等级保护实施的基本原则
安全等级保护的核心是将等级保护对象划分等级,按标准进行建设、管理和监督 。
安全等级保护实施过程中应遵循基本原则
a) 自主保护原则
等级保护对象运营 、使用单位及其主管部门按照国家相关法规和标准,自主确定等级保护对象的安全保护等级,自行组织实施安全保护。
b) 重点保护原则
根据等级保护对象的重要程度 、业务特点,通过划分不同安全保护等级的等级保护对象,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的等级保护对象 。
c) 同步建设原则
等级保护对象在新建、改建、 扩建时应同步规划和设计安全方案,投入一定比例的资金建设网络安全设施,保障网络安全与信息化建设相适应。
d) 动态调整原则
应跟踪定级对象的变化情况,调整安全保护措施。由于定级对象的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应根据等级保护的管理规范和技术标准的要求,重新确定定级对象的安全保护等级,根据其安全保护等级的调整情况,重新实施安全保护。
网络安全等级保护中涉及角色和职责
a) 等级保护管理部门
等级保护管理部门依照等级保护相关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
b) 主管部门
负责依照国家网络安全等级保护的管理规范和技术标准,督促、 检查和指导本行业 、本部门或者本地区等级保护对象运营、使用单位的网络安全等级保护工作。
c) 运营 、使用单位
负责依照国家网络安全等级保护的管理规范和技术标准,确定其等级保护对象的安全保护等级,有主管部门的,应报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家网络安全等级保护管理规范和技术标准,进行等级保护对象安全保护的规划设计;使用符合国家有关规定,满足等级保护对象安全保护等级要求的信息技术产品和网络安全产品,开展安全建设或者改建工作;制定、落实各项安全管理制度,定期对等级保护对象的安全状况 、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级网络安全事件的响应、处置预案,对网络安全事件分等级进行应急处置。
d) 网络安全服务机构
负责根据运营 、使用单位的委托,依照国家网络安全等级保护的管理规范和技术标准,协助运营 、使用单位完成等级保护的相关工作,包括确定其等级保护对象的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造、提供服务支撑平台等。
e) 网络安全等级测评机构
负责根据运营 、使用单位的委托或根据等级保护管理部门的授权,协助运营、使用单位或等级保护管理部门,按照国家网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的等级保护对象进行等级测评;对网络安全产品供应商提供的网络安全产品进行安全测评.
f) 网络安全产品供应商
负责按照国家网络安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照等级保护相关要求销售网络安全产品并提供相关服务。
等级保护是以网络运营 、使用单位为主,各方参与的一项综合性、体系性的工作。等级保护工作,从项目伊始就已经涉及,等级保护与信息系统之间实践遵循“三同步”原则。
我也不断重复,等级保护与等级保护测评是两个不同的概念,等级保护贯彻整个信息系统的生命周期,而等级测评属于五个规定动作的第四个动作。而除了定级、备案外,另外三个动作是往复循环加强的关系。
参考文件:
- 《信息安全技术 网络安全等级保护实施指南》
- 《信息安全技术 网络安全等级保护基本要求》
网络安全等级保护:什么是网络安全等级保护工作的内涵?
网络安全等级保护:等级保护测评过程中双方责任
网络安全等级保护:政策及法律发展历程
网络安全等级保护:信息系统安全管理的原则
