等级保护的合规性如何理解

合规，简而言之就是要符合法律、法规、政策及相关规则、标准的要求。在信息安全领域内，等级保护、分级保护、计算机安全产品销售许可、密码管理等，是典型的合规性要求。

对作为网络运营者的企事业单位来说，《网络安全法》提出的合规要求主要可以归纳为两方面：一方面，从社会公共利益的角度出发，要求网络运营者建立完善的网络运营保障体系，制定网络安全事件应急预案，保护网络能够安全、平稳运行而不受外部的干扰和破坏。另一方面，从用户隐私保护的角度出发，要求网络运营者在搜集用户信息时建立相应的保密制度，并且加强对用户发布的信息的管理，及时对发现的违法信息采取处置措施。这些合规义务包括：

• 制定合规的、完善的内部网络安全制度；

• 遵循等级保护制度，对已上线的网络系统进行定级备案、等级测评；

• 落实网络安全岗位及责任人员；

• 建立网络平台信息内容审查机制；

• 完善个人信息及隐私保护政策；

• 建立网络用户实名验证机制；

• 依法留存用户网络数据；

• 重要网络产品和服务采购应经安全审查；

• 个人信息和重要数据跨境转移应经安全评估。

若企事业单位未能遵守《网络安全法》履行以上义务，不但将被追究单位的法律责任，还将直接追究直接负责的主管人员的法律责任。与原来的行政处罚相比，这一法律责任的划定更加严格与细化，使得主管人员意识到应当积极主导并推进其所负责的网络系统的合规性建设。