关于网络安全等级保护制度与关键信息基础设施保护的关系,e安在线公众号之前的文章有详细说明,今天通过一个真实的案例来复盘。
案例
2015年,国家两个重要部门联合开发运行了一个网站,支撑在互联网上开展某项业务工作,但网站没有定级,也没有按照国家标准制定安全建设方案,缺少基本的安全技术措施和管理措施,从网上收集重要敏感信息并明文存储,致使网站上线后被有关部门在安全检测中攻入网站后台,获取大量重要数据。该网站被及时关闭、下线,开展整改。在有关部门指导下,重新开展网站定级,制定网站安全建设方案,排除了从网站直接收集用户信息的做法,经等级测评、风险评估合格后,网站重新上线,确保了网站运行安全和数据安全。
这个案例说明,某些重要单位缺乏网络安全意识,对国家网络安全等级保护制度缺乏了解掌握,没有开展定级、备案、等级测评、安全建设等等级保护工作,更没有落实“三同步”要求。
正确理解网络安全等级保护制度与关键信息基础设施保护的关系
1.等级保护制度是普适性的制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。
2.等级保护制度和关键信息基础设施保护是网络安全的两个重要方面,不可分割。关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、