安全資訊

網絡安全等級保護是落實“分等級保護、突出重點、積極防御、綜合防護”的總體要求，建立“打防管控”一體化的網絡安全綜合防御體系，提升國家網絡安全整體防御能力，變被動防護為主動防護，變靜態防護為動態防護，變單點防護為整體防護，變粗放防護為精準防護。

第一條【立法宗旨與依據】為加強網絡安全等級保護工作，提高網絡安全防范能力和水平，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，依據《中華人民共和國網絡安全法》、《中華人民共和國保守國家秘密法》等法律，制定本條例。

第二條【適用范圍】在中華人民共和國境內建設、運營、維護、使用網絡，開展網絡安全等級保護工作以及監督管理，適用本條例。個人及家庭自建自用的網絡除外。

第三條【確立制度】國家實行網絡安全等級保護制度，對網絡實施分等級保護、分等級監管。前款所稱“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

第四條【工作原則】網絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則，建立健全網絡安全防護體系，重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。】

涉密網絡應當依據國家保密規定和標準，結合系統實際進行保密防護和保密監管。

第五條【職責分工】中央網絡安全和信息化領導機構統一領導網絡安全等級保護工作。國家網信部門負責網絡安全等級保護工作的統籌協調。

國家保密行政管理部門主管涉密網絡分級保護工作，負責網絡安全等級保護工作中有關保密工作的監督管理。

國務院其他有關部門依照有關法律法規的規定，在各自職責范圍內開展網絡安全等級保護相關工作。

解析：這一條明確了，中央網信機構領導網絡安全等級保護工作，公安部門主管網絡安全等級保護工作，國家網信部門負責等保工作的統籌協調。保密局，密碼局負責各自領域的監督管理。也就是說密碼局和保密局的分級保護（簡稱分保）也是等保工作的一部分?？h級以上公安機關（包括縣區一級），等保工作第一次下放到縣區一級。未來等保監督、執法檢查、備案等工作，縣區一級公安機關也要參與。

解析:根據《中華人民共和國網絡安全法》的解釋網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。網絡運營者應當依法開展網絡定級備案，意味著網絡運營者必須對自己擁有的系統不管是一級系統還是一級以上的系統都要進行定級工作。在《信息安全技術網絡安全等級保護基本要求》中對于一級系統這么要求的：應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由。也就是說一級網絡可以不用到公安機關備案，但是必須要有記錄表單類文檔，來記錄保護對象的安全保護等級和確定等級的方法和理由。但是對于二級以上的系統要求必須到公安機關備案。對安全建設整改、等級測評和自查等工作，這里指的是對應的等保標準里要履行的動作，比如三級系統每年必須測評一次，但標準里沒有要求二級系統必須測評，二級只是要求定期進行等級測評，在發生重大變更或級別發生變化時進行等級測評。根據各自系統的級別，查詢對應級別的標準里的要求。至于后面的采取管理和技術措施，保障網絡基礎設施安全、網絡運行安全、數據安全和信息安全，有效應對網絡安全事件，防范網絡違法犯罪活動，1到5級系統標準都有要求。

解析：行業主管部門比如說教育局，衛健委，銀保監局，人民銀行等行業主管部門應當組織、指導本行業、本領域落實網絡安全等級保護制度。對于下級單位的定級問題，應該出具主管部門的審批意見。具體的行業主管部門怎么定義，什么單位算行業主管部門，有具體文件要求。

第八條【總體保障】國家建立健全網絡安全等級保護制度的組織領導體系、技術支持體系和保障體系。

解析：各級政府和行業主管部門必須將網絡安全等級保護制度納入信息化工作的總體規劃之中，之前很多部門，每年信息化工作可能會投入很多錢，但是經常忽略安全的建設，只重建設，不重安全，忽略網絡安全的重要性，這一條明確要求納入總體規劃。

國家支持企業、研究機構、高等學校、網絡相關行業組織參與網絡安全等級保護國家標準、行業標準的制定。

第十條【投入和保障】各級人民政府鼓勵扶持網絡安全等級保護重點工程和項目，支持網絡安全等級保護技術的研究開發和應用，推廣安全可信的網絡產品和服務。

第十一條【技術支持】國家建設網絡安全等級保護專家隊伍和等級測評、安全建設、應急處置等技術支持體系，為網絡安全等級保護制度提供支撐。

第十二條【績效考核】行業主管部門、各級人民政府應當將網絡安全等級保護工作納入績效考核評價、社會治安綜合治理考核等。

第十三條【宣傳教育培訓】各級人民政府及其有關部門應當加強網絡安全等級保護制度的宣傳教育，提升社會公眾的網絡安全防范意識。

解析：為了提升整個國家的網絡安全防護水平，鼓勵各級政府和相關部門加強網絡安全等級保護制度的宣傳教育，提升全民的網絡安全防范意識。也鼓勵事業單位、高校、研究機構開展網絡安全等級保護制度的教育和培訓，培養網絡安全等級保護管理和技術人才?，F在網絡安全人才缺口非常大，也亟需網絡安全人才。當前網絡安全防護水平相比十年前已經得到了極大的提升，等級保護工作可以說功不可沒。

國家對網絡新技術、新應用的推廣，組織開展網絡安全風險評估，防范網絡新技術、新應用的安全風險。

一是保障用戶對數據可控，產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數據，損害用戶對自己數據的控制權；

三是保障用戶的選擇權，產品和服務提供者不應利用用戶對其產品和服務的依賴性，限制用戶選擇使用其他產品和服務，或停止提供合理的安全技術支持，迫使用戶更新換代，損害用戶的網絡安全和利益。

第三章網絡的安全保護

（一）第一級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網絡。

（三）第三級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網絡。

（五）第五級，一旦受到破壞后會對國家安全造成特別嚴重危害的極其重要網絡。

不同級別的等級保護對象應具備的基本安全保護能力如下:

第二級安全保護能力:應能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難,以及其他相當危害程度的威脅所造成的重要資源損害,能夠發現重要的安全漏洞和處置安全事件,在自身遭到損害后,能夠在一段時間內恢復部分功能。

第四級安全保護能力:應能夠在統一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災難,以及其他相當危害程度的威脅所造成的資源損害,能夠及時發現、監測發現攻擊行為和安全事件,在自身遭到損害后,能夠迅速恢復所有功能。

當網絡功能、服務范圍、服務對象和處理的數據等發生重大變化時，網絡運營者應當依法變更網絡的安全保護等級。

網絡運營者不履行本條規定，由公安機關責令改正，依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。即：由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

跨省或者全國統一聯網運行的網絡由行業主管部門統一擬定安全保護等級，統一組織定級評審。

解析：業務系統應該定為二級的或者二級以上的，網絡運營者要組織專家進行評審，有行業主管部門的，應當在評審后報請主管部門核準。定級備案的流程是確定定級對象—》擬定二級的系統—》進行專家評審—》行業主管部門審批定級是否合理—》公安機關終審定級是否準確—》符合發備案證明—》否則退回重新定級。

網絡運營者不履行本條第一款規定，由公安機關責令改正，依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。即：由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

因網絡撤銷或變更調整安全保護等級的，應當在10個工作日內向原受理備案公安機關辦理備案撤銷或變更手續。

解析：第二級以上網絡運營者應當在網絡的安全保護等級確定后10個工作日內，到縣級以上公安機關備案。這里強調的是等級確定后的10個工作日內，而不是網絡建成后的10個工作日。如果網絡撤銷、廢棄，不再使用或者需要調整安全保護等級，在10個工作日內也要去受理備案的公安機關備案撤銷，或者變更。備案的具體辦法由公安部門制定，當前的公安機關的備案表也會很快發生變化，因為當前公安機關的備案表中的表三確定系統服務安全保護等級和業務信息安全保護等級中根本就沒有一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害這一項描述。

第十九條【備案審核】公安機關應當對網絡運營者提交的備案材料進行審核。對定級準確、備案材料符合要求的，應在10個工作日內出具網絡安全等級保護備案證明。