等级保护是否是强制性的,可以不做吗?
不是强制性的。等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必需按网络安全法开展等级保护工作。
《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
等级保护工作是保障我国网络安全的基本动作,目前各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。
开展等级保护工作的主要流程如下:
等保2.0时代,开展网络安全等级保护工作的的五个规定基本动作:
定级
网络运营者依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,确定等级保护对象,明确定级对象,梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。
在分别确定业务信息安全的安全等级和系统服务的安全等级后,由二者中较高级别确定等级保护对象的安全级别,如:
业务信息安全:第二级,系统服务:第三级,最终等级保护级别为:第三级;
业务信息安全:第四级,系统服务:第三级,最终等级保护级别为:第四级;
业务信息安全:第三级,系统服务:第三级,最终等级保护级别为:第三级。
备案
第二级以上网络运营者在定级、撤销或变更调整网络安全保护等级时,在明确安全保护等级后需在10个工作日内,到县级以上公安机关备案,提交相关材料。公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。
建设整改
安全建设整改工作分五步进行:
- 落实安全建设整改工作部门,建设整改工作规划,进行总体部署;
- 确定网络安全建设需求并论证;
- 确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证,三级以上报公安机关审核);
- 根据网络安全建设整改方案,实施安全建设工程;
- 开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。
等级测评
网络安全等级保护测评过程分为4个基本活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
监督检查
公安机关对第三级以上网络运营者每年至少开展一次安全检查,涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。