《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》權(quán)威解讀。

　　9月2日，在由公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)，公安部第三研究所、公安部第一研究所主辦的網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作宣貫會上，公安部網(wǎng)絡(luò)安全保衛(wèi)局一級巡視員、副局長兼總工程師郭啟全為大會致辭，并作題為《以落實“兩個制度”為主線全面加強網(wǎng)絡(luò)安全綜合防控體系建設(shè)》的主題發(fā)言。

　　郭啟全副局長重點解讀了公安部《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》，詳細介紹了加強等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本原則、工作目標(biāo)和具體措施，提出按照國家“一帶一路”重大戰(zhàn)略舉措要求，實施“一帶一路”網(wǎng)絡(luò)安全戰(zhàn)略，并學(xué)習(xí)借鑒發(fā)達國家成熟經(jīng)驗，在網(wǎng)絡(luò)安全領(lǐng)域引入保險機制，提高網(wǎng)絡(luò)安全風(fēng)險治理能力。

　　指導(dǎo)思想、基本原則和工作目標(biāo)

　　(一)指導(dǎo)思想

　　以貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度為基礎(chǔ)

　　以保護關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和數(shù)據(jù)安全為重點，切實加強保衛(wèi)、保護和保障

　　全面加強網(wǎng)絡(luò)安全防范管理、監(jiān)測預(yù)警、應(yīng)急處置、偵查打擊等各項措施，及時監(jiān)測、處置網(wǎng)絡(luò)安全風(fēng)險和威脅

　　依法懲治網(wǎng)絡(luò)違法犯罪活動，切實提高網(wǎng)絡(luò)安全保護能力

　　積極構(gòu)建國家網(wǎng)絡(luò)安全綜合防控體系，切實維護國家網(wǎng)絡(luò)空間主權(quán)、國家安全和社會公共利益

　　保護人民群眾的合法權(quán)益，保障和促進經(jīng)濟社會信息化健康發(fā)展。

　　(二)基本原則

　　堅持分等級保護、突出重點。重點保障關(guān)鍵信息基礎(chǔ)設(shè)施、第三級以上網(wǎng)絡(luò)、重要數(shù)據(jù)安全。

　　堅持積極防御、綜合防護。充分利用人工智能、大數(shù)據(jù)分析等技術(shù)，強化安全監(jiān)測、態(tài)勢感知、通報預(yù)警和應(yīng)急處置等重點工作。

　　堅持依法保護，形成合力。公安機關(guān)依法履行保衛(wèi)和監(jiān)管職責(zé)，行業(yè)主管部門履行本行業(yè)主管、監(jiān)管責(zé)任，落實網(wǎng)絡(luò)運營者主體防護責(zé)任。

　　(三)工作目標(biāo)

　　網(wǎng)絡(luò)安全等級保護制度深入貫徹實施。網(wǎng)絡(luò)安全等級保護定級備案、等級測評、安全建設(shè)和檢查等基礎(chǔ)工作深入推進。網(wǎng)絡(luò)安全保護“實戰(zhàn)化、體系化、常態(tài)化”和“動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施得到有效落實，網(wǎng)絡(luò)安全保護良好生態(tài)基本建立。

　　關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度建立實施。關(guān)鍵信息基礎(chǔ)設(shè)施底數(shù)清晰，安全保護機構(gòu)健全、職責(zé)明確、保障有力。在貫徹落實網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，關(guān)鍵崗位人員管理、供應(yīng)鏈安全、數(shù)據(jù)安全、應(yīng)急處置等重點安全保護措施得到有效落實，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力明顯增強。

　　網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力顯著提升?？缧袠I(yè)、跨部門、跨地區(qū)的立體化網(wǎng)絡(luò)安全監(jiān)測體系和網(wǎng)絡(luò)安全保護平臺基本建成，網(wǎng)絡(luò)安全態(tài)勢感知、通報預(yù)警和事件發(fā)現(xiàn)處置能力明顯提高。網(wǎng)絡(luò)安全預(yù)案科學(xué)齊備，應(yīng)急處置機制完善，應(yīng)急演練常態(tài)化開展，網(wǎng)絡(luò)安全重大事件得到有效防范、遏制和處置。

　　網(wǎng)絡(luò)安全綜合防控體系基本形成。網(wǎng)絡(luò)安全保護工作機制健全完善，黨委統(tǒng)籌領(lǐng)導(dǎo)、各部門分工負責(zé)、社會力量多方參與的工作格局進一步完善。網(wǎng)絡(luò)安全責(zé)任制得到有效落實，網(wǎng)絡(luò)安全管理防范、監(jiān)督指導(dǎo)和偵查打擊等能力顯著提升，“打防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系基本形成。

　　(四)落實“四新”要求

　　新目標(biāo)：構(gòu)建國家網(wǎng)絡(luò)安全綜合防控體系

　　新理念：實戰(zhàn)化、體系化、常態(tài)化

　　新舉措：動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護、整體防控、聯(lián)防聯(lián)控

　　新高度：國家網(wǎng)絡(luò)安全綜合防御能力和水平上升一個新高度

　　深入貫徹實施國家網(wǎng)絡(luò)安全等級保護制度

　　按照國家網(wǎng)絡(luò)安全等級保護制度要求，各單位、各部門在公安機關(guān)指導(dǎo)監(jiān)督下，認真組織、深入開展網(wǎng)絡(luò)安全等級保護工作，建立良好的網(wǎng)絡(luò)安全保護生態(tài)，切實履行主體責(zé)任，全面提升網(wǎng)絡(luò)安全保護能力。

　　(一)深化網(wǎng)絡(luò)定級備案工作

　　全面梳理本單位各類網(wǎng)絡(luò)，特別是云計算、物聯(lián)網(wǎng)、新型互聯(lián)網(wǎng)、大數(shù)據(jù)、智能制造等新技術(shù)應(yīng)用的基本情況。

　　科學(xué)確定網(wǎng)絡(luò)的安全保護等級。

　　對第二級以上網(wǎng)絡(luò)依法向公安機關(guān)備案，并向行業(yè)主管部門報備。

　　對新建網(wǎng)絡(luò)，應(yīng)在規(guī)劃設(shè)計階段確定安全保護等級。

　　公安機關(guān)進行備案審核。

　　(二)定期開展網(wǎng)絡(luò)安全等級測評

　　依據(jù)《網(wǎng)絡(luò)安全等級保護測評要求》等有關(guān)標(biāo)準(zhǔn)，對網(wǎng)絡(luò)進行檢測評估，查找可能存在的網(wǎng)絡(luò)安全問題和隱患。

　　第三級以上網(wǎng)絡(luò)運營者應(yīng)委托等級測評機構(gòu)，每年開展一次網(wǎng)絡(luò)安全等級測評。

　　新建第三級以上網(wǎng)絡(luò)應(yīng)在通過等級測評后投入運行。

　　公安機關(guān)加強對等級測評機構(gòu)的監(jiān)督管理。

　　(三)科學(xué)開展安全建設(shè)整改

　　落實“同步規(guī)劃、同步建設(shè)、同步使用”三同步要求。

　　依據(jù)《網(wǎng)絡(luò)安全等級保護基本要求》《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等國家標(biāo)準(zhǔn)，按照“一個中心、三重防護”要求，應(yīng)用可信計算等新技術(shù)開展安全建設(shè)和整改加固，提高內(nèi)生安全、主動免疫、主動防御能力。

　　可將網(wǎng)絡(luò)系統(tǒng)遷移上云，或?qū)⒕W(wǎng)絡(luò)安全服務(wù)外包，利用云服務(wù)商和網(wǎng)絡(luò)安全服務(wù)商提升保護能力和水平。

　　完善人員管理、教育培訓(xùn)、系統(tǒng)建設(shè)和運維等管理制度。

　　(四)強化安全責(zé)任落實

　　行業(yè)主管部門、網(wǎng)絡(luò)運營者應(yīng)依據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)和中央關(guān)于網(wǎng)絡(luò)安全工作責(zé)任制要求，建立網(wǎng)絡(luò)安全等級保護工作責(zé)任制，落實責(zé)任追究制度，做到“守土有責(zé)、守土盡責(zé)”。

　　網(wǎng)絡(luò)運營者要定期組織專門力量開展網(wǎng)絡(luò)安全自查和檢測評估，行業(yè)主管部門要組織風(fēng)險評估，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患和薄弱環(huán)節(jié)并予以整改。

　　(五)加強供應(yīng)鏈安全管理

　　應(yīng)加強網(wǎng)絡(luò)關(guān)鍵人員的安全管理，第三級以上網(wǎng)絡(luò)運營者應(yīng)對為其提供設(shè)計、建設(shè)、運維、技術(shù)服務(wù)的機構(gòu)和人員加強管理，評估風(fēng)險，并采取相應(yīng)的管控措施。

　　應(yīng)加強網(wǎng)絡(luò)運維管理，因業(yè)務(wù)需要確需通過互聯(lián)網(wǎng)遠程運維的，應(yīng)進行評估論證，并采取相應(yīng)的管控措施。

　　應(yīng)采購、使用符合國家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)要求的網(wǎng)絡(luò)產(chǎn)品及服務(wù)，積極應(yīng)用安全可信的網(wǎng)絡(luò)產(chǎn)品及服務(wù)。

　　(六)落實密碼安全防護要求

　　應(yīng)貫徹落實《密碼法》等有關(guān)法律法規(guī)規(guī)定和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范。

　　第三級以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進行保護，并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。

　　第三級以上網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn)，在網(wǎng)絡(luò)安全等級測評中同步開展密碼應(yīng)用安全性評估。

　　建立并實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度

　　公安機關(guān)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。各單位、各部門應(yīng)加強關(guān)鍵信息基礎(chǔ)設(shè)施安全的法律體系、政策體系、標(biāo)準(zhǔn)體系、保護體系、保衛(wèi)體系和保障體系建設(shè)，建立并實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度，在落實網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上，強化保護措施，切實維護關(guān)鍵信息基礎(chǔ)設(shè)施安全。

　　(一)組織認定關(guān)鍵信息基礎(chǔ)設(shè)施

　　公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門(以下統(tǒng)稱保護工作部門)應(yīng)制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則，并報公安部備案。

　　保護工作部門根據(jù)認定規(guī)則負責(zé)組織認定關(guān)鍵信息基礎(chǔ)設(shè)施，及時將認定結(jié)果通知運營者，并報公安部。

　　(二)明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作職能分工

　　公安部指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作、會同相關(guān)部門加強頂層設(shè)計和規(guī)劃部署，健全完善關(guān)保制度體系。

　　保護工作部門負責(zé)本行業(yè)關(guān)保工作的組織領(lǐng)導(dǎo)，制定并實施關(guān)?？傮w規(guī)劃和安全防護策略，落實指導(dǎo)監(jiān)督責(zé)任。

　　關(guān)基運營者負責(zé)設(shè)置專門安全管理機構(gòu)，組織開展關(guān)保工作，主要負責(zé)人對本單位關(guān)保工作負總責(zé)。

　　(三)落實關(guān)鍵信息基礎(chǔ)設(shè)施重點防護措施和實戰(zhàn)措施

　　關(guān)基運營者應(yīng)依據(jù)等級保護標(biāo)準(zhǔn)開展安全建設(shè)并進行等級測評，發(fā)現(xiàn)問題和風(fēng)險隱患要及時整改

　　依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標(biāo)準(zhǔn)，加強安全保護和保障，并進行安全檢測評估

　　要梳理網(wǎng)絡(luò)資產(chǎn)，建立資產(chǎn)檔案，強化核心崗位人員管理、整體防護、監(jiān)測預(yù)警、應(yīng)急處置、數(shù)據(jù)保護等重點保護措施

　　利用新技術(shù)開展網(wǎng)絡(luò)安全保護，構(gòu)建以密碼技術(shù)、可信計算、人工智能、大數(shù)據(jù)分析等為核心的網(wǎng)絡(luò)安全技術(shù)保護體系。

　　有條件的運營者應(yīng)組建自己的安全服務(wù)機構(gòu)，承擔(dān)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護任務(wù)

　　也可通過遷移上云或購買安全服務(wù)等方式，提高網(wǎng)絡(luò)安全專業(yè)化、集約化保障能力。

　　落實實戰(zhàn)措施：

　　收斂互聯(lián)網(wǎng)暴露面，加強攻擊點管控

　　梳理網(wǎng)絡(luò)資產(chǎn)，開展重點防護和加固

　　在關(guān)鍵節(jié)點架設(shè)監(jiān)測設(shè)備，發(fā)現(xiàn)未知威脅

　　布設(shè)第二代密罐、沙箱，誘捕網(wǎng)絡(luò)攻擊

　　網(wǎng)絡(luò)架構(gòu)合理分區(qū)分域，加強縱深防御

　　建立威脅情報共享機制，加強主動防御

　　開展實戰(zhàn)演習(xí)，提升攻防對抗能力

　　(四)加強重要數(shù)據(jù)和個人信息保護

　　運營者應(yīng)建立并落實重要數(shù)據(jù)和個人信息安全保護制度，采取身份鑒別、訪問控制、密碼保護、安全審計、安全隔離、可信驗證等關(guān)鍵技術(shù)措施，切實保護重要數(shù)據(jù)全生命周期安全。

　　研究新技術(shù)，架橋、加密、建模、應(yīng)用，實現(xiàn)：數(shù)據(jù)不出門、可用不可見;不被我所有但為我所用。

　　個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲，確需向境外提供的，應(yīng)當(dāng)遵守有關(guān)規(guī)定并進行安全評估。

　　(五)強化核心崗位人員和產(chǎn)品服務(wù)的安全管理

　　要對專門安全管理機構(gòu)的負責(zé)人和關(guān)鍵崗位人員進行安全審查，加強管理。

　　要對設(shè)計、建設(shè)、運行、維護等服務(wù)實施安全管理，采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，確保供應(yīng)鏈安全。

　　當(dāng)采購產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)按照國家有關(guān)規(guī)定通過安全審查。

　　公安機關(guān)加強對關(guān)鍵信息基礎(chǔ)設(shè)施安全服務(wù)機構(gòu)的安全管理，為運營者開展安全保護工作提供支持。

　　實施“一帶一路”網(wǎng)絡(luò)安全戰(zhàn)略

　　按照國家“一帶一路”重大戰(zhàn)略舉措要求，實施“一帶一路”網(wǎng)絡(luò)安全戰(zhàn)略，網(wǎng)絡(luò)安全等級保護制度先行。在公安部指導(dǎo)下，國有企業(yè)與網(wǎng)絡(luò)安全企業(yè)讓“一帶一路”國家共享中國網(wǎng)絡(luò)安全等級保護政策、標(biāo)準(zhǔn)和經(jīng)驗，同時，保護中國企業(yè)在國外的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)據(jù)安全，保護企業(yè)生產(chǎn)業(yè)務(wù)安全，保護國家海外利益。

　　網(wǎng)絡(luò)安全領(lǐng)域引入保險機制

　　借鑒發(fā)達國家成熟經(jīng)驗，在網(wǎng)絡(luò)安全領(lǐng)域引入保險機制，是解決我國網(wǎng)絡(luò)安全風(fēng)險問題、提高網(wǎng)絡(luò)安全風(fēng)險治理能力的新途徑。公安部會同有關(guān)部門推進。

　　重點工作：加強頂層設(shè)計，出臺政策，支持網(wǎng)絡(luò)安全保險業(yè)發(fā)展;研究網(wǎng)絡(luò)安全保險法律、政策、標(biāo)準(zhǔn)規(guī)范，確保新機制落地;共同培育市場，試點先行，支持保險公司構(gòu)建“保險+風(fēng)險管控+服務(wù)”模式。

　　以上內(nèi)容整理于網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作宣貫會。

　　聲明：本文來自威努特工控安全，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表本站立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系刪除。