网络安全法与等级保护.PPT

（1）安全风险评估要求 ①具体内容：应当自行或者委托网络安全服务机构对其网络的安全性和可能风险每年至少1次检测评估；检测评估情况和改进措施报送相关负责部门。 ②法律责任：由有关主管部门责令改正， 给予警告；拒不改正或者导致危害网络安全等后果的，处10-100万罚款，对直接负责的主管人员处1-10万罚款。 网络安全法要求及处罚 （2）网络安全等级保护要求 ①具体内容：制度建设与负责人；安全防范技术措施；不少于6个月的安全日志；数据分类与备份加密。 ②法律责任：责令改正及警告；警告不改罚款公司1-10万，主管5千-5万。 网络安全法要求及处罚 （3）安全技术措施同步要求 ①具体内容：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。 ②法律责任：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。 网络安全法要求及处罚 （4）采购安全必威体育官网网址要求 ①具体内容:采购网络产品和服务，应当按照规定与提供者签订安全必威体育官网网址协议，明确安全和必威体育官网网址义务与责任。 ②法律责任：责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10-100万罚款，对直接负责的主管人员处1-10万罚款。 网络安全法要求及处罚 （5）信息与数据境内存储及跨境数据传输的安全评估要求 ①具体内容:境内运营中收集和产生的个人信息和重要数据应当在境内存储；需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 ②法律责任：责令改正，给予警告，没收违法所得；处 5-50万罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责主管和直接责任人处1-10万罚款。 网络安全法要求及处罚 （6）应急预案要求 ①具体内容：制定网络安全事件应急预案；在发生危害网络安全的事件时，立即启动应急预案；按照规定向有关主管部门报告。 ②法律责任：责令改正及警告；警告不改罚款 公司1-10万，主管5千-5万。 网络安全法要求及处罚 二、信息安全等级保护 信息安全等级保护定义 《信息安全等级保护管理办法（试行）》：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损害国家安全、社会秩序和公共利益。 第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 划分准则--GB 17859-1999 第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级为专控保护级，适用于涉及国家安全的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。 实施指南－－GB/T 25058-2010 等级保护实施过程 基本原则 主要过程及其活动 角色、职责 基本流程 等级变更 局部调整 信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商 * 等级保护之十大标准 基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T 25058-2010 应用类 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008