什么是网络安全等级保护备案?
2022. 8. 24
什么是网络安全等级保护备案?
Q: 什么是网络安全等级保护备案?
A: 网络安全等级保护制度是指将等级保护对象(主要包括信息系统、通信网络设施和数据资源)按照重要程度(损害时的影响范围、损害规模等)分为5个等级,并规定了各等级的范围、运营者的义务以及应对措施等的制度,是中国网络安全领域最重要的制度之一,主要通过2007年6月22日正式实施的《信息安全等级保护管理办法》进行规定,其中被确定为第二级以上的信息系统应当按照要求办理备案手续。2017年《中华人民共和国网络安全法》(以下称《网络安全法》)的正式实施,标志着等级保护2.0的正式启动。根据《网络安全法》第二十一条的规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。2018年6月27日公安部发布的《网络安全等级保护条例(征求意见稿)》及相关国家标准(如(GB/T25058-2019)《网络安全等级保护实施指南》详细规定了等级保护2.0的要求和标准体系。
对于企业而言,首先需要注意的是,等级保护是以系统为单位而不是以企业为单位,实践中很多企业会拥有不同的系统,例如会有面向员工的企业管理系统、邮件系统、办公系统等以及面向客户提供服务的各类系统;常有企业认为,上述仅在企业内部适用的系统不属于需要备案的范围,这种想法其实是错误的,事实上,网络安全等级保护制度普遍适用于各种系统,并不区分内部系统与外部系统,虽然因为风险程度的不同,内部系统与外部系统在定级上可能会有差异,但在是否需要进行网络安全等级保护备案的问题上却没有区别。对于有多个系统的单位,则应当就多个系统分别履行备案手续,不同的系统可能被定为不同的级别,互相之间不能代替或包括,这些要求对于外资企业也没有例外。
在进行备案前,企业应当先根据相关国家标准,自行或通过专业机构的协助,对信息系统安全等级状况开展等级测评,备案后公安机关对信息系统的备案情况进行审核,对符合等级保护要求的在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明。
