y datos), la implementación de la gestión jerárquica de los productos de seguridad de la red utilizados en la red y la respuesta y eliminación jerárquica de los incidentes de seguridad que ocurren en la red. Por razones históricas y objetivas, aunque los nombres del sistema de protección del nivel de seguridad de la información, la protección del nivel de seguridad de la red y los sistemas de red e información son diferentes, son esencialmente los mismos. "Red" se refiere a un sistema compuesto por computadoras u otros terminales de información y equipos relacionados que recopilan, almacenan, transmiten, intercambian y procesan información de acuerdo con ciertas reglas y procedimientos, incluidas instalaciones de red, sistemas de información, recursos de datos, etc.

La protección del nivel de seguridad de la red se divide en cinco niveles de protección de seguridad según la importancia del sistema de información y el daño después de ser dañado. (Desde el primer nivel hasta el quinto nivel, los niveles aumentan paso a paso); después de determinar el nivel, la red del segundo nivel (inclusive) y superiores se registrará en la agencia de seguridad pública. La agencia de seguridad pública revisará los materiales de registro y la exactitud de la clasificación y expedir un certificado de registro. La unidad de registro llevará a cabo la rectificación de la construcción de seguridad de acuerdo con el nivel de seguridad de la red y de acuerdo con los estándares nacionales, construirá instalaciones de seguridad, implementará medidas de seguridad, implementará responsabilidades de seguridad, establecerá e implementará un sistema de gestión de seguridad; seleccionará una institución de evaluación que cumpla requisitos nacionales para llevar a cabo la evaluación del registro; el órgano de seguridad pública proporcionará orientación a la red de segundo nivel y realizará supervisión e inspección periódicas de las redes de tercer y cuarto nivel.

La relación entre los elementos de clasificación y los niveles de protección de seguridad.

calificación

objeto

Objeto de infracción

grado de infracción

intensidad regulatoria

primer nivel

red general

derechos e intereses legítimos

daño

protección autónoma

segundo nivel

red general

derechos e intereses legítimos

violación grave

guía

orden social e interés público

infracción especialmente grave

Nivel 3

red importante

derechos e intereses legítimos

daños extremadamente graves

cheque supervisado

orden social e interés público

daño grave

Seguridad nacional

dañar

Nivel 4

red particularmente importante

orden social e interés público

daños extremadamente graves

Supervisión e inspección obligatorias.

Seguridad nacional

Daño grave

Nivel 5

red extremadamente importante

Seguridad nacional

Peligro especialmente grave

Supervisión e inspección especiales

¿Por qué? —¿Por qué necesitamos hacer una evaluación de protección de grado?

leyes y regulaciones

Requerir

Artículo 21 de la Ley de Ciberseguridad de 2017 :

  • Los operadores de red deberán, de acuerdo con los requisitos del sistema de protección del nivel de seguridad de la red,
    cumplir con las siguientes obligaciones de protección de seguridad para proteger la red de interferencias, destrucción
    o acceso no autorizado, y para evitar que los datos de la red sean filtrados, robados
    o manipulados.

Artículo 38 de la Ley de Ciberseguridad :

  • Los operadores de infraestructuras de información crítica deben realizar pruebas y evaluaciones
    de la seguridad y posibles riesgos de sus redes al menos una vez al año por su cuenta o encomendando la tarea a agencias de servicios de seguridad de redes
    , e informar los resultados de las pruebas y evaluaciones y las medidas de mejora
    al autoridades pertinentes responsables de la seguridad de la infraestructura de información crítica Departamento de trabajos de conservación.

Artículo 59 de la Ley de Ciberseguridad :

  • Si un operador de red no cumple con sus obligaciones: el departamento competente correspondiente le ordenará que haga correcciones y emitirá una advertencia; si se niega a hacer correcciones o provoca consecuencias tales como poner en peligro la seguridad de la red, se le impondrá una multa no inferior a 10.000 RMB, pero no más de 100.000 RMB, y la persona a cargo directamente responsable será multada con 5.000 RMB. Se impone una multa de no menos de 50.000 yuanes pero no más de 50.000 yuanes.
  • Si el operador de infraestructura de información crítica no cumple con sus obligaciones: el departamento competente correspondiente le ordenará que haga correcciones y emitirá una advertencia; si se niega a hacer correcciones o causa consecuencias tales como poner en peligro la seguridad de la red, será multado con no menos de El responsable directo será multado con una multa de 100.000 RMB pero no más de 1 millón de RMB, y el responsable directo será multado. El personal será multado con una multa de no menos de 10.000 RMB
    pero no más de 100.000 RMB.

En 2008, el plan de “Tres Decisiones” del Consejo de Estado otorgó al Ministerio de Seguridad Pública la responsabilidad legal de “supervisar, inspeccionar y orientar el trabajo de protección del nivel de seguridad de la información”.

El artículo 9 del "Reglamento de protección de la seguridad de los sistemas de información informática de la República Popular China" de 1994 (Orden Nº 147 del Consejo de Estado) estipula claramente: "Los sistemas de información informáticos implementan protección de nivel de seguridad. Las normas para clasificar los niveles de seguridad y los métodos específicos para El nivel de protección de seguridad será determinado por los órganos de seguridad pública." El Ministerio de Finanzas trabajará junto con los departamentos pertinentes para formular".

El artículo 6, párrafo 12 de la "Ley de Policía Popular de la República Popular China" estipula: La policía popular desempeña las funciones de "supervisar y gestionar la protección de la seguridad de los sistemas de información informática".

Requisitos de la industria

Políticas industriales y orientación estándar de la industria para finanzas, gobierno, energía eléctrica, radio y televisión, educación, etc.

Requisitos de seguridad del sistema empresarial

Los operadores y usuarios de sistemas de información pueden descubrir riesgos y deficiencias de seguridad dentro del sistema realizando trabajos de protección jerárquica, y pueden
mejorar las capacidades de protección de seguridad del sistema mediante la rectificación de seguridad y reducir el riesgo de ser atacados.

¿Cómo? —Cómo hacer una evaluación de protección de grado

número de serie

proceso

Fiesta responsable

ilustrar

1

Clasificación

operador de red
  • 网络运营者根据《网络安全等级保护定级指南》拟定网络安全保护等级定级报告 
  • 组织召开专家评审会,对初步定级结果的合理性进行评审,出具专家评审意见
  • 将初步定级结果上报行业主管部门进行审核,取得上级主管意见

2

备案

网络运营者

网络运营者按照当地公安机关的要求,将网络定级备案材料向公安机关备案,公安机关对定级准确符合要求的网络系统发放备案证明。

3

等级测评

测评机构

网络运营者选择符合国家规定条件的测评机构,对第三级以上网络(含国家关键信息基础设施)每年开展登记测评,查找发现问题隐患,提出整改意见。

4

安全建设整改

网络运营者

网络运营者根据网络的安全保护等级,按照国家标准开展安全建设整改。

5

监督检查

公安机关

公安机关每年对网络运营者开展网络安全等级保护工作的情况和网络的安全状况实施执法检查

在这个信息发达的互联网时代,网络几乎是每个企业和个人生活的必需品,***也说过:“网网络安全为人民,网络安全靠人民”,只有每个企业领会网络安全法的精神,从自身做起,管理好自己的信息系统安全,整个国家的网络空间安全就会越来越清朗。

Supongo que te gusta

Origin blog.csdn.net/qq_23435961/article/details/129157819
Recomendado
Clasificación
Diario
Más
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)

Code World

© 2018 codetd.com