網(wǎng)絡(luò)安全等級(jí)保護(hù)制度概述《網(wǎng)絡(luò)安全法》2017年6月1日實(shí)施標(biāo)志著網(wǎng)絡(luò)安全保護(hù)進(jìn)入有法可依的2.0時(shí)代，“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”首次從法律層面提及。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度概述?《網(wǎng)絡(luò)安全法》第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。?《網(wǎng)絡(luò)安全法》第三十一條國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。信息安全等級(jí)保護(hù)制度內(nèi)涵信息安全等級(jí)保護(hù)工作包括五個(gè)環(huán)節(jié):?定級(jí)：即全國(guó)范圍內(nèi)的信息系統(tǒng)(包括網(wǎng)絡(luò))，按照重要性和遭受損壞后的危害性分為五個(gè)安全保護(hù)等級(jí)(第一級(jí)最低，逐級(jí)遞增，第五級(jí)最高)。?備案：等級(jí)確定后，第二級(jí)(含)以上信息系統(tǒng)到公安機(jī)關(guān)備案，公安機(jī)關(guān)審核合格后頒發(fā)備案證明。?建設(shè)整改：備案單位根據(jù)信息系統(tǒng)安全等級(jí)，按照國(guó)家標(biāo)準(zhǔn)開展建設(shè)整改，建設(shè)安全設(shè)施、落實(shí)安全措施、落實(shí)安全責(zé)任、建立和落實(shí)安全管理制度。?等級(jí)測(cè)評(píng)：備案單位選擇符合國(guó)家規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)。?監(jiān)督檢查：公安機(jī)關(guān)對(duì)第二級(jí)信息系統(tǒng)進(jìn)行指導(dǎo)，對(duì)第三、四級(jí)信息系統(tǒng)定期開展監(jiān)督、檢查、指導(dǎo)。定級(jí)是首要環(huán)節(jié)，通過定級(jí)，可以梳理各行業(yè)、各部門、各單位的網(wǎng)絡(luò)系統(tǒng)類型、重要程度和數(shù)量等，確定網(wǎng)絡(luò)安全保護(hù)的重點(diǎn)。建設(shè)整改是關(guān)鍵，通過建設(shè)整改使具有不同等級(jí)的網(wǎng)絡(luò)系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力。網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)照重要性和遭受損壞后的危害性分為五個(gè)安全保護(hù)等級(jí)：?第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。?第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。?第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。?第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。?第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。即信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。完善落實(shí)等級(jí)保護(hù)相應(yīng)措施除建立并落實(shí)上述管理制度要求外，《網(wǎng)安法》還從技術(shù)措施入手，對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的構(gòu)建提出了要求，這些要求主要體現(xiàn)在以下幾個(gè)方面：?企業(yè)需采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；?企業(yè)需采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；?企業(yè)需采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；?企業(yè)需采取技術(shù)措施和其他必要措施，確保收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)在完成網(wǎng)絡(luò)安全等級(jí)保護(hù)工作后，企業(yè)還需要委托信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成等級(jí)建設(shè)的等級(jí)保護(hù)對(duì)象定期或不定期（如對(duì)系統(tǒng)進(jìn)行重大改造后）進(jìn)行等級(jí)測(cè)評(píng)，確保等級(jí)保護(hù)對(duì)象的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。企業(yè)對(duì)等級(jí)保護(hù)對(duì)象進(jìn)行測(cè)評(píng)時(shí)應(yīng)當(dāng)委托符合條件的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)。委托測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)工作的，我們建議企業(yè)在測(cè)評(píng)工作正式開始之前開展以下工作規(guī)避測(cè)評(píng)可能給自身帶來的系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和敏感信息泄露風(fēng)險(xiǎn)：?簽署委托測(cè)評(píng)協(xié)議。在測(cè)評(píng)工作正式開始之前，測(cè)評(píng)方和被測(cè)評(píng)單位需要以委托協(xié)議的方式明確測(cè)評(píng)工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求以及雙方的責(zé)任和義務(wù)等，使得測(cè)評(píng)雙方對(duì)測(cè)評(píng)過程中的基本問題達(dá)成共識(shí)；?簽署保密協(xié)議。測(cè)評(píng)相關(guān)方應(yīng)簽署合乎法律規(guī)范的保密協(xié)議，以約束測(cè)評(píng)相關(guān)方現(xiàn)在及將來的行為。例如，雙方可以約定測(cè)評(píng)過程中獲取的相關(guān)系統(tǒng)數(shù)據(jù)信息及測(cè)評(píng)工作的成果屬被測(cè)評(píng)單位所有，測(cè)評(píng)方對(duì)其的引用與公開應(yīng)得到相關(guān)單位的授權(quán)，否則相關(guān)單位將按照保密協(xié)議的要求追究測(cè)評(píng)單位的法律責(zé)任；?簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書?，F(xiàn)場(chǎng)測(cè)評(píng)之前，測(cè)評(píng)機(jī)構(gòu)應(yīng)與相關(guān)單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書，要求相關(guān)方對(duì)系統(tǒng)及數(shù)據(jù)進(jìn)行備份，并對(duì)可能出現(xiàn)的事件制定應(yīng)急處理方案；?進(jìn)行驗(yàn)證測(cè)試和工具測(cè)試時(shí)，避開業(yè)務(wù)高峰期，在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行；?整個(gè)現(xiàn)場(chǎng)測(cè)評(píng)過程要求系統(tǒng)運(yùn)營(yíng)、使用單位全程監(jiān)督。測(cè)評(píng)工作完成后，測(cè)評(píng)人員應(yīng)將測(cè)評(píng)過程中獲取的所有特權(quán)交回，把測(cè)評(píng)過程中借閱的相關(guān)資料文檔歸還，并將測(cè)評(píng)環(huán)境恢復(fù)至測(cè)評(píng)前狀態(tài)。結(jié)語《網(wǎng)