全面解读互联网安全:网络安全法与等级保护工作的关系
全面解读互联网安全:网络安全法与等级保护工作的关系。不得不等一直想写一篇关于网络安全法与等级保护工作关系的文章,法律是件很严谨、很规范的事,做为一个法外人士,特别是网络安全法细则还没出来,不敢贸然解读。今天不得不等就简单解读下网络安全法中十分明确的关于等级保护的一些条款。
我们知道2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法于2017年6月1日就开始正式实施了,算算还有三个月不到的时间。网络安全法里面明确提出等保的条款有:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
21条是等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条,简单点就是单位不做等级保护工作就是违法。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
38条,是明确了有关键信息基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,没有明确这里的检测评估是什么形式,但是等级保护测评至少从技术上可以满足这个要求,等级保护测评就是对单位重要信息系统做的一个安全检测评估。你做了等保肯定是满足第38条了。那哪些是关键信息基础呢?网络安全法大概说了下:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,关键信息基础设施的具体范围和安全保护办法由国务院制定。具体范围还没明确,怎么保护也没明确,但是可以从中看出一二,大家自己去意会了,现在没法明确说明。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
59条很明确,就是用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-10万,罚款不算少,罚的多的话可以够很多个系统的等级保护测评费用了。罚款是一方面,我想更多的是因为这件事对单位声誉,对个人声誉,对个人的职业发展非常不利。
不得不等最后苦口婆心,费尽口舌的和各位朋友们说句:等级保护工作是国家网络安全的基础性工作,是网络安全法要求我们履行的一项安全责任,我们务必重视,务必尽快开展起等级保护测评工作,时间真不多了,三个月不到的时间,到了6月1日,说的严重点,没有开展等级保护工作的单位就是违法了,耍流氓不一定违法,不做等保测评一定是违法。