贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度解读

近日，公安部制定出台了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，为要深入贯彻的党中央有关文件精神以及《网络安全法》，指导重点行业、部门全面落实网络安全等级保护制度与关键信息基础设施安全保护制度，目的在于进一步健全完善国家网络安全综合防控体系，使其能有效防范网络安全威胁，有力处置重大网络安全事件，切实保障关键信息基础设施、重要网络和数据安全。

网络安全等级保护制度

01 法律政策依据

1994年，国家规定对计算机信息系统实行安全等级保护

1994年年二月一十八号日，位于中华人民共和国的国务院发布令，名为第 147号，此令发布了《中华人民共和国有关的计算机信息系统安全保护的条例》，就其中的第六条而作出规定标明：“公安部在主管范围方面在全国范畴内负责对计算机信息系统的安全保护有关工作进行管理并开展”，就其中的第九条作出规定表明：“计算机信息系统推行并实行安全等级保护这一相关策略，关于安全等级的划分标准以及安全等级保护的具体有关办法，是由公安部联合会同有关的其他部门共同进行制定的” 。

2007年爱游戏app入口官网首页，信息安全等级保护制度正式开始实施

2007年6月22日，公安部印发了《信息安全等级保护管理办法》（公通字〔2007〕43号），国家保密局印发了《信息安全等级保护管理办法》（公通字〔2007〕43号），国家密码管理局印发了《信息安全等级保护管理办法》（公通字〔2007〕43号），原国务院信息化工作办公室印发了《信息安全等级保护管理办法》（公通字〔2007〕43号），这标志着等级保护制度正式开始实施。

2017年，网络安全等级保护制度成为网络安全的基本制度

2017年6月1日，《网络安全法》才正式开始实施，第二十一条之中规定，国家得以实行网络安全等级保护的制度，网络运营者需要按照规定履行对应的义务了，要保障网络不会受到干扰，从而避免被破坏或者遭受未经授权的访问，还要防止网络数据出现出现泄露或者遭到窃取、篡改的情况，且必须履行安全保护的义务。

02 基本内容

简要陈述来讲，网络安全等级保护乃是针对网络实施分等级予以保护，分各个等级进行监管，存在以下几个关键词：

定级，是网络运营者针对信息网络、信息系统、网络上的数据以及信息，依据重要性以及遭受损坏之后的危害性，划分成五个安全保护等级，从第一级直至第五级，是逐级增高的 。

分级确定之后办理备案，第二级以及包括第二级以上的网络需要前往公安机关备案那里备案，公安机关会针对备案材料以及定级准确性展开审核工作，审核通过以后会颁发备案证明。

备案单位依据网络的安全等级，按照安全国家标准来开展安全建设整改之事，进行安全设施的建设，落实安全责任，建立并且落实网络安全管理制度。

测评。备案单位选择符合国家要求的测评机构开展等级测评。

监管，经公安机关对第二级网络予以指导，针对第三级、第四级网络定期开展相关监管，并进行检查。

03 网络安全等级保护制度2.0新特征

自从国家网络安全等级保护制度开始实施以后，它已然变成了国家网络安全的基本制度以及基本国策。伴随经济社会出现发展以及技术取得进步，等级保护制度迈进了2.0时代。

网络安全等级保护制度2.0，是基于1.0实现发展的，达成了对新技术、新应用安全保护对象的全覆盖，也实现了安全保护领域的全覆盖，它更突出技术思维以及立体防范，注重全方位主动防御，注重动态防御，注重整体防护，还注重精准防护，强化了“一个中心，三重防护”的安全保护体系，将云计算、物联网、移动互联、工业控制系统、大数据等相关新技术新应用，都全部纳入了保护范畴。

关键信息基础设施安全保护制度

《网络安全法》第三十一条有规定，国家针对公共通信和信息服务、能源、交通、水利、公共服务、电子政务等重要行业和领域，还有其他一旦遭受破坏、失去功能或者数据出现泄露，就可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，是在网络安全等级保护制度的基础之上，实行重点保护 。

国家领导人着重指出，金融领域，作为经济社会运行的关键一环，其关键信息基础设施至关重要，能源领城，关乎经济社会运转，其中关键信息基础设施不容忽视，电力领域，关乎国民实际民生诸多方面，其关键信息基础设施举足轻重，通信领域，对现代信息交流极为关键，其关键信息基础设施不可或缺，交通领域，保障人员商品及信息资源流通，其关键信息基础设施意义重大，这些领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。从世界范围来看，各个国家网络安全立法以保护关键信息基础设施为核心。加强关键信息基础设施的安全保保护，是我国网络安全严峻形势的迫切需求，是切实贯彻国家安全的必然要求。

按照《网络安全法》以及中央文件精神的相关规定，公安机关开展对关键信息基础设施安全保护工作的指导与监督。我部在积极着手进行且正在推进让关键信息基础设施安全保护制度得以健全完善，随后启动施实该制度。针对此项工作，我部对各单位和众多部门予以指导，使其着重加强针对关键信息基础设施安全的法律体系、政策体系、标准体系构建，同时强化保护体系、保卫体系以及重要的保障体系建设环节。在贯彻落实网络安全等级相关保护制度的基础之上，明确突出需要重点保护的方面，大力强化各种保护举措的效力体现实现，进而实实在在地维护好关键信息基础设施安全状况，全力以赴尽最大努力去把关键信息基础设施安全防护能力提升上去。

《指导意见》主要内容介绍

01 确定了指导思想、基本原则和工作目标

《指导意见》，是以国家领导人之于新时代中国特色社会主义思想作为指导的，是以总体国家安全观作为统领的，认真去贯彻实施网络强国战略，全力去保护关键信息基础设施，全力去保护重要网络，全力去保护数据安全。

包含《指导意见》的三大原则，其一为坚持分等级保护、突出重点，其二为坚持积极防御、综合防护，其三为坚持依法保护、形成合力 。

将《指导意见》目标明确为四项工作任务。其一，要保证网络安全等级保护制度能够得以深入且持续地贯彻执行，其二，关键信息基础设施安全保护制度需得以构建并实施展开，其三，网络安全监测预警以及应急处置能力要实现显著程度的提升，其四，网络安全综合防控体系要接近于基本达成形成状态。

02 深入贯彻实施国家网络安全等级保护制度

促使网络定级备案工作进行深化，将运营者所有网络情形予以全面梳理，这其中涵盖云计算、物联网、新型互联网、大数据、智能制造等新技术应用的情况，进而科学查明保护等级，依照法律规定向公安机关开展备案。行业主管部门按照《网络安全等级保护定级指南》国家标准，把行业所特有的特点予以结合，制定出行业网络安全等级保护定级的指导意见 。

网络安全等级测评要定期展开，针对已定级备案网络的安全性予以检测评估，第三级以上的网络运营者须委托符合国家有关规定的等级测评机构，每年开展网络安全等级测评，公安机关得加强对本地等级测评机构的监督管理，以此确保等级测评过程是客观、公正、安全的。

安全建设整改要科学地去开展。运营者于网络建设进程以及运营进程当中，应当做到同步规划网络安全保护措施，还要同步建设该措施，不仅如此，也要同步使用该措施，能够借助网络迁移上云这一方式，或者借助网络安全服务外包的方式，充分地去运用网络安全服务商从而提升网络安全保护能力。

对安全责任落实予以强化，依据“谁主管谁负责以及谁运营谁负责”的准则，将网络安全保护边界理清，构建起网络安全等级保护工作责任制。

强化供应链安全管控，对网络关键人员安全管理予以加强，采购契合国家法律法规以及有关标准规范要求的网络产品与服务，使用符合上述要求的网络产品及服务 。

将密码安全防护要求予以落实，第三级以上的网络运营者于网络规划阶段爱游戏ayx官网登录入口，按照密码应用安全性评估管理办法以及相关标准，在网络安全等级测评里同步展开密码应用安全性评估，于网络建设阶段，同样如此，在网络运行阶段，亦是这般 。

03 建立并实施关键信息基础设施安全保护制度

对之进行组织认定，组织公共通信于其中，还有信息服务，以及能源、交通、水利、金融、公共服务、电子政务、国防科技工业等那些有着重要作用的行业部门，和主管、监管部门，让其制定本行业、本领域关键信息基础设施认定规则然后报给公安部备案，组织认定关键信息基础设施，及时把认定结果通知给相关设施运营者并且报给公安部。重点保护对象里那些符合认定条件的，像基础网络，大型专网，核心业务系统，云平台，大数据平台，物联网，工业控制系统，智能制造系统，新型互联网，新兴通讯设施等，都应该被纳入关键信息基础设施。

清晰地明确出相应职能划分，其中公安部承担着针对关键信息基础设施安全保障工作实施宏观层面设计以及进行全面性规划与部署的职责，而承担保护工作的部门则负责在自身所涉行业和领域范围内开展关于关键信息基础设施安全保护工作的组织领导工作。

重点措施，关键信息基础设施运营者组织开展具体工作，开展安全建设，开展等级测评，梳理网络资产，建立资产档案，强化核心岗位人员管理，强化整体防护，强化监测预警，强化应急处置，强化数据保护等重点保护措施，积极利用新技术开展网络安全保护。

数据以及个人信息予以保护，强化对重要数据与个人信息的保护，在境内开展运营进程期间所收集以及产生的个人信息，还有重要数据要在境内进行存储 。

对核心岗位人员以及产品服务予以强化管理，强化针对核心岗位人员和产品服务的安全管理，去采购安全且可信的网络产品和服务，要是采购的产品和服务存在可能影响国家安全的情况，应依照国家有关规定经由安全审查，以此确保供应链安全。

04 加强网络安全保护工作协作配合

行业主管部门、网络运营者与公安机关密切协同。

加大网络安全立体化监测体系构建力度，针对关键信息基础设施、关键网络等展开实时监测。着力强化对网络新技术的研究以及应用，竭力研究并绘制关乎网络空间的地理信息图谱（即网络地图）。行业的主管部门、网络的运营者着手建设本行业、本企业那涉及网络安全保护领域的业务平台，用心搭建这平台的智能核心部分爱游体育app下载官网，使之与公安机关的平台实现对接，从而构筑起一种条块相互契合、纵向横向连通、协同合作驱动联动的综合性防护巨大格局。着重关注重点行业、网络运营者以及公安机关去搞那网络安全监控指挥中心的建设，全力确立起一种带有常态化特质、饱含实战化特点的网络安全工作机制。

强化网络安全方面的信息共享以及通报预警工作，凭借国家网络与信息安全信息通报机制，增强各行业、各部门在网络安全信息通报上的能力建设。

重视网络安全应急处置机制构建，时常搞应急演练，协同公安机关，定期展开一年里面的网络安全监督检查、比武演习等相关工作 。

加强公安机关在网络安全事件处置方面的工作、加强案件侦办工作及行政执法工作，为此公安机关创设了挂牌督办制度，当某网络运营者在网络安全工作上存在不力情况，并出现重大网络安全案事件之时，针对这些情况来展开挂牌督办 。

05 加强网络安全工作各项保障

强化组织方面的领导，把网络安全等级保护以及关键信息基础设施安全保护工作，列入各个部门重要的议事日程当中，对网络安全机构、人员、经费、建设等这样重大的问题展开研究并解决，明确本单位的主要负责人是网络安全的首要责任人，组建网络安全专门的机构去抓好落实。

给予支持重点网络安全技术产业以及项目，助力网络安全技术的研究开发还有创新应用，促使网络安全产业朝着健康方向发展 。

建立健全网络安全考核评价机制，使之得到完善，把网络安全相关工作归入考核评价体系之中 。

增强技术方面的攻克钻研，促使网络安全企业、科研机构、专家等社会力量踊跃参与到网络安全核心技术的攻克钻研之中。强化网络安全等级保护以及关键信息基础设施安全保护标准的制定工作，加大标准的宣传贯彻以及应用实施力度，构建试点示范基地，推动我国网络安全产业以及企业达成健康的发展局面。

加大人才培育力度，借由组织举办比武竞赛这般形式，寻觅挑选高精尖技术型人员，搭建人才储备库，构建完善人才发觉、培育、选拔以及任用机制，给做好网络安全事项供给人才保障。