Por que precisamos realizar uma avaliação de proteção do nível de segurança da rede?

Enterprise 2023-10-01 07:55:25 views: null

O quê? —O que é avaliação de proteção de nota?

A proteção do nível de segurança da rede refere-se à implementação de proteção hierárquica e supervisão hierárquica de redes (incluindo sistemas de informação e dados), à implementação do gerenciamento hierárquico de produtos de segurança de rede usados ​​na rede e à resposta hierárquica e eliminação de incidentes de segurança que ocorrem em a rede. Com base em razões históricas e objetivas, embora os nomes do sistema de proteção do nível de segurança da informação, do nível de proteção da rede e dos sistemas de rede e de informação sejam diferentes, eles são essencialmente os mesmos. "Rede" refere-se a um sistema composto por terminais de computação ou outros terminais de informação e equipamentos relacionados que coleta, armazena, transmite, troca e processa informações de acordo com certas regras e procedimentos, incluindo recursos de rede, sistemas de informação, recursos de dados, etc.

A proteção do nível de segurança da rede é dividida em cinco níveis de proteção de segurança de acordo com a importância do sistema de informação e os danos após ser danificado. (Do primeiro ao quinto nível, os níveis aumentam passo a passo); após a determinação do nível, a rede do segundo nível (inclusive) e superior deverá ser registrada no órgão de segurança pública. O órgão de segurança pública analisará os materiais de registo e a exactidão da classificação e emitir um certificado de registo. A unidade de registro deve realizar a retificação da construção de segurança de acordo com o nível de segurança da rede e de acordo com os padrões nacionais, construir instalações de segurança, implementar medidas de segurança, implementar responsabilidades de segurança, estabelecer e implementar um sistema de gestão de segurança; selecionar uma instituição de avaliação que atenda requisitos nacionais para realizar a avaliação do registo; o órgão de segurança pública deve fornecer orientação à rede de segundo nível e realizar supervisão e inspeção regulares das redes de terceiro e quarto níveis.

A relação entre elementos de classificação e níveis de proteção de segurança

nota

objeto

Objeto de infração

grau de violação

intensidade regulatória

primeiro nível

rede geral

direitos e interesses legítimos

dano

proteção autônoma

segundo nível

rede geral

direitos e interesses legítimos

violação grave

guia

ordem social e interesse público

infracção particularmente grave

Nível 3

rede importante

direitos e interesses legítimos

danos extremamente graves

verificação supervisionada

ordem social e interesse público

dano serio

Segurança nacional

ferir

Nível 4

rede particularmente importante

ordem social e interesse público

danos extremamente graves

Supervisão e inspeção obrigatórias

Segurança nacional

Danos graves

Nível 5

rede extremamente importante

Segurança nacional

Perigo particularmente grave

Supervisão e inspeção especial

Por quê? —Por que precisamos fazer avaliação de proteção de notas?

Leis e regulamentos

Exigir

Artigo 21 da Lei de Segurança Cibernética de 2017 :

  • Os operadores de rede devem, de acordo com os requisitos do sistema de proteção do nível de segurança da rede,
    cumprir as seguintes obrigações de proteção de segurança para proteger a rede contra interferências, destruição
    ou acesso não autorizado e para evitar que os dados da rede sejam vazados, roubados
    ou adulterados

Artigo 38 da Lei de Cibersegurança :

  • Os operadores de infra-estruturas críticas de informação devem realizar testes e avaliações
    da segurança e dos possíveis riscos das suas redes, pelo menos uma vez por ano, por conta própria ou confiando a agências de serviços de segurança de redes que o façam
    , e reportar os resultados dos testes e avaliações e as medidas de melhoria
    ao autoridades relevantes responsáveis ​​pela segurança da infra-estrutura de informação crítica.Departamento de trabalho de conservação.

Artigo 59 da Lei de Segurança Cibernética :

  • Se um operador de rede não cumprir as suas obrigações: o serviço competente relevante deve ordenar-lhe que faça correcções e emitir um aviso; se recusar fazer correcções ou causar consequências como pôr em perigo a segurança da rede, será multado não menos de 10.000 RMB, mas não superior a 100.000 RMB, e o responsável direto será multado em 5.000 RMB. É imposta uma multa não inferior a 50.000 yuans, mas não superior a 50.000 yuans.
  • Se o operador da infra-estrutura de informação crítica não cumprir as suas obrigações: o serviço competente relevante ordenará que faça correcções e emita um aviso; se recusar fazer correcções ou causar consequências como pôr em perigo a segurança da rede, será multado pelo menos O pessoal será multado em não menos de 10.000 RMB,
    mas não mais de 100.000 RMB.

Em 2008, o plano das “Três Decisões” do Conselho de Estado deu ao Ministério da Segurança Pública a responsabilidade legal de “supervisionar, inspecionar e orientar o trabalho de proteção do nível de segurança da informação”.

O Artigo 9 do "Regulamento de Proteção de Segurança do Sistema de Informação de Computadores da República Popular da China" de 1994 (Ordem do Conselho de Estado nº 147) estipula claramente: "Os sistemas de informação de computador implementam a proteção do nível de segurança. Os padrões para classificar os níveis de segurança e os métodos específicos para O nível de proteção de segurança será determinado pelos órgãos de segurança pública. "O Ministério das Finanças trabalhará em conjunto com os departamentos relevantes para formular".

O Artigo 6, Parágrafo 12 da "Lei da Polícia Popular da República Popular da China" estipula: A polícia popular desempenha as funções de "supervisionar e gerir a proteção da segurança dos sistemas de informação informática".

Requisitos da indústria

Políticas industriais e orientações padrão da indústria para finanças, governo, energia elétrica, rádio e televisão, educação, etc.

Requisitos de segurança do sistema empresarial

Os operadores e usuários de sistemas de informação podem descobrir riscos e deficiências de segurança no sistema realizando um trabalho de proteção hierárquica e podem
melhorar as capacidades de proteção de segurança do sistema por meio da retificação da segurança e reduzir o risco de serem atacados.

Como? —Como fazer avaliação de proteção de nota

número de série

processo

Parte responsável

ilustrar

1

Avaliação

Operador de rede
  • 网络运营者根据《网络安全等级保护定级指南》拟定网络安全保护等级定级报告 
  • 组织召开专家评审会,对初步定级结果的合理性进行评审,出具专家评审意见
  • 将初步定级结果上报行业主管部门进行审核,取得上级主管意见

2

备案

网络运营者

网络运营者按照当地公安机关的要求,将网络定级备案材料向公安机关备案,公安机关对定级准确符合要求的网络系统发放备案证明。

3

等级测评

测评机构

网络运营者选择符合国家规定条件的测评机构,对第三级以上网络(含国家关键信息基础设施)每年开展登记测评,查找发现问题隐患,提出整改意见。

4

安全建设整改

网络运营者

网络运营者根据网络的安全保护等级,按照国家标准开展安全建设整改。

5

监督检查

公安机关

公安机关每年对网络运营者开展网络安全等级保护工作的情况和网络的安全状况实施执法检查

在这个信息发达的互联网时代,网络几乎是每个企业和个人生活的必需品,***也说过:“网网络安全为人民,网络安全靠人民”,只有每个企业领会网络安全法的精神,从自身做起,管理好自己的信息系统安全,整个国家的网络空间安全就会越来越清朗。

Acho que você gosta

Origin blog.csdn.net/qq_23435961/article/details/129157819
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(32)
2024-05-17(5)
2024-05-16(24)
2024-05-15(5)
2024-05-14(11)
2024-05-13(7)
2024-05-12(23)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com