您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节！

　　5.4 信息安全等级保护的政策依据

　　5.4.1 国家法律和政策依据

　　1.法律依据

　　1994年2月18日中华人民共和国国务院令第147号发布《中华人民共和国计算机信息系统安全保护条例》第九条规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”第十七条第一款规定：“公安机关行使监督、检查、指导计算机信息系统安全保护工作的监督职权”。这两条规定明确了四个内容：一是明确公安行使监管信息系统安全保护工作的职权；二是确定了等级保护是计算机信息系统安全保护的一项制度；三是出台配套的规章和技术标准；四是明确公安部门在等级保护工作中的牵头地位。

　　2017年6月1日实行的《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。第三十一条规定，对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。网络运营者要从定级备案、安全建设、等级测评、安全整改、监督检查角度，严格落实网络安全等级保护制度。

　　2.政策依据

　　《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）明确指出：“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。明确了“各重要信息系统的安全建设和管理，按照“谁主管谁负责、谁运营谁负责”的要求，由各主管部门和运营单位负责”的信息安全保障责任制。同时，明确指出“各级党委和政府要充分认识加强信息安全保障工作的重要性和紧迫性，高度重视信息安全保障工作，切实加强对信息安全保障工作的领导”，确立了各级党委和政府在信息安全保障工作中的领导地位。

　　2006年 5 月，中共中央办公厅、国务院办公厅印发了《2006—2020年国家信息化发展战略》，要求“建立和完善信息安全等级保护制度，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强信息安全风险评估工作。建设和完善信息安全监控体系，提高对网络安全事件应对和防范能力，防止有害信息传播。高度重视信息安全应急处置工作，健全完善信息安全应急指挥和安全通报制度，不断完善信息安全应急处置预案”。到 2020年，信息安全的长效机制基本形成，国家信息安全保障体系较为完善，信息安全保障能力显著增强。

　　2008年8月6日《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071 号）明确指出“非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求，可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告。”

　　2012年6月28日，国务院发布《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）明确指出“国家信息安全保障体系基本形成。落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”，要落实信息系统单位的备案、整改和监督检查工作，开展相应等级的安全建设和管理。

　　2014年2月27日，中央网络安全和信息化领导小组宣告成立，体现了中国最高层全面深化改革、加强顶层设计的意志，显示出在保障网络安全、维护国家利益、推动信息化发展方面上的决心。中央网络安全和信息化领导小组规格高、力度大、立意远，可以兼顾到国防军事、国务院系统及意识形态三个安全战略规划，更有力、更权威地统筹指导中国迈向网络强国的发展战略，标志着中国正从网络大国加速向网络强国挺进。

　　在国家“十三五”规划第 28 章中明确指出：统筹网络安全和信息化发展，完善国家网络安全保障体系，强化重要信息系统和数据资源保护，提高网络治理能力，保障国家信息安全，要“建立关键信息基础设施保护制度，完善涉及国家安全重要信息系统的设计、建设和运行监督机制。集中力量突破信息管理、信息保护、安全审查和基础支撑关键技术，提高自主保障能力。加强关键信息基础设施核心技术装备威胁感知和持续防御能力建设。完善重要信息系统等级保护制度。健全重点行业、重点地区、重要信息系统条块融合的联动安全保障机制。积极发展信息安全产业。”

　　5.4.2 公安机关开展等级保护工作的依据

　　《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”第十七条第一款规定：“公安机关行使监督、检查、指导计算机信息系统安全保护工作的监督职权”。

　　《中华人民共和国警察法》第六条第十二款“监督管理计算机信息系统的安全保护工作”。

　　《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）给出了“公安机关按照等级保护的管理规范和技术标准的要求，重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查”，并指出公安机关等信息安全监管职能部门要建立专门的信息安全等级保护监督检查机构，充实力量，加强建设，抓紧培训，使监督检查人员能够全面掌握信息安全等级保护相关法律规范和管理规范及技术标准，熟练运用技术工具，切实承担信息安全等级保护的指导、监督、检查职责

　　《信息安全等级保护管理办法》（公通字〔2007〕43号）第二十条规定“公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查”。

　　《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861 号）规定“公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明”。

　　《信息安全等级保护备案实施细则》（公信安〔2007〕1360号）第三条规定“地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。隶属于省级的备案单位，其跨地（市）联网运行的信息系统，由省级公安机关公共信息网络安全监察部门受理备案。”

　　2008年国务院三定方案，公安部新增“监督、检查、指导信息安全等级保护工作”职能。

　　《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）中给出“自 2009年起，要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结，于每年年底前报同级公安机关网安部门，各省（自治区、直辖市）公安机关网安部门报公安部网络安全保卫局。信息系统备案单位每半年要填写《信息安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关”。

　　《公安机关信息安全等级保护检查工作规范》（公信安〔2008〕736 号）给出“对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。公安机关开展检查前，应当提前通知被检查单位，并发送《信息安全等级保护监督检查通知书》检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》。逾期不改正的，给予警告，并向其上级主管部门通报”。

　　《信息安全等级保护测评机构管理办法》（公信安〔2013〕755 号）指出“省级信息安全等级保护工作协调（领导）小组办公室负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理”。

　　《关于进一步推进中央企业信息安全等级保护工作的通知》给出“公安机关要会同国资委、行业主管（监管）部门定期对中央企业开展信息安全等级保护工作情况进行监督检查，推动中央企业重要信息系统安全保护能力逐步达到信息安全等级保护要求”。

　　《关于开展国家级重要信息系统和重点网站安全执法检查工作的通知》（公传发〔2015〕253 号）给出“公安部将开展远程技术检测，查找相关网站存在的安全隐患和漏洞。各级各部门单位接到技术检测反馈结果后，要及时整改到位。对于在限定的期限内整改不到位的网站，公安机关将依法处罚”。同时通知指出“政府部门、企事业单位、非政府组织网站以及大型互联网网站落实国家信息安全等级保护制度，开展信息系统定级备案、等级测评和安全建设整改、安全自查等重要工作的落实情况”。

　　《关于加强政府网站安全监管工作的指导意见》（公信安〔2014〕353 号）指出“各级公安网安部门要建立与本地政府的日常联系渠道，加强对本地政府网站的安全检查。对于不重视政府网站安全保护或不落实整改要求的单位，公安机关要向当地党委政府报告，并督促其落实各项要求，情节严重的，要依法给予处罚；对因落实相关保护措施，造成网站被攻击篡改的，公安机关要依法予以处罚并通报有关部门追究责任”。

　　《公安机关政府网站安全监管工作规范》（公信安〔2014〕795号）“对网站安全责任和工作要求不落实的，或网站被不法分子攻击、篡改及传播、链接有害信息的，公安机关应督促网站开办单位及时整改，情节严重的，依法追究相关单位及负责人的法律责任，并进行通报”。

　　《关于加快推进网络与信息安全信息通报机制建设的通知》（公信安〔2015〕21号）指出，自 2015年起，中央综治办在综治考核中将地方政府“网络与信息安全信息通报机制建设、网络与信息安全信息通报预警工作”列入考核内容，“信息安全保障”纳入全国综治考核工作，明确要求 2015年底前各地地方政府要建立网络与信息安全信息通报机制，开展网络与信息安全信息通报预警工作。

　　《关于组织开展 2015年网络安全保障工作全国综治考核评价的通知》（公信安〔2015〕884 号）指出“从网络社会治安防控体系建设、网络与信息安全通报预警、信息安全等级保护、重要信息系统和政府网站发生的案（事）件情况、综合防控和打击网络违法犯罪情况、信息网络服务管理工作”，六方面共计二十条，给出考核评价指标和得分标准，“要求网安部门的一把手要亲自负责综治考核工作，积极向本地党委政府汇报相关工作情况，争取党委政府重视和支持”。 网络安全法和网络安全等级保护2