深圳市公安局:IDC、云平台信息安全等级保护不得低于三级 – 作者:Sphinx

91b444bbe607d7c86d94e54fc809b45f.jpg

深圳市公安局公共信息网络安全监察分局对互联网数据中心和云平台运营方发布了《关于落实网络安全等级保护制度要求的通知》的文件。内容如下:

根据广东省公安厅《关于传发广东省公安机关互联网数据中心和云平台“大清查”专项行动方案的通知》(粤公网发『2018』75号)的工作部署,为进一步提升我市互联网数据中心和云平台的网络安全防护水平,切实落实《网络安全法》等法律法规的要求,我局决定组织全市互联网数据中心和云平台开展网络安全等级保护工作,具体要求如下:

一、清醒认识法律责任,严格落实法定义务

网络安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,也是国家法律所规定的法定义务,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者窃取、篡改。”

此外,《网络安全法》第五十九条规定“网络运营者不履行本法第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告; 拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”《刑法》第二百八十六条之一规定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。”

各单位要清醒意识法律责任,主动落实相关工作要求,对于未按要求落实网络安全等级保护制度要求的企业,我局将依法从严予以处罚。

二、自主开展备案工作,切实提升防护水平

按照《信息安全等级保护管理办法》的要求,各单位需根据本单位所承载数据、服务的重要程度,以及所承载信息系统的定级情况,对本单位数据中心进行客观、自主定级,原则上各单位基础网络定级不得低于三级,且不得低于所承载信息系统的最高级别。

信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

附 第三级以上信息系统相关要求

根据《信息安全等级保护管理办法》第三级以上信息系统应该达到要求和履行的责任有:

第三章 第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。

第三章 第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:(一) 在中华人民共和国境内注册成立(港澳台地区除外);(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三) 从事相关检测评估工作两年以上,无违法记录;(四) 工作人员仅限于中国公民;(五) 法人及主要业务、技术人员无犯罪记录;(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(八) 对国家安全、社会秩序、公共利益不构成威胁。

第六章 第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果: (一) 未按本办法规定备案、审批的;(二) 未按本办法规定落实安全管理制度、措施的;(三) 未按本办法规定开展系统安全状况检查的;(四) 未按本办法规定开展系统安全技术测评的;(五) 接到整改通知后,拒不整改的;(六) 未按本办法规定选择使用信息安全产品和测评机构的;(七) 未按本办法规定如实提供有关文件和证明材料的;(八) 违反保密管理规定的;(九) 违反密码管理规定的;(十) 违反本办法其他规定的。

违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。

来源:互联网安全内参中国政府网

来源:freebuf.com 2018-04-03 19:00:50 by: Sphinx

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论