1.《网络安全法》
需要申办等级保护的企业必须参照的其中一个标准是《网络安全法》,《网络安全法》其实早在2017年就发布了,应该算是等保1.0时期的标准,但由于这个比较重要,我们把它放在2.0时代来说。《网络安全法》 明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 采取数据分类、重要数据备份和加密等措施;
5. 法律、行政法规规定的其他义务。
《网络安全法》第三十八条规定:
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
《网络安全法》第五十九条规定:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
该项标准是等级保护标准体系的核心,对2008版标准中提出的基本要求进行了修改完善,形成安全通用要求;对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域,提出了安全扩展要求。3.GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》
该标准主要对共性安全保护目标提出通用安全设计技术要求,该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。4.GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》
该标准与等级保护基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。5.《GBT 22240-2020信息安全技术网络安全等级保护定级指南》
2020年4月28日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT22240-2020信息安全技术网络安全等级保护定级指南》,且该指南将于2020年11月1日正式实施。该指南主要是对信息系统的定级指引,包含内容有:等级保护对象介绍、定级要素与安全保护等级的关系、定级流程、不同保护对象的定级说明等。
