企业为什么要做等级保护-编程知识

一、等级保护是我国关于网络安全的基本政策

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“27 号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2007年6月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43 号，以下简称“43号文件”）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

2017年6月1日正式实行的《中华人民共和国网络安全法》中第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

二、未开展网络安全的处罚

案例一：

江苏泰州公安网安部门工作发现，当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞，且未建立健全全流程数据安全管理制度，未落实有效的数据安全防护措施，可致该系统中存储的24万余条业务数据泄露，涉嫌未履行数据安全保护义务。

泰州公安机关依据《数据安全法》第45条规定，对该不动产登记中心予以行政警告并责令改正；对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。

案例二：

江苏盐城公安网安部门在对当地某医药公司检查时发现，该公司医疗健康信息的会员管理系统存有大量公民个人信息，经现场检测发现该系统存在网络安全漏洞，且该公司未建立数据安全管理制度，未组织开展数据安全教育培训，也未采取相应技术措施保障数据安全，涉嫌未履行数据安全保护义务。

盐城公安机关依据《数据安全法》第45条规定，对该公司予以行政警告并责令限期改正。

案例三：

浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。

浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

案例四：

湖南省长沙市公安局岳麓分局网安部门工作发现，辖区某电商平台的票务系统存在数据泄露隐患，该企业服务器存在未授权访问漏洞，用户以你说数据存在泄漏风险。

经过调查，该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度，根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该企业警告，并处罚款五万元，对直接责任人处罚款一万元，责令限期改正。

目前已经看到国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例不下于10起，其中就单独针对没有及时开始等级保护工作的至少也有三起了。

从以上案例中可以知道贯彻落实网络安全是何等的重要，这也是国家开展等级保护的核心意义所在，确保信息系统的安全性、稳定性和可靠性。等保的目的是防止信息泄露、篡改、丢失等安全风险，并实现信息的可持续利用。

国家的法律法规、相关政策制度要求我们去开展等级保护工作，不做等级保护工作就是不合规行为，严肃点说，就是在违法，大家务必重视，不能麻痹大意。

三、等级保护的步骤

第一步：系统定级。系统定级是信息安全等级保护工作的首要环节。它涉及到对业务、资产、安全技术和安全管理进行调研，确定定级系统，并准备定级报告。这一步骤的目的是明确信息系统的安全保护等级，为后续工作奠定基础。

第二步：系统备案。系统备案是将定级结果报送相关主管部门进行备案的过程。备案单位需要准备备案工具，填写备案表，生成备案电子数据，并提交给公安机关进行备案手续。备案的目的是确保信息系统的安全保护等级符合相关法律法规和政策要求。

第三步：建设整改。建设整改是根据定级要求和标准，对信息系统进行整改加固，建设安全管理体系的过程。这一步骤旨在消除或降低信息系统存在的安全风险，提升系统的安全防护能力。

第四步：等级测评。等级测评是对信息系统安全等级保护状况进行检测评估的活动。它由具有资质的测评机构依据国家信息安全等级保护规范规定进行。等级测评的目的是检验信息系统是否达到了预定的安全保护等级，并发现可能存在的安全隐患。

第五步：合规监督检查。合规监督检查是公安机关对信息系统等级保护工作进行监督检查的过程。在这一步骤中，公安机关会对信息系统进行合规性检查，确保其符合相关法律法规和政策要求。同时，也会对之前步骤的工作进行复核，以确保整个等级保护工作的有效性和完整性。

四、等级保护定级

如何判断自身企业适用哪一级等保呢？一般我们按照侵害的程序来为系统进行定级。

受侵害的客体分为三类：公民、法人、其他组织等；公共秩序、公共利益；国家安全。

第一级：自主保护级，这是最低级别的安全保护等级，主要适用于小型私营、个体企业、中小学，以及乡镇所属的信息系统。当这类信息系统受到破坏时，主要会对公民、法人和其他组织的合法权益造成损害，但并不会对国家安全、社会秩序和公共利益造成损害。运营和使用这些信息系统的单位应当依据国家有关的管理规范和技术标准来进行保护。

第二级：指导保护级，这一级别的安全保护要求相对较高，主要适用于县级单位中的重要信息系统，以及地市级以上国家机关、企事业单位内部的一般信息系统。当这些信息系统受到破坏时，可能会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不会损害国家安全。在这一级别中，国家信息安全监管部门会对信息系统的安全等级保护工作进行指导。

第三级：监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统。当这些系统受到破坏时，可能对国家安全、社会秩序和公共利益造成损害。因此，对这些系统的安全保护要求非常高。在这一级别中，运营和使用这些信息系统的单位不仅需要依据国家的相关管理规范和技术标准进行保护，还需接受国家信息安全监管部门的严格监督。

第四级：强制保护级，这一级别适用于那些涉及国家安全、社会秩序和公共利益的重要信息系统，且其安全保护要求极高。当这些系统受到破坏时，可能对国家安全、社会秩序和公共利益造成严重损害。因此，需要采取最高级别的安全保护措施，包括严格的身份认证、访问控制、数据加密、安全审计和物理环境保护等。

第五级：专控保护级，这是最高级别的安全保护等级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统。这些系统的安全性对于整个国家的安全和稳定至关重要，因此其受到破坏后可能对国家安全、社会秩序和公共利益造成特别严重损害。在这一级别中，需要采取最为严格和专业的安全控制措施来确保系统的安全性和可靠性。

侵害程度分类：

一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。
严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成比较严重损害。
特别严重损害：工作职能受到严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。