网络安全等级保护工作须知

网络安全等级保护工作须知

一、为什么要落实网络安全等级保护工作

1、法律有明确规定。《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。因此，不落实网络安全等级保护制度就是违法。（<中华人民共和国网络安全法>节选见附件1）

2、有效提高自身网络安全。实践证明，对网络信息系统分等级保护能够有效提高安全防护水平，降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险（相关案例见附件2）。

3、有效保障和控制网络安全建设成本。在网络信息系统规划、建设和使用过程中同步建设安全设施，保证网络安全与网络信息系统建设相协调，可有效保障和控制网络安全建设成本，避免不必要的支出。

二、网络安全等级保护基本知识

1、等级保护对象。指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，等级保护对象覆盖全社会和所有网络信息系统，包括：非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。

2、三同步原则。各单位应遵循网络安全与网络信息系统“同步规划、同步建设、同步使用”的原则，确保网络安全落实到位。

3、级别。根据网络信息系统在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，从第一级开始，从低到高分为五个安全保护等级。

4、工作流程。包括定级备案、安全建设、等级测评、安全整改和监督检查。

三、如何落实网络安全等级保护工作

1、自定级。单位确定网络安全等级保护对象后，参照《GA/T 1389—2017信息安全技术网络安全等级保护定级指南》自行确定网络系统的等级，填写《网络安全等

级保护自定级报告》（模板见附件3）。如主管部门对定级对象有定级指导意见的，按指导意见确定等级（原则上大数据安全保护等级为第三级以上；国家关键信息基础设施的安全保护等级应不低于第三级）。

2、确定等级。安全保护等级初步确定为第一级的等级保护对象，其运营使用单位应当依据标准进行自主定级；安全保护等级初步确定为第二级以上的等级保护对象，其运营使用单位应当依据标准进行初步定级、专家评审、主管部门审批、公安机关备案审查，最终确定其安全保护等级，具体流程为：自定级后，其运营使用单位应填写《网络安全等级专家评审申请报告》（模板见附件4），组织网络安全专家对自定级情况进行评审，专家人员不少于3名，由专家组出具评审报告（模板见附件5），其运营使用单位可向当地信息安全等级保护工作领导小组办公室或当地公安机关咨询网络安全定级评审专家（联系人及联系方式见附件6）。按主管部门指导意见定级的，报行业主管部门或上级主管部门审核批准。

3、备案。第二级以上网络系统，其运营使用单位应向属地公安机关办理备案，备案流程可登陆宁波市公安局官网查询（）。公安机关认为定级不准确的，不予备案，并退回单位重新定级。

4、安全建设。根据《GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》，对应保护对象的级别进行规划设计，按照《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》同步开展建设。

5、等级测评。其运营使用单位应委托有测评资质的第三方测评机构，机构名单可登陆中国网络安全等级保护网查询（，浙江8家测评机构名单见附件7），对保护对象开展等级测评。

6、安全整改。单其运营使用位根据测评机构出具的测评报告，对照测评结果进行整改，确保符合安全标准。

7、监督检查。公安机关对单位网络安全等级保护制度落实情况进行监督检查，在检查时，各单位应提供本单位网络信息系统底数清单和台帐，一个网络信息系统对应一本台帐。网络信息系统台帐应包括：网络安全等级保护自定级报告、网络安全有关材料（网络安全组织机构建立情况、网络系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图）、信息系统安全等级保护备案表、专家评审报告或主管部门审核批准网络安全等级意见、测评后符合系统安全等级保护的技术测评报告（后三项为第二级以上网络系统需提供）。

落实过程中遇到问题可及时与本地等保办联系。

附件1：《中华人民共和国网络安全法》节选

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

附件2：相关案例

1、2020年1月1日17时许，宁波某进出口有限公司的网站被土耳其黑客组织篡改，并张贴该组织标语，造成恶劣影响。经属地公安机关对该公司现场检查后发现，该公司未落实网络安全保护义务及网络安全等级保护制度，根据《网络安全法》有关规定，对该公司作出罚款一万元的行政处罚，对该公司行政主管人员周某作出罚款五千元的行政处罚。

2、2019年2月17日上午，高新区某医院遭勒索病毒攻击，造成信息系统瘫痪，严重影响了患者就医秩序，直至2月19日才恢复诊疗服务。经属地公安机关现场检查后发现，该医院未落实网络安全保护义务及网络安全等级保护制度，根据《网络安全法》有关规定，对该医院作出行政警告的处罚。

3、2019年4月2日，海曙区某证券投资咨询有限公司计算机信息系统被非法侵入，窃取大量公民个人信息上万条后泄露给他人。经属地公安机关现场检查后发现，该公司未按规定落实网络安全等级保护制度，根据《网络安全法》有关规定，对该公司作出行政警告的处罚。

4、2019年中旬，北仑某企业发生一起QQ诈骗案，涉案金额480万，嫌疑人使用了海曙区某服装有限公司的IP地址作为攻击跳板。经属地公安机关对该服装有限公司现场检查后发现，该公司网络安全保护意识淡薄，未落实网络安全等级保护制度，对刑事案件的发生负有一定的行政管理责任。根据《网络安全法》有关规定，对该公司作出行政警告的处罚。

5、2019年2月中旬，我市先后有五家医疗机构遭勒索病毒攻击。同年12月16日，我市杭州湾新区一家大型制造业企业遭勒索病毒攻击。这些单位的核心业务系统被加密，正常经营秩序受到严重影响，黑客勒索巨额比特币赎金。