O quê? —O que é avaliação de proteção de nota?
A proteção do nível de segurança da rede refere-se à implementação de proteção hierárquica e supervisão hierárquica de redes (incluindo sistemas de informação e dados), à implementação do gerenciamento hierárquico de produtos de segurança de rede usados na rede e à resposta hierárquica e eliminação de incidentes de segurança que ocorrem em a rede. Com base em razões históricas e objetivas, embora os nomes do sistema de proteção do nível de segurança da informação, do nível de proteção da rede e dos sistemas de rede e de informação sejam diferentes, eles são essencialmente os mesmos. "Rede" refere-se a um sistema composto por terminais de computação ou outros terminais de informação e equipamentos relacionados que coleta, armazena, transmite, troca e processa informações de acordo com certas regras e procedimentos, incluindo recursos de rede, sistemas de informação, recursos de dados, etc.
A proteção do nível de segurança da rede é dividida em cinco níveis de proteção de segurança de acordo com a importância do sistema de informação e os danos após ser danificado. (Do primeiro ao quinto nível, os níveis aumentam passo a passo); após a determinação do nível, a rede do segundo nível (inclusive) e superior deverá ser registrada no órgão de segurança pública. O órgão de segurança pública analisará os materiais de registo e a exactidão da classificação e emitir um certificado de registo. A unidade de registro deve realizar a retificação da construção de segurança de acordo com o nível de segurança da rede e de acordo com os padrões nacionais, construir instalações de segurança, implementar medidas de segurança, implementar responsabilidades de segurança, estabelecer e implementar um sistema de gestão de segurança; selecionar uma instituição de avaliação que atenda requisitos nacionais para realizar a avaliação do registo; o órgão de segurança pública deve fornecer orientação à rede de segundo nível e realizar supervisão e inspeção regulares das redes de terceiro e quarto níveis.
A relação entre elementos de classificação e níveis de proteção de segurança |
||||
nota |
objeto |
Objeto de infração |
grau de violação |
intensidade regulatória |
primeiro nível |
rede geral |
direitos e interesses legítimos |
dano |
proteção autônoma |
segundo nível |
rede geral |
direitos e interesses legítimos |
violação grave |
guia |
ordem social e interesse público |
infracção particularmente grave |
|||
Nível 3 |
rede importante |
direitos e interesses legítimos |
danos extremamente graves |
verificação supervisionada |
ordem social e interesse público |
dano serio |
|||
Segurança nacional |
ferir |
|||
Nível 4 |
rede particularmente importante |
ordem social e interesse público |
danos extremamente graves |
Supervisão e inspeção obrigatórias |
Segurança nacional |
Danos graves |
|||
Nível 5 |
rede extremamente importante |
Segurança nacional |
Perigo particularmente grave |
Supervisão e inspeção especial |
Por quê? —Por que precisamos fazer avaliação de proteção de notas?
Leis e regulamentos Exigir |
Artigo 21 da Lei de Segurança Cibernética de 2017 :
|
Artigo 38 da Lei de Cibersegurança :
|
|
Artigo 59 da Lei de Segurança Cibernética :
|
|
Em 2008, o plano das “Três Decisões” do Conselho de Estado deu ao Ministério da Segurança Pública a responsabilidade legal de “supervisionar, inspecionar e orientar o trabalho de proteção do nível de segurança da informação”. |
|
O Artigo 9 do "Regulamento de Proteção de Segurança do Sistema de Informação de Computadores da República Popular da China" de 1994 (Ordem do Conselho de Estado nº 147) estipula claramente: "Os sistemas de informação de computador implementam a proteção do nível de segurança. Os padrões para classificar os níveis de segurança e os métodos específicos para O nível de proteção de segurança será determinado pelos órgãos de segurança pública. "O Ministério das Finanças trabalhará em conjunto com os departamentos relevantes para formular". |
|
O Artigo 6, Parágrafo 12 da "Lei da Polícia Popular da República Popular da China" estipula: A polícia popular desempenha as funções de "supervisionar e gerir a proteção da segurança dos sistemas de informação informática". |
|
Requisitos da indústria |
Políticas industriais e orientações padrão da indústria para finanças, governo, energia elétrica, rádio e televisão, educação, etc. |
Requisitos de segurança do sistema empresarial |
Os operadores e usuários de sistemas de informação podem descobrir riscos e deficiências de segurança no sistema realizando um trabalho de proteção hierárquica e podem |
Como? —Como fazer avaliação de proteção de nota
número de série |
processo |
Parte responsável |
ilustrar |
1 |
Avaliação |
Operador de rede |
|
2 |
备案 |
网络运营者 |
网络运营者按照当地公安机关的要求,将网络定级备案材料向公安机关备案,公安机关对定级准确符合要求的网络系统发放备案证明。 |
3 |
等级测评 |
测评机构 |
网络运营者选择符合国家规定条件的测评机构,对第三级以上网络(含国家关键信息基础设施)每年开展登记测评,查找发现问题隐患,提出整改意见。 |
4 |
安全建设整改 |
网络运营者 |
网络运营者根据网络的安全保护等级,按照国家标准开展安全建设整改。 |
5 |
监督检查 |
公安机关 |
公安机关每年对网络运营者开展网络安全等级保护工作的情况和网络的安全状况实施执法检查 |
在这个信息发达的互联网时代,网络几乎是每个企业和个人生活的必需品,***也说过:“网网络安全为人民,网络安全靠人民”,只有每个企业领会网络安全法的精神,从自身做起,管理好自己的信息系统安全,整个国家的网络空间安全就会越来越清朗。