第三章 网络运行安全

第一节 一般规定

问题24 国家关于网络安全等级保护制度有何规定？

答 1.网络安全法第二十一条规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。”

“网络安全等级保护制度”是我国网络安全领域的一项重要制度，是由“信息安全等级保护制度”演化而来的。

2.国务院1994年发布的《计算机信息系统安全保护条例》第九条规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”

3.公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室2004年发布的《关于信息安全等级保护工作的实施意见》中指出：“信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。”

4.公安部、国家保密局、国家密码管理局、国务院信息化工作办公室2007年发布的《信息安全等级保护管理办法》中的相关规定如下：

第一条：“为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据我国计算机信息系统安全保护条例等有关法律法规，制定本办法。”

第二条：“国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。”

第三条：“公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。”

第四条：“信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。”

第五条：“信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。”

5.《计算机信息系统安全保护等级划分准则》（GB 17859-1999）、《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）、《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058-2010）《信息安全技术信息系统安全等级保护测评要求》（GB/T 28448-2012）《信息安全技术信息系统安全等级保护测评过程指南》（GB/T 28449-2012）、《信息安全技术信息系统等级保护安全设计技术要求》（GB/T 25070-2010）等国家标准，与相关法律法规共同构成现有的信息安全等级保护标准体系。