2019年5月13日,网络安全等级保护制度2.0标准正式发布,将于2019年12月1日开始实施。
那么今天我们就来讲讲“等保制度”的前世今生。
“等保”的全称为《信息安全技术 网络安全等级保护基本要求》,它是对信息和信息载体按照重要性等级分级别进行保护的一种制度规范。
1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”,等级保护制度正式被提出。
1999年 GB 17859《计算机信息系统安全保护等级划分准则》为信息安全等级保护提供了基础的标准依据。
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,至此,等保制度成为国家信息安全保障一项基本制度。
2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)。
2007年6月,四部门联合出台了《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。
2007年7月,四部门联合出台了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),并在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
评估中心制定的四个标准《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》报批稿作为文件附件在试点工作中使用。
2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》。
2016年10月,公安部网络安全保卫局对原有国家标准《信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)》等系列标准进行修订。
2017年6月,《网络安全法》正式出台,信息安全等级保护过渡到网络安全等级保护,法规明确要求国家实施等保制度。
2019年5月,随着《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》、《信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)》等标准的正式发布,标志着等保2.0全面启动。
1、 《网络安全法》要求
第二十一条规定:
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络安全免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三十八条规定:
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第五十九条规定:
网络运营者不履行义务的,由有关主管部门责令改正,给予警告,拒不收正或者导致危害网络安全等后果,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上以及一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
2、行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。
3、 企业系统安全的需求
信息系统运营及使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
新洲咨询专注于互联网资质行业,如果企业想了解等保相关问题,可来电咨询,我们将全心为您服务!
