首页 > 新闻动态> 为什么要做等级保护测评,各行业政策要求有哪些?
为什么要做等级保护测评,各行业政策要求有哪些?
2023-02-06

为什么要做等级保护?


     2017 年 6 月 1 日,《中华人民共和国网络安全法》正式实施,等级保护工作正式形成法律规范,等级保护制度已成为新时期国家网络安全的基本国策和基本制度。《中华人民共和国网络安全法》条款要求如下:第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全等级保护义务的,将由有关主管部门给予其处罚。


等级保护测评各行业政策要求有哪些?


一、医疗卫生行业政策要求

   《中华人民共和国卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》(卫办发〔2011〕85 号)

重要卫生信息系统安全保护等级原则上不低于第三级:

   (1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;

   (2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;

   (3)三级甲等医院的核心业务信息系统;

   (4)卫生部网站系统;

   (5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。

   《三级综合医院评审标准考评办法》 实施国家信息安全等级保护制度,实行信息系统操作权限分级管理,保障网络信息安全,保护患 者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。

   《国家健康医疗大数据标准、安全和服务管理办法》 责任单位要严格落实网络安全等级保护制度,建立健全实名认证访问控制机制、网络安全通报机制和应急处置联动机制,切实加强容灾备份、加密认证、准确恢复等安全保障措施,定期对相关信息系统开展定级、备案和测评工作。

   《互联网医院管理办法》 “互联网医院信息系统应按照国家有关法律法规和规定,实施第三级信息安全等级保护。”


二、教育行业政策要求

(1)2009年11月

      教育部办公厅关于开展信息系统安全等级保护工作的通知(教办厅函[2009]80号)

      要求各省教育厅(教委)、教育局、部属各高等学校,落实国家有关信息系统安全等级保护制度建设的文件要求,全面开展教育系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改,建立教育系统信息系统安全等级保护体系。

(2)2015年7月

      教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知(教技[2015]2号)

      要求各地区教育厅(教委)、教育局、有关部门(单位)教育司(局),教育部直属各高等学校、各直属单位,贯彻落实国家信息安全等级保护制度的相关法律法规、标准规范以及《教育行业信息系统安全等级保护定级工作指南》的相关要求,加快推进信息安全等级保护工作,提高信息系统安全防护能力,到完成教育行业信息系统的定级、备案和第三级以上信息系统的测评、整改工作。


三、交通运输行业政策要求

(1)2005年1月

      民用航空信息系统安全等级保护管理规范

      明确规定民用航空信息系统安全保护的等级划分和各等级的管理要求。

(2)2012年5月

      关于进一步开展交通运输行业信息安全等级保护工作的通知(厅科技字[2012]120 号)

      要求交通运输行业贯彻落实《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等法规要求,做好交通运输行业信息安全等级保护,对于提升行业信息安全防护能力和水平,维护公共利益、社会秩序和国家安全具有重要作用。

(3)2014年4月

      交通运输部发布《JTT 904-2014 交通运输行业信息系统安全等级保护定级指南》

      明确规定交通运输行业信息系统安全等级保护的定级原理、方法和等级变更等内容。同时适用于交通运输行业非涉密信息系统的等级保护定级工作。

(4)2017年2月

      民航网络信息安全管理规定(暂行)(征求意见稿)(交通运输部[2017]12号)

      要求民用航空网络与信息系统应实行信息安全等级保护制度。民用航空各企事业单位应按照相关文件和标准的要求,建立健全并落实符合相应等级要求的网络与信息安全责任制、人员安全管理制度、系统建设管理制度和系统运维管理制度等安全管理制度。


四、金融保险行业政策要求

(1)2006年2月

      中国人民银行办公厅转发《信息安全等级保护管理办法(试行)》的通知(银办发[2006]42号)

      要求各政策性银行、国有商业银行、股份制商业银行,切实加强银行信息安全保障能力,进一步规范信息安全等级保护工作。

(2)2007年9月

      关于做好证券业重要信息系统安全等级保护定级工作的通知(中证协发字 [2007]117 号)

      要求各证券公司及基金公司会员单位的生产、管理、办公等重要信息系统,做好行业信息安全保障工作,开展重要信息系统安全等级保护定级工作。

(3)2007年9月

      关于开展保险业信息系统安全等级保护定级工作的通知(保监厅发[2007]45 号)

      要求保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、管理、办公等重要信息系统;涉及国家秘密的信息系统。落实开展信息系统等级保护定级工作。

(4)2012年6月

      中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见(银发[2012]163 号)

      要求各政策性银行、国有商业银行、股份制商业银行,进一步加强加强信息系统安全等级保护工作,督促银行业金融机构及时发现信息安全风险、隐患,并有效开展整改工作,降低信息安全事件发生概率,增强抵御信息安全风险能力,形成信息安全管理长效机制。


五、市政机关行业政策要求

(1)2008年8月

      关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)

      要求国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作和信息系统安全等级保护工作。

(2)2008年9月

      国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知(发改高技[2008]2544 号)

      要求国家电子政务工程建设项目的需求分析报告和建设方案中,应同步落实等级保护和分级保护的相关要求,形成与业务应用紧密结合、技术上自主可控的信息安全解决方案。

(3)2011年12月

      关于加快推进国家电子政务外网安全等级保护工作的通知(政务外网[2011]15号)

      要求国家电子政务外网全面推行等级保护制度,逐步将国家信息安全等级保护要求落实到政务外网安全规划、建设、测评、运行维护和应用等各个环节,使政务外网全网安全保障能力和水平达到安全保护等级要求。

(4)2014年11月

      国务院办公厅关于促进电子政务协调发展的指导意见(国办发[2014]66 号)

      要求国家电子政务网络加强对分级保护和等级保护工作的指导;加强网络安全监测和通报预警;进一步落实涉密信息系统分级保护和非涉密信息系统等级保护相关主体责任。


六、电力行业政策要求

(1)2007年11月

      国家电力监管委员会印发 电力行业信息系统安全等级保护定级工作指导意见(电监信息[2007]44号)

      要求贯彻落实开展电力行业信息系统安全等级保护工作,提高信息系统安全防护能力。

(2)2014年9月

      电力行业信息安全等级保护管理办法(国能安全[2014]318号)

      要求各地区国家电网公司、有关电力企业,贯彻落实国家信息安全等级保护要求,提高电力信息系统安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设。