网络安全法与等级保护

一、总则为加强网络安全保护，保障国家信息安全，依据《中华人民共和国网络安全法》等相关法律法规，结合我国网络安全等级保护制度，制定本制度。

二、适用范围本制度适用于我国境内所有网络运营者、网络服务提供者和网络用户，以及其他依法应当进行网络安全等级保护的相关单位。

三、安全保护等级根据网络安全等级保护制度，将网络安全分为以下五个等级：1. 第一级：一般网络，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。

2. 第二级：一般重要网络，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。

3. 第三级：重要网络，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害。

4. 第四级：特别重要网络，一旦受到破坏会对国家安全、社会秩序和公共利益造成特别严重危害。

5. 第五级：核心关键网络，一旦受到破坏将对国家安全、社会秩序和公共利益造成极其严重危害。

四、安全保护措施（一）安全策略1. 制定网络安全总体策略，明确网络安全目标、原则和实施路径。

2. 根据不同安全保护等级，制定相应的安全策略。

3. 定期评估和修订安全策略，确保其适应网络安全形势的变化。

（二）安全管理制度1. 建立健全网络安全管理制度，包括网络安全组织架构、安全责任制、安全操作规程等。

2. 制定网络安全风险评估、应急响应、安全审计等管理制度。

3. 对网络安全管理制度进行培训和宣传，提高全员安全意识。

（三）安全防护措施1. 根据安全保护等级，采取物理安全、网络安全、主机安全、应用安全、数据安全等多层次的安全防护措施。

2. 采用加密、身份认证、访问控制等技术手段，确保网络安全。

3. 定期进行安全检查和漏洞扫描，及时修复安全漏洞。

（四）安全运营管理1. 建立网络安全运营中心，实时监控网络安全状况。

2. 对网络安全事件进行及时响应和处理，降低安全风险。

JUANSHOU｜卷 首｜ 网络安全等级保护制度是国家网络安全的基石◎郭启全今年5月，由公安部牵头历时五年组织修订的《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》和《网络安全等级保护测评要求》等国家标准，由国家市场监督管理总局、国家标准化管理委员会进行了发布，这标志着我国网络安全等级保护制度真正进入了2.0时代。

网络安全等级保护制度是我国网络安全保障工作的伟大创举、是国家网络安全的基石、是网络安全领域广大工作者的智慧结晶。

《网络安全法》明确了网络安全等级保护制度的法律地位。

作为国家网络安全保障领域的基本制度、基本策略和基本方法，它是维护网络空间主权、国家安全、社会秩序和公共利益的根本保障。

实施网络安全等级保护制度，可确保网络运营者在网络建设过程中，同步规划、同步建设、同步运行网络安全保护措施，履行相关责任和义务，确保产品生产厂商在IT产品和网络安全产品设计制造及网络安全服务商在安全服务中落实国家要求，并积极适应新形势新任务。

网络安全等级保护制度要求我们按照分等级保护、突出重点、积极防御、综合防护的原则，建立“打防管控”一体化的网络安全综合防御体系。

要求各有关单位变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防护，变粗放防护为精准防护，重点保护涉及国家安全、国计民生、社会公共利益的网络基础设施安全、运行安全和数据安全。

新时期国家网络安全等级保护制度具有鲜明的特点和内涵。

一是实现两个全覆盖。

其一覆盖全社会，包括民营企业、新兴互联网企业、云服务商和信息服务单位等。

其二覆盖所有保护对象，包括网络、信息系统、物联网、大数据、工控系统和移动互联网等新技术应用。

二是丰富工作内容。

在开展网络定级及评审、备案及审核、等级测评、安全建设整改、自查等要求基础上，增加测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求及应急处置要求等网络安全重点工作。

1.现行重要法律法规框架（网络安全）（关基单位：指关键基础设施单位）注：本图列举了当前我国在非涉密网络安全领域施行的几部重要法律和国家推荐标准；它们构成了我们日常网络安全建设中的基础法律框架。

在合法合规的前提下，我们所有的网络安全建设都必须参照上述法律和标准进行。

2.网络安全法重要建设内容解读《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度。

各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。

除此之外，《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。

未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份：第三十四条第三项规定/第二十一条第四项规定，关键信息基础设施/普通网络运营者单位对重要系统和数据库进行容灾备份。

没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

网络安全法等级保护网络安全法等级保护是指根据信息系统的重要性和对国家安全、经济安全、社会稳定等方面的重要影响程度，将信息系统划分为不同的等级，并根据不同等级的安全需求，制定相应的保护措施。

网络安全法对等级保护提出了明确的要求，旨在维护国家网络安全和信息安全。

网络安全法规定，国家对涉及国家安全、国民经济和社会发展的重要信息系统进行等级保护。

等级保护分为四个等级，依次为特级、一级、二级和三级。

特级保护对象是关系到国家安全的重要信息系统，包括国家军事、外交、经济、科技、能源、交通、金融、公共服务等领域的重要信息系统。

这些信息系统一旦被攻击，将严重威胁到国家安全和经济稳定，因此需要采取最高级别的安全保护。

一级保护对象是关系到国家经济、社会发展和公共安全的重要信息系统，包括电力、通信、水利、环境保护、金融、商业、交通、医疗、公共安全等领域的重要信息系统。

这些信息系统一旦遭受攻击，将对国家经济发展和社会稳定产生较大影响，因此需要采取较高水平的安全保护。

二级保护对象是关系到重要行业、单位和个人的重要信息系统。

这些信息系统包括教育、文化、娱乐、科研、行政管理、企事业单位等等。

对于这些信息系统的安全保护，需要根据具体情况制定相应的保护措施，确保信息系统的安全运行。

三级保护对象是关系到一般行业、单位和个人的信息系统。

这些信息系统主要包括个人博客、小型企业网站、个人电脑等。

虽然对于这些信息系统来说，威胁较小，但是仍然需要采取一定的安全措施，保障信息安全。

网络安全法要求各级政府、企事业单位和个人按照等级保护要求，采取技术、管理和物理等多种手段进行网络安全保护。

特级、一级和二级保护对象应当经过国家相关机关的认定，并严格按照要求进行安全保护。

总之，网络安全法等级保护是一项重要的举措，对于确保信息系统的安全运行和维护国家网络安全具有积极意义。

各级政府、企事业单位和个人都应当根据等级保护要求，加强网络安全意识，采取相应的安全保护措施，共同维护良好的网络安全环境。

网络安全等级保护工作须知一、为什么要落实网络安全等级保护工作1、法律有明确规定。

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。

因此，不落实网络安全等级保护制度就是违法。

（<中华人民共和国网络安全法>节选见附件1）2、有效提高自身网络安全。

实践证明，对网络信息系统分等级保护能够有效提高安全防护水平，降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险（相关案例见附件2）。

3、有效保障和控制网络安全建设成本。

在网络信息系统规划、建设和使用过程中同步建设安全设施，保证网络安全与网络信息系统建设相协调，可有效保障和控制网络安全建设成本，避免不必要的支出。

二、网络安全等级保护基本知识1、等级保护对象。

指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，等级保护对象覆盖全社会和所有网络信息系统，包括：非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。

2、三同步原则。

各单位应遵循网络安全与网络信息系统“同步规划、同步建设、同步使用”的原则，确保网络安全落实到位。

3、级别。

根据网络信息系统在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，从第一级开始，从低到高分为五个安全保护等级。

4、工作流程。

包括定级备案、安全建设、等级测评、安全整改和监督检查。

三、如何落实网络安全等级保护工作1、自定级。

单位确定网络安全等级保护对象后，参照《GA/T 1389—2017信息安全技术网络安全等级保护定级指南》自行确定网络系统的等级，填写《网络安全等级保护自定级报告》（模板见附件3）。

如主管部门对定级对象有定级指导意见的，按指导意见确定等级（原则上大数据安全保护等级为第三级以上；国家关键信息基础设施的安全保护等级应不低于第三级）。

网络安全等级保护管理制度第一章绪论第一条为了加强网络安全等级保护管理，维护国家网络安全，保护国家利益和社会公共利益，依据《网络安全法》等相关法律法规，制定本制度。

第二条本制度适用于我国各类网络运营者和网络使用者，具体包括但不限于政府机关、企事业单位、社会团体、个人等。

同时，本制度也适用于为其它单位、个人提供网络服务或者网络资源的网络运营者、服务提供者和网络使用者。

第三条网络安全等级保护管理是指根据网络安全风险等级划分网络安全等级，对不同等级的网络实行不同的安全保护管理措施的过程。

网络安全等级保护管理包括网络安全等级的划分、网络安全等级的评估、网络安全等级的保护和网络安全等级的监测监控等内容。

第四条国家网络安全等级保护管理是由国家网络安全主管部门负责统一领导、全面协调、指导管理，并指导和监督有关单位和个人按照网络安全等级保护管理制度的要求开展网络安全保护工作。

第五条地方各级人民政府网络安全及有关主管部门应当在本行政区域内组织、指导网络安全等级保护管理工作，并配合国家网络安全主管部门做好相关工作。

第二章网络安全等级划分第六条网络安全等级划分是指依据国家网络安全风险评估结果，对网络按照其网络安全风险等级的高低进行分类划分的活动。

第七条国家对网络安全等级划分的原则是：适应国家网络安全风险等级分类管理的需要，保证国家关键信息基础设施（以下简称关键信息基础设施）的网络安全，加强对网络安全的管理和控制，加强关键信息基础设施的保护力度。

第八条关键信息基础设施分为三个安全等级：高级别、中级别和低级别。

高级别包括国家安全、国民经济的正常运行和社会生活的运行至关重要的信息基础设施；中级别包括国民经济和社会生活运行的重要信息基础设施；低级别包括与国民经济和社会生活运行有关的信息基础设施。

第九条在国家网络安全等级划分中，应当综合考虑以下要素：信息技术系统的安全可靠性和运行稳定性、信息或信息系统的机密性、完整性和可用性等信息安全保护需求，以及与信息安全保护有关的法律法规和标准要求等。

网络安全等级保护管理制度第一章绪论一、总则为加强我国网络安全等级保护管理工作，维护国家网络安全，保障国家政治、经济、文化和社会信息安全，根据《网络安全法》有关规定，制定本管理制度。

二、目的和基本原则（一）本管理制度的目的是规范网络安全等级保护管理工作，确保网络信息系统的安全性和稳定性，维护国家信息网络安全。

（二）基本原则：依法、科学、公正、独立原则。

三、适用范围本管理制度适用于国家机关、企事业单位、社会组织和个人在境内通过互联网接入或者提供信息服务业务的网络信息系统的等级保护管理工作。

第二章网络安全等级划分一、等级划分标准（一）根据网络信息系统对待保护对象的重要程度和对信息安全的保护要求，网络安全等级分为四个等级：Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级。

（二）对不同等级的网络信息系统，其重要性和风险程度越高，要求的保护程度越高。

（三）具体等级划分标准由国家网络信息安全管理部门按照现行法律法规和规章制度制定。

二、等级保护要求（一）Ⅰ级网络信息系统1. 高可用性：不可接受长时间停机。

2. 安全性：必须采取高强度防护，确保系统不被攻破。

3. 保密性：绝对保密，未经授权人员不得查看系统数据。

4. 审计功能：系统需具备完善的审计功能，对系统操作和记录进行监控。

5. 安全监控：对危险源进行监视，确保网络安全。

（二）Ⅱ级网络信息系统1. 可用性：要求系统可用性高，且能够快速恢复。

2. 安全性：系统需采取必要防护措施，保障系统不被攻击。

3. 机密性：要求信息保密性高，严格限制数据访问权限。

4. 审计功能：对系统操作和记录进行审计，及时发现安全问题。

5. 安全监控：对系统运行状态进行监控，发现异常状况及时处理。

（三）Ⅲ级网络信息系统1. 可靠性：确保系统稳定运行，能够防范常见的安全威胁。

2. 安全性：采取适当防护措施，确保系统不受攻击。

3. 机密性：要求信息保密性较高，限制数据访问权限。

4. 审计功能：对系统操作和记录进行审计，及时发现问题。