等保中级测评师知识框架——一、基础知识（7）

测评实施·

                               

网络安全等级保护制度新要求

• 等级保护制度健全完善

1.立法：2017年6月1日正式实施的《网络安全法》

明确规定：

国家实行网络安全等级保护制度

关键信息基础设施是在网络安全等级保护制度的基础上，实行重点保护。 Ø

定位：

等级保护制度是国家网络安全工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。

等级保护是我国多年来网络安全工作实践和经验的总结。重点保护关键信息基础设施和大数据安全

这是一项事关国家安全、社会稳定、国家利益的重要任务。

主要历程

1994年--《计算机信息系统安全保护条例》 l

1999年--计算机信息系统安全等级保护划分准则(GB17859强制性国家标准) l

2003年--《关于加强信息安全保障工作的意见》（中办发〔2003〕27号）

l2007年--《信息安全等级保护管理办法》，在全国范围内实施

l2020年—关于深入贯彻落实等级保护制度保障关键信息基础设施的意见，推进全面深入实施

每年开展技术大会、测评体系建设大会

1. 经验固化和提炼

l经过10多年的实施和发展，不断健全完善等级保护制度体系，组织对各单位、部门、地区网络安全等级保护工作开展监督、检查、指导，有效提升了国家关键信息基础设施的安全保护能力。

l网络安全等级保护工作成为网络安全保障工作的核心、抓手和主线

新形势下网络安全等级保护制度体系

Ø构建新的组织领导体系

Ø构建新的法律、政策体系

Ø构建新的标准体系

Ø构建新的技术支撑体系

Ø构建新的人才队伍体系

Ø构建新的教育训练体系

Ø构建新的保障体系

立法进程：

《网络安全法》配套的行政法规，国家网络安全法律体系的重要组成

《网络安全等级保护条例》

《关键信息基础设施安全保护条例》

等级保护的鲜明特点

关键信息基础设施的职责明确

网络安全等级保护措施扩展： 

将风险评估、安全监测、通报预警、事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。

网络安全等级保护对象扩展： Ø

将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。

测评要求：

第三级以上网络的运营者应当每年开展一次网络安全等级测评，发现并整改安全风险隐患，并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

新建的第三级以上网络应当通过等级测评后投入运行。

同时明确规定了安全服务机构责任义务

Ø  应当保守服务过程中知悉的国家秘密、个人信息和重要数据。 Ø

不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。

《中华人民共和国网络安全法》（2017年7月1日）

《中华人民共和国密码法》（2020年1月1日）

《中华人民共和国数据安全法》（2021年9月1日）

《中华人民共和国个人信息保护法》（2021年11月1日）

《关键信息基础设施安全保护条例》（2021年9月1日）

等级保护-法律依据-数据安全法

2021年9月1日发布 

第21条   国家建立数据分类分级保护制度

第27条   建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。

等级保护-法律依据-网络安全法

《中国人民共和国网络安全法》已由中国人民共和国第十二届全国人民代表大会常务委员会第二十四次会议与2016年11月7日通过，现予公布自2017年6月1日起施行。”

国家实行网络安全等级保护制度。应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破环或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。（第21条）

国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。（第31条）

等级保护-法律依据-个人信息保护法

2021年11月1日实施

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。（第4条）

任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。（第10条）

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。（第28 条）

等级保护-法律依据-密码法

核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全（第7条，第8条）。

在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。（第14条）

法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接.避免重复评估、测评。（第27条）