等级保护的定义:
是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行相应、处置。等级保护,即分等级保护,分等级监管。
三个分等级:信息系统,安全产品,安全事件。
等保1.0与等保2.0的区别:
| 等保1.0时代 | 等保2.0时代 | |
| 五个规定动作:定级、备案、建设整改、等级测评、监督检查。 | 工作内容 | 满足等保1.0时代五个规定动作。 增加了:风险评估、安全监测、通报预警,案事件调查、数据防护、自主可控、供应链安全、效果评价、综治考核等等方面。 |
| 传统的网络和信息系统 | 保护对象 | 从传统的网络和信息系统,向“云大物智移”上扩展。 |
| 十个安全控制域。 总体控制要求:(以三级为例)控制数量为290个点。 | 保护力度 | 缩减为八个安全控制域。 总体控制要求:(以三级为例)控制数量从290个点,调整为231个点(以GB/T-22239<信息安全等级保护基本要求>为对比点)。 |
网络安全合规:
界定:
网络安全合规,是指网络运营者应当全面遵守网络安全法律(如《网络安全法》)、国家标准(如《个人信息安全规范》)及相关文本规范,避免遭受法律制裁或监管处罚。
主体:
《网络安全法》语境下的“网络运营者”是一个非常广泛的概念,包括网络(各种网络和触网的系统,例如局域网、工业控制系统、自动化办公系统、社交媒体等)的所有者、管理者(含网络或内容管理)和网络服务提供者(包括网络内容服务提供商、网络平台服务提供商、网络接入服务提供商。从广义上来说,还包括《网络安全法》第二十二条提到的“网络产品、服务的提供者”)。
依据:
网络安全合规的依据不仅仅包括《网络安全法》,同时包括消费者权益保护法、民法总则、刑法等基本法。同时还包括全国人大的决定以及其他单行法规(例如国务院292号令)、规章(例如工信部24号令)等,相关法律法规、司法解释、国家技术标准和政策文件等也是网络安全合规的依据。
网络安全合规审查内容:
1.网络安全等级保护的合规审查
网络安全等级保护制度作为保障和促进我国信息化建设健康发展的一项基本制度,不做等级保护(简称“等保”)工作就是不合规行为。
合规要点之一:审查是否定级和备案,并进行合规审查。
合规要点之二:审查是否落实“建设整改”工作,并进行合规审查。
合规要点之三:审查是否开展“等级测评”工作,并进行合规审查。
合规要点之四:审查是否开展“监督检查”工作,并进行合规审查。
2.关键基础信息设施安全的合规审查
《网络安全法》第三章第二节“关键信息基础设施”首次对关键信息基础设施运营者(CIIO)的网络安全义务从法律层面予以规定,对CIIO提出了比一般网络运营者更高的法定安全保护义务。
合规要点之一:完成关键信息基础设施的识别与确定是合规整改的前提
合规要点之二:审查政策文件要求落实情况
合规要点之三:审查国家安全标准、行业标准等执行情况
合规要点之四:审查信息安全等级保护落实情况
合规要点之五:审查个人信息和重要数据保护情况
合规要点之六:审查安全管理机构设置和人员安全管理情况
合规要点之七:审查安全管理保障体系落实情况
合规要点之八:审查备份与恢复情况﹔审查应急响应与处置情况
3.网络产品和服务安全合规审查
合规要点之一:个人信息收集的合规审查
合规要点之二:个人信息保存的合规审查
合规要点之三:个人信息的使用
合规要点之四:个人信息的委托处理
合规要点之五:个人信息共享、转让和公开披露的合规审查
合规要点之六:个人信息跨境传输的合规审查
合规要点之七:个人信息安全事件处置的合规审查
合规要点之八:组织管理的合规审查
4.数据出境安全合规审查
合规要点之一:熟悉数据出境安全评估总体流程
合规要点之二:把握审查安全自评估流程
合规要点之三:了解审查主管部门评估流程
5.网络信息安全的合规审查
合规要点之一:网络产品和服务安全审查的主体
合规要点之二:网络产品和服务安全审查的范围
合规要点之三:网络产品和服务安全审查的重点
合规要点之四:网络产品和服务安全审查的启动
合规要点之五:网络产品和服务安全审查的评估报告
扫一扫
913
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
