网络安全等级保护制度实施效果分析

1、Word参考资料，下载后可编辑网络安全等级保护制度实施效果分析 摘要：20_年_网络安全法出台之后，国家有关法律法规和文件中将“信息安全”调整为“网络安全”，将“信息安全等级爱护制度”调整为“网络安全等级爱护制度”。在国家网络安全领域，该制度即是一项根本政策和方法，也成为是一项法律制度，具有重要法律意义。本文通过分析该制度的实施成效及缺乏，提出及时出台配套规定、加强法律宣传、加大监督和执法力度，并结合地方实际情况创新法律实施理念，建立信息系统集约化管理机制和专项资金保障，使实施资源得到优化配置，节约实施本钱，到达实施效果最大化。 关键词：等级爱护；法律制度；实施研究 国家在网络安全领域一直通过

2、等级爱护制度来不断提升信息系统特别是关键信息根底设施的安全防护能力，该制度作为根本政策和方法在保障国家网络安全方面发挥着重要作用。20_年出台的网络安全法在第21条明确规定国家实行网络安全等级爱护制度，这是国家以根本法律形式来确立网络安全等级爱护制度。那么网络安全法实施以来，网络安全等级爱护制度的实施效果怎样？所谓法律实施是指将法律规定付诸实践，把文字的规定变为实际行动，是具体的实施主体实施法的行为。亚里士多德提出的法治论中，法律实施是其中重要的构成要素：“法治的含义包含制定出台良法，并且严格实施该法律”1199。要使一部法律的制定具有意义，只有将其实施在具体实际社会生活中，它的作用才会展现出

3、来。指出：“假如有了法律而不实施、束之高阁，或者实施不力、做外表文章，那制定再多法律也无济于事”。网络安全法规定的网络安全等级爱护制度也是这样的。本文将以_省_市为例,对网络安全等级爱护制度的贯彻情况进行实证调查,进一步说明该制度的法律规定及其意义，分析该制度在实施过程中的成效及问题，在此根底上提出完善网络安全等级爱护制度的建议。 一、网络安全等级爱护制度的法律规定及其意义 我国第一次提出等级爱护制度是在1994年，当年出台的_计算机信息系统安全爱护条例(_院令第147号)第9条规定“计算机信息系统实行安全等级爱护，安全等级的划分标准和安全等级爱护的具体方法，由公安部会同有关部门制定”。我国提

4、出该制度从时间上要早于美国等国家正式提出关键信息根底设施爱护制度(美国关键信息根底设施爱护制度（CIIP）形成的标志是1996年7月15日的第13010号行政令和1998年第63号总统令（PDD63）克林顿_对关键根底设施爱护的政策)2。20_年_院信息化工作办公室、公安部、国家密码管理局、国家保密局等四部门联合出台信息安全等级爱护管理方法(公通字20_43号)，要求在全国范围实施信息安全等级爱护制度。一直以来，我国有关等级爱护制度的法律法规和文件中通常采纳“信息安全”这个关键词。网络安全法出台之后，国家有关法律法规和文件中将“信息安全”修改为“网络安全”，将原来使用的“信息安全等级爱护制度”

5、调整为“网络安全等级爱护制度”。网络安全等级爱护制度目的是确保网络安全，爱护对象包含各网络运营者的专有网络数据及公开网络数据和存储、传输、处理这些数据的信息系统、云平台、物联网、工控系统等，要求是对这些爱护对象分等级实行安全爱护、对这些爱护对象中使用的信息安全产品按等级实行管理、对这些爱护对象中发生的网络安全事件分等级开展响应和处置。依据这些爱护对象的重要程度等因素，爱护等级由低到高分为第一级、第二级、第三级、第四级、第五级。网络安全等级爱护制度有5个工作环节：定级、备案、等级测评、建设整改和监督检查，前4项工作由各网络运营者负责、监督检查由公安网安部门负责。网络安全等级爱护制度是国家网络安全

6、方面的根本政策和方略，是现行网络安全领域的一项重要法律制度，笔者认为其意义呈现在：保障国家利益、社会利益、集体利益及公民个人利益，预防网络安全风险，拓宽实施对象维度，履行法律义务。(一)保障利益。随着信息化进程的全面加快，全社会对根底信息网络和重要信息系统的依靠程度越来越高，一旦信息系统发生安全故障，将严峻影响其保障服务的顺利进行；假如遭遇网络入侵攻击，将导致系统数据或信息被窃取、被篡改，或系统不能正常运行。而信息系统的功能往往涉及国家利益、社会利益、集体利益及公民个人利益。从利益这一维度，国家通过实行网络安全等级爱护制度来保障电子政务、水、电、交通、金融等关键信息根底设施的平稳运行，保障公民

7、个人信息、资金等安全保管，保障国家利益、社会利益、集体利益及公民个人利益不受侵犯。(二)预防风险。网络安全等级爱护制度的实施，首先是查找网络运营者的信息系统与国家法律规定、安全标准之间存在的差距，明确当前网络安全方面存在的风险和隐患，再有针对性地开展安全整改，消除风险和隐患，提升信息系统的安全防护能力，防止遭受各种网络攻击、发生网络安全事件。从安全风险这一维度，网络安全等级爱护制度旨在消除信息系统安全隐患，提升安全防护能力，预防可能发生的网络安全风险，防止信息系统带病上线，将安全隐患消除在萌芽状态，防止出现无法挽回的严峻后果。(三)体系开展。随着社会的开展,网络应用的外延在不断扩展,出现了云计

8、算、大数据、物联网、工业操纵系统等新领域,之前的等级爱护制度已不能适应,因此网络安全法确定了网络安全等级爱护制度。除传统的根底网络、信息系统外，网络安全等级爱护制度把云平台、大数据、物联网、工控系统、互联网企业等纳入实施范畴中。从爱护对象这一维度，网络安全等级爱护制度是在不断开展，其爱护体系将随着互联网的开展而开展丰富。(四)履行义务。网络安全等级爱护制度是国家网络安全方面的根本法律要求，在工作实践中也将该制度是否实行作为衡量网络运营者网络安全工作好坏的一个重要标准。假如出现一些网络安全事件，比方某网站网页被篡改、用户敏感信息被泄露等，要查明相关网络运营者是否实施网络安全等级爱护制度，若未实施

9、，则会以不履行法律义务来评判该网络运营者的网络安全工作不到位。所以在网络安全方面，实施网络安全等级爱护制度是网络运营者必须履行的首要法律义务。 二、网络安全等级爱护制度的实施效果现状 雅维茨曾指出：“法的实现是法的存在、作用，是法执行主要社会职能的特别方式。假如制定的法律规定不能在人们和他们的组织的活动中、在社会关系中得到实现的话，那法就什么也不是。”3170张文显也提出，良法的构成要件之一就是法律实施良好422。古今中外的法学家分别从各个维度说明了法律实施的重要性，法的实施就是法的生命所在，就是到达制定法律目的和实现法律价值的必经之路。特别是_法律体系建成后，法律实施比法律制定更重要，法律制

10、定的意义、目的只有通过法律实施才能实现。在党的_届_全会上，对强化我国法律实施又提出明确要求，“法律的生命力和法律的权威都在于法律实施”。对于网络安全等级爱护制度的实施效果问题，笔者以_省_市为例，通过实地调研、获得实证数据、比较法、分析法等工作方法，发觉网络安全法实施以来，_省_市在网络安全等级爱护制度的实施过程中取得了一定成效，同时也存在一些实施缺乏的问题。(一)取得的实施成效。一是以网络安全宣传周、网络安全专题培训、执法检查等活动为载体，采取讲座授课、新闻媒体、LED屏展示、资料发放、沟通交流等多种方式，对网络安全等级爱护制度的法律规定、工作内容、工作方法等进行广泛宣传。目前，_市及各县

11、_区均成立领导机构，在不断实施网络安全等级爱护制度。二是各部门积极想方法，争取市委市_的重视，采取多种方式推动全市的网络安全等级爱护工作。如市委将网络安全工作纳入全市社会治安综治治理考核的重要内容，每年由市_单位对各县_区、各个综治成员单位的网络安全等级爱护工作进行考核；市_单位联合市卫计委等部门出台专门文件，明确要求本行业内的信息系统开展网络安全等级爱护工作；市_成立“_市信息安全等级爱护暨网络与信息安全信息通报协调小组”，对全市的等级爱护工作提供协调保障。三是通过具体实施，目前全市已定级备案的信息系统有348个，其中二级288个、三级60个，开展等级测评和建设整改310次，全市的网络安全等

12、级爱护工作位列全省前列，有力推动_市网络安全防护能力提升。(二)存在“四个不到位”的实施问题。一是定级备案不到位。局部网络运营者不知晓网络安全等级爱护制度的法律要求，回避是否需要定级备案、怎样开展定级备案等问题。这主要表现在全市的信息系统数量大于备案的348个，说明还有些网络运营者的信息系统没有开展定级备案工作；定级备案的流程有自主定级、专家评审、主管部门审批等，局部网络运营者有主管部门，但其定级备案的时候没有经过主管部门审批这个环节；提交备案的资料不全，局部网络运营者缺少网络拓补图、管理制度、网络安全产品销售许可证等资料；局部网络运营者的信息系统发生变更后没有及时重新备案。二是等级测评不到位

13、。从已备案信息系统的数量分析，测评率未到达100%，与法律规定的要求差距很大。究其原因，有的网络运营者不情愿开展等级测评，有的是因为资金问题。按照法律规定，网络运营者应聘请具有资质的第三方等级测评机构对信息系统开展等级测评，这里必定涉及资金费用。有的网络运营者年度可使用的资金有限，其会将资金投入到人员工资、核心业务本钱等方面来维持单位运转，很难投入资金开展等级测评；已备案信息系统中有85%涉及财政资金使用问题，有的网络运营者认为财政资金使用流程复杂，另外假如没有进行财政预算的就很难解决等级测评资金来源。还有的网络运营者是先测评再备案，其未完全遵循等级测评流程，应该是定级备案后再进行等级测评。三

14、是安全整改不到位。安全整改流程未完全得到遵循，网络运营者应该是先开展等级测评，依据等级测评的结果有针对性制定安全整改方案，再按照方案要求开展安全整改，而有的网络运营者是先进行安全整改活动，然后开展等级测评；有的网络运营者未重视安全整改，只是出了问题后才添置网络安全设备，整改一局部，而不是系统的按照要求进行安全整改；安全整改也涉及资金费用，有的网络运营者制定整改方案的依据不是测评结果，而是依据可使用的资金数额。四是监督不到位。主要表现在：内部监督缺失，各级党委(党组)履行网络安全的主体责任，其主要负责人是网络安全的第一责任人，对网络安全等级爱护制度的实施应履行监督责任，但少数网络运营者的主要负责

15、人对于此项工作的不履行或者不到位情况没有及时催促整改到位；行业主管部门监督缺失，各个行业主管部门对本行业内、本系统内的网络安全工作负有主管责任，促使行业内各个单位实施网络安全等级爱护制度，但_市局部行业主管部门没有履行主管责任，对行业内网络安全等级爱护制度的实施没有采取有效措施；外部监督缺失，各级公安机关网络安全保卫部门应通过执法手段来催促辖区内各网络运营者实施网络安全等级爱护制度，但全市的网络安全执法工作只停留在检查上，各级公安机关网络安全保卫部门没有对不实施网络安全等级爱护制度的违法行为实施查处，导致制度实施的外部监督力度缺失。 三、网络安全等级爱护制度的实施对策 魏德士认为，法律实施的目

16、标旨在实现实然效力和应然效力、道德效力的统一。他提出法的效力应分为三种：一是实然效力(“现实”效力)，假如法律标准得到真正的遵守，那么法就存在；二是应然效力(“法律”效力)，法律标准本身应当有效，因为它是由国家制定并实施的；三是道德效力(认可效力或确信效力或接受)，它是指人们遵守法律的道德根底，假如法律标准是出于法律确信而被人们自愿遵守，那么它就具有道德效力。魏德士提出，努力实现这三种法的效力统一才是法律实施的理想目标5。实施缺乏导致的直接后果就是法律被弱化。具体到网络安全等级爱护制度的实施缺乏，就会使该制度的成文规则遭到实施主体的冷处理或者有意躲避，致使制度的法律规则被搁置，失去法律意义。怎

17、样确保网络安全等级爱护制度得到有效实施、到达价值目标？笔者认为应从规则完善、主体守法、强化监督、行政处分入手，并对信息系统实行集约化管理，使实施资源得到优化配置，节约实施本钱，到达实施效果最大化。(一)完善网络安全等级爱护制度的配套规定。网络安全法规定的网络安全等级爱护制度没有配套的相关规则，在实务中，还是执行20_年信息安全等级爱护管理方法的规定，难以及时覆盖一些新出现的社会领域。而且网络安全法关于该制度的规定具有一定的抽象性，未规定新形势下的定级备案、等级测评、建设整改、监督检查等具体环节，给实务操作带来影响。缺少配套规则且抽象的成文规则往往存在实施缺乏的问题。这就迫切需要国家及时出台配套

18、网络安全等级爱护条例和关键信息根底设施爱护条例等相关规定，对怎样开展定级备案、等级测评、建设整改、监督检查等环节进行具体规定。(二)实施主体自觉遵守网络安全等级爱护制度的规定。随着“互联网+”、信息化、大数据的不断开展，网络已经成为国家各行各业、社会生产生活环境的重要构成，在带来许多机遇的同时，也面临着网络攻击、病毒入侵、系统瘫痪、信息泄露等新的挑战，因此网络安全等级爱护工作任务也将越来越艰巨。在网络安全等级爱护实施过程中，具体负责网络安全的信息科长很想推动该制度的实施，但在向单位领导汇报时就被搁置，因为领导没有意识到这项工作的重要性，没能引起领导的重视；也有些网络运营者的领导对该制度的实施也

19、只停留在口头上。这说明有些网络安全等级爱护制度的实施主体不情愿遵守国家法律法规的规定。法律实施在形式角度上，是需要实施主体的遵守或实施法律标准；在实质角度上，首先是实施主体内心接受、情愿遵守法律标准，再转化成其具体实施行为。主体是法律实施的核心。实施的核心问题是解决人们依法而为的动力机制问题6。笔者认为，应该加强网络安全等级爱护制度的宣贯，特别是向各网络运营者的领导宣贯此项工作的重要性，让领导重视网络安全等级爱护制度，并明白网络安全的主体责任。使实施主体意志与法律意志保持一致，这样才能确保各级领导和具体负责人从内心接受、情愿遵守，到行为上自觉实施网络安全等级爱护制度。(三)加强对网络安全等级爱

20、护制度实施的监督。法律是公民集体意志的呈现，具有某种程度的共识根底。因此，法律应全方位、持续性地得到实施。法律实施肯定要反对选择性执行，这就需要全面持续稳定开展监督活动。对网络安全等级爱护制度的实施应实行多元化监督机制：一是内部监督，各网络运营者的主要领导要肩负起网络安全的主体责任，把网络安全等级爱护制度的实施情况抓在手上，随时进行督办，确保制度的实施；二是行业主管监督，各行业主管部门要肩负网络安全的主管责任，催促本行业、本领域的网络运营者遵守法律规定，实施网络安全等级爱护制度；三是机构监督，各级网络安全与信息化工作领导机构要充分发挥领导协调作用，催促本辖区的网络运营者实施网络安全等级爱护制度

21、。监督手段也要多元化的：一是威慑效应，对不实行网络安全等级爱护制度的网络运营者在一定范围内进行通报，公示于众，以此来增强其守法，并对其他网络运营者起到威慑作用；二是辐射效应，在一定范围内集中精力推行网络安全等级爱护制度，确实解决信息系统安全问题，通过这种正面影响来辐射到周边区域或同行，带动其他网络运营者实施网络安全等级爱护制度；三是上级通知与法律兼容，在我国现有体制下，上级主管部门的通知能够对法律实施起到很大的推动作用，有的网络运营者经常会问“上级有没有通知要求”，因此主管部门依据法律要求下发通知，要求本区域、本行业的网络运营者实施网络安全等级爱护制度，与法律规定同时发力。(四)对不履行网络安

22、全等级爱护制度的违法。行为实施行政处分意大利法学家韦基奥曾提出，“哪里没有强制，哪里就没有法律”，从逻辑上来说法律和强制力是两个具有必定联系的概念718。法律能够得到正常运行不是简单地靠人们的自律与大家的说教，在要求人们自觉遵守法律标准的同时，还必须以强制力作为法律实施的重要保障。在网络安全等级爱护制度的法律实施过程中，必须要有国家强制力来保障，各级公安机关网络安全保卫部门应当加大执法检查力度，对不履行网络安全等级爱护制度的违法行为依法进行行政处分，通过行政强制手段来促使网络安全等级爱护制度的实施。(五)对信息系统实行集约化管理。实施主体要到达符合法律的行为标准往往也要承当一定的本钱，而法律实施应遵从效益实施原则，即在实施过程中必须选择乃至创造本钱更小、收益更大的实施途径、做法和方式，合理配置各项实施资源以最大程度提高收益，使法律实施净收益趋于最大化6。该原则目的在于降低实施主体的本钱、提升实施主体的收益，要求努力建立和维系鼓励相容的法律实施机制，从而形成科学有效的实施动力。网络安全等级爱护工作涉及网络安全、应用安全、数据安全、系统建设、系统运维等多方面，假如其中的某方面或几方面达不到标准要求，就是信息系统的安全隐患。而_市有的网络运营者信息科长对本单位信息系统的