ネットワーク セキュリティ レベルの保護評価を実施する必要があるのはなぜですか?

え? ―等級保護評価とは何ですか?

ネットワークセキュリティレベルの保護とは、ネットワーク（情報システムやデータを含む）の階層的な保護と階層的な監視の実装、ネットワーク内で使用されるネットワークセキュリティ製品の階層的な管理の実装、およびネットワーク内で発生したセキュリティインシデントの階層的な対応と処理を指します。ネットワーク。歴史的および客観的な理由に基づき、情報セキュリティレベル保護システム、ネットワークセキュリティレベル保護、およびネットワークおよび情報システムの名称は異なりますが、本質的には同じです。「ネットワーク」とは、一定の規則や手順に従って情報を収集、保存、送信、交換、処理するコンピューティングその他の情報端末および関連機器から構成されるシステムを指し、ネットワーク設備、情報システム、データリソースなどを含みます。

ネットワークのセキュリティ保護レベルは、情報システムの重要性と被害後の被害に応じて5つのセキュリティ保護レベルに分けられます。(第 1 レベルから第 5 レベルまで段階的にレベルが上がります); レベルが決定された後、第 2 レベル (包括的) 以上のネットワークは公安機関に登録されます。公安機関は審査を行います。登録資料と分類の正確性を確認し、登録証明書を発行します。登録部門は、ネットワークのセキュリティレベルに応じて、国家基準に従ってセキュリティ構築の修正を実施し、安全施設を建設し、セキュリティ対策の実施、セキュリティ責任の履行、セキュリティ管理システムの確立と実施を行い、以下の基準を満たす評価機関を選択する。登録評価を実施するための国家要件に従い、公安機関は第 2 レベルのネットワークを指導し、第 3 レベルと第 4 レベルのネットワークに対して定期的な監督と検査を実施する。

グレーディング要素とセキュリティ保護レベルの関係
学年	物体	侵害対象	侵害の程度	規制の強さ
最初のレベル	一般的なネットワーク	正当な権利と利益	ダメージ	自律的な保護
セカンドレベル	一般的なネットワーク	正当な権利と利益	重大な違反	ガイド
		社会秩序と公益	特に重大な違反
レベル3	重要なネットワーク	正当な権利と利益	極めて深刻な被害	監視付き小切手
		社会秩序と公益	重大な損害
		国際セキュリティー	危害
レベル4	特に重要なネットワーク	社会秩序と公益	極めて深刻な被害	義務的な監督と検査
		国際セキュリティー	重大な危害
レベル5	非常に重要なネットワーク	国際セキュリティー	特に重大な危険性	専門的な監督と検査

なぜですか? —なぜ等級保護評価を行う必要があるのですか?

法令 必要とする	2017 年サイバーセキュリティ法第 21 条: ネットワーク事業者は、ネットワークセキュリティレベル保護システムの要件に従って、 ネットワークを干渉、破壊 、不正アクセスから保護し、ネットワークデータの漏洩、盗難 、改ざんを防止するために、次のセキュリティ保護義務を履行しなければなりません。
	サイバーセキュリティ法第 38 条： 重要な情報インフラの運営者は、 少なくとも年に一度、自社で、またはネットワークセキュリティサービス機関に委託して、ネットワークのセキュリティと潜在的なリスクのテストと評価を実施し、テストと評価の結果と改善策を行政庁に報告する必要があり ます 。重要な情報インフラストラクチャのセキュリティを担当する関連当局。保全業務部門。
	サイバーセキュリティ法第59条： ネットワーク事業者が義務を履行しない場合、関連主管部門は是正を命じ、警告を発するものとし、是正を拒否した場合、またはネットワークのセキュリティを危険にさらすなどの結果を引き起こした場合は、10,000元以上の罰金を科すものとする。 10万元以下、直接責任者は5,000元、5万元以上5万元以下の罰金が科せられます。 重要情報インフラの運営者が義務を履行しない場合、関係主管部門は是正を命じ、警告を発するものとし、是正を拒否したり、ネットワークのセキュリティを危険にさらすなどの結果を生じさせた場合には、以上の罰金を科すものとする。罰金は10万元以上100万元以下、直接の責任者は1万元以上10万元以下の罰金に処せられます 。
	2008年、国務院の「三つの決定」計画により、公安部に「情報セキュリティレベルの保護業務を監督、検査、指導する」という法的責任が与えられた。
	1994 年の「中華人民共和国コンピュータ情報システム安全保護規則」（国務院令第 147 号）の第 9 条には、「コンピュータ情報システムはセキュリティ レベルの保護を実装する。セキュリティ レベルを分類する基準と具体的な方法」が明確に規定されています。セキュリティレベルの保護は公安機関によって決定されるものとする。「財務省は関係部門と協力して策定する。」
	「中華人民共和国人民警察法」第 6 条第 12 項では、人民警察は「コンピュータ情報システムの安全保護を監督および管理する」任務を遂行すると規定されている。
業界の要件	金融、政府、電力、ラジオ、テレビ、教育などの業界政策と業界標準ガイダンス。
エンタープライズ システムのセキュリティ要件	情報システムの運用者や利用者は、階層的な保護作業を行うことでシステム内のセキュリティリスクや欠陥を発見し、 セキュリティ修正によってシステムのセキュリティ保護機能を向上させ、攻撃を受けるリスクを軽減することができます。

どのように? —等級保護評価を行う方法

シリアルナンバー	プロセス	責任者	説明する
1	評価	ネットワークオペレーター	网络运营者根据《网络安全等级保护定级指南》拟定网络安全保护等级定级报告  组织召开专家评审会，对初步定级结果的合理性进行评审，出具专家评审意见。 将初步定级结果上报行业主管部门进行审核，取得上级主管意见。
2	备案	网络运营者	网络运营者按照当地公安机关的要求，将网络定级备案材料向公安机关备案，公安机关对定级准确符合要求的网络系统发放备案证明。
3	等级测评	测评机构	网络运营者选择符合国家规定条件的测评机构，对第三级以上网络（含国家关键信息基础设施）每年开展登记测评，查找发现问题隐患，提出整改意见。
4	安全建设整改	网络运营者	网络运营者根据网络的安全保护等级，按照国家标准开展安全建设整改。
5	监督检查	公安机关	公安机关每年对网络运营者开展网络安全等级保护工作的情况和网络的安全状况实施执法检查

在这个信息发达的互联网时代，网络几乎是每个企业和个人生活的必需品，***也说过：“网网络安全为人民，网络安全靠人民”，只有每个企业领会网络安全法的精神，从自身做起，管理好自己的信息系统安全，整个国家的网络空间安全就会越来越清朗。