网络安全等级保护20合规解读课件

网络安全等级保护2.0合规解读网络安全的态势简介1234目录Contents网络安全等级保护相关法律法规网络安全等级保护有啥好处？网络安全等级保护谁来做？5网络安全等级保护怎么做？2网络安全的态势简介1Part3没有意识到的风险才是最大的风险42018年4月21日，习近平同志强调：没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。

习近平同志认为：要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。没有意识到的风险才是最大的风险5中国互联网络信息中心（CNNIC）于2018年1月发布第41次

《中国互联网络发展状况统计报告》没有意识到的风险才是最大的风险6没有意识到的风险才是最大的风险7没有意识到的风险才是最大的风险8安全事件案例9安全事件案例10安全事件案例11钓鱼网站真正的中国工商银行网站

假冒的中国工商银行网站

安全事件案例12清华大学校园网站被篡改16年1月清华大学教学门户遭受黑客攻击。部分页面点击后伴有音乐，内容为阿拉伯XXX教经文，大意为“XX伟大，我不惧死亡，牺牲是我最终的目标”安全事件案例13**市城乡建设局网站(www.**/)安全事件案例1414安全事件案例152017年11月4日，*海区移动图书馆网络安全事件16广州一父亲希望确切地知道自己女儿小学报名情况是否通过，利用自己从事系统维护工作的经验，通过简单密码及系统用户名侵入后台，造成广州市2015年小学生网上报名近3.5万条数据全部外泄，数据的字段包括姓名、身份证号、出生日期、户籍地址等隐私信息成都被打女司机17

1、根据女司机的网络开房记录2、按照常理如果她不是变态的话，一般不会经期开房3、一般女性经期是5-7天，鉴于她私生活有点丰富，可能激素有点紊乱，因此初步判断她是7天以上是基本假设根据开房记录，选取样本连续的2014年1月和4月作为样本1月有四次，1、7、15、22根据上述信息，可以排除1-7号（间隔5天），7-15号有可能（间隔7天），15-22号可能很小（间隔6天），那么最大可能就是23-30号这8天！我们再来看4月的样本，刚好也是4次，4、9、10、21，根据1月样本的推算，并结合1月的成果可基本确定是23-30号再用2014年6月和7月的几个零星样本检验一下，基本上是合适的。至于2010.2011.2013年的样本，由于时间久远，不具备推算最近经期的参考价值，故不予选取计入样本。因此初步推算此女经期是每月23号到30号,安全期在1--5号19--23号，排卵期在9--15号。网络安全等级保护相关法律法规2Part18换位思考4

or

3

？

为什么要做网络安全等级保护？《中华人民共和国网络安全法》没有意识到风险才是最大的风险20-----------全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。第七十六条本法下列用语定义：……（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。法律明确基本国策基本制度第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。为网络安全保驾护航2122第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。网络安全等级保护制度是国家网络安全保障工作的基本制度、基本策略和基本方法。网络安全法违法处罚措施总结由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上一百万元以下罚款，对直接负责的主管人员处五千元以上十万元以下罚款。可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可。尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。23逐步加强网络安全法违法处罚措施总结24

第六十三条：……

违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。违法处罚-个人信用：

第七十一条有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。25中华人民共和国刑法（九）修正案2015：26

第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：(一)致使违法信息大量传播的(二)致使用户信息泄露，造成严重后果的(三)致使刑事案件证据灭失，情节严重的(四)有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。中华人民共和国刑法（九）修正案2015：第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的，由公安机关责令限期改正，给予警告；27逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款。有违法所得的，没收违法所得；《广东省计算机信息系统安全保护条例》规定：情节严重的，并给予六个月以内的停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。中华人民共和国刑法（九）修正案2015：《计算机信息网络国际联网安全保护管理办法》第五条任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权，推翻社会主义制度的；（三）煽动分裂国家、破坏国家统一的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。

第二十条

违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。28网络安全等级保护有啥好处？3Part2930落实网络安全等级保护有啥好处不是我不想做，而是嘿嘿，你懂的……完成网络安全等级保护工作的好处：3101严格按照相关法律法规及标准执行评估，满足主管单位和行业安全要求02梳理业务系统重要资产信息，了解信息资产面临的外部威胁和自身弱点03明确系统安全现状，防患于未然，对于未来系统建设和投入有指导意义04完善和规范的服务流程，享受专家技术支持服务06极大提高技术人员的安全意识和技术水平，有助降低运维成本，提高效率05通过安全专家核查及提出整改建议，并督促企业整改，降低系统被入侵风险网络安全等级保护系统的、全面的解决您的问题！32网络安全等级保护系统的、全面的解决您的问题！33

物理安全网络安全主机系统安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息系统网络安全等级保护内容技术要求管理要求全面不全面？、系统不系统？、放心不放心？：不落实网络安全等级保护或定级偏低：341、上级领导的重视程度自然减弱；2、经费保障也不到位；3、出了安全问题个人承担责任。网络安全等级保护谁来做？4Part35网络安全等级保护谁来做？？网络安全等级保护谁来做？371、产权归谁谁来做等保；2、谁使用谁负责。网络安全等级保护谁来做？381、从事计算机安全服务的公司可以参与整改2、有资质的第三方测评公司负责验收测评网络安全等级保护谁来做？39上市公司，信心的源泉悠久历史、品质的保证实力雄厚、安全的象征股票代码：870971企业使命：服务国家安全发展战略，构筑中国特色的网络安全防护体系全面的安全服务及信息化解决方案竞远安全企业精神

竞远安全企业精神——专业可靠

做事专业，做人可靠；技术专业，服务可靠；过程专业，结果可靠；企业专业，企品可靠。在这个精神的指导下，竞远安全所有的努力都是为了达成这个结果：让安全更安全，从而成为客户安心、主管部门放心的专业性安全服务机构。40广泛而又持续支持的客户群41政府◆广东省委组织部◆中共广东省委党校◆广东省司法厅◆广东省国土资源厅◆广东省地方税务局◆广东省统计局◆广东省水利厅◆广东省民政厅◆广东省地震局◆广东省气象局◆广东省审计厅◆广东省气象台◆广东省信息中心◆广东省信访局◆广东省工商行政管理局◆广东省工商业联合会◆广东省统计局◆广东省社会保险基金管理局◆广东省人民政府侨务办公室◆广东省人民政府法制办公室◆广东省水利厅◆广东省水文局◆广东省科学技术协会

◆广东省粮食局◆广东省储备粮管理总公司◆中共广东省委南方杂志社◆广州市人民政府办公厅◆广州市公安局◆广州市气象局◆广州市地方税务局◆广州市人力资源和社会保障局◆广州市对外贸易经济合作局◆广州公共资源交易中心◆广州市人力资源和社会保障局◆广州市住房和城乡建设委员会◆广东省委组织部◆中共广东省委党校（广东行政学院）◆广东省司法厅◆广东省国土资源厅◆广东省地方税务局◆广东省统计局◆广东省水利厅◆广东省民政厅◆广东省地震局◆广东省气象局◆广东省审计厅◆广东省气象台◆广东省信息中心◆广东省信访局◆广东省工商行政管理局◆广东省工商业联合会◆广东省统计局◆广东省社会保险基金管理局◆广东省人民政府侨务办公室◆广东省人民政府法制办公室◆广东省水利厅◆广东省水文局◆广东省科学技术协会◆广东省粮食局◆广东省储备粮管理总公司◆中共广东省委南方杂志社◆广州市人民政府办公厅◆广州市公安局◆广州市气象局◆广州市地方税务局◆广州市人力资源和社会保障局◆广州市对外贸易经济合作局◆广州公共资源交易中心◆广州市人力资源和社会保障局◆广东省教育厅◆惠州市教育局◆清远市教育局◆汕头市教育局◆云浮市教育局◆江门教育局◆南方科技大学◆深圳大学◆暨南大学◆华南农业大学◆华南理工大学◆星海音乐学院◆广东药科大学◆广东财经大学◆广东开放大学◆广东工业大学◆五邑大学◆广东海洋大学◆仲恺农业工程学院◆广州商学院◆广州中医药大学◆佛山市顺德区教育发展中心教育广泛而又持续支持的客户群42电力◆中国南方电网有限责任公司◆广东省电网有限责任公司◆广州供电局有限公司◆深圳供电局有限公司◆中国南方电网有限责任公司超高压输电公司◆中国南方电网有限责任公司调峰调频发电公司◆广东电网有限责任公司电力调度控制中心◆广东电网有限责任公司电力科学研究院◆广东电网有限责任公司物流服务中心◆广东电网有限责任公司输变电公司◆广东电网有限责任公司教育培训评价中心◆广东电网有限责任公司电网规划研究中心◆广东电网有限责任公司管理科学研究院◆广东电网有限责任公司佛山供电局◆广东电网有限责任公司东莞供电局◆广东电网有限责任公司中山供电局◆广东电网有限责任公司珠海供电局◆广东电网有限责任公司江门供电局◆广东电网有限责任公司清远供电局◆广东电网有限责任公司惠州供电局◆广东电网有限责任公司河源供电局◆广东电网有限责任公司韶关供电局◆广东电网有限责任公司汕头供电局◆广东电网有限责任公司汕尾供电局◆广东电网有限责任公司潮州供电局◆广东电网有限责任公司揭阳供电局◆广东电网有限责任公司梅州供电局◆广东电网有限责任公司肇庆供电局◆广东电网有限责任公司云浮供电局◆广东电网有限责任公司阳江供电局◆广东电网有限责任公司茂名供电局◆广东电网有限责任公司湛江供电局◆广东省电力设计研究院◆广西电网有限责任公司◆广州发电厂有限公司◆湛江电力有限公司◆天生桥一级水电开发有限责任公司水力发电厂◆广东省粤电集团有限公司太阳能分公司◆华能国际电力股份有限公司海门电厂◆广东省粤电集团有限公司珠海发电厂烟草◆中国烟草总公司广东省公司/广东省烟草专卖局◆广东中烟工业有限责任公司◆中国烟草总公司深圳市公司/深圳市烟草专卖局◆广东烟草湛江市有限公司/湛江市烟草专卖局◆广东烟草梅州市有限公司/梅州市烟草专卖局◆广东烟草汕尾市有限公司/汕尾市烟草专卖局◆广东烟草江门市有限公司/江门市烟草专卖局◆广东烟草惠州市有限责任公司/惠州市烟草专卖局◆广东烟草茂名市有限责任公司/茂名市烟草专卖局◆广东烟草河源市有限责任公司/河源市烟草专卖局◆广东烟草肇庆市有限责任公司/肇庆市烟草专卖局◆广东烟草云浮市有限责任公司/云浮市烟草专卖局广泛而又持续支持的客户群43公共交通◆中国民用航空中南地区空中交通管理局◆中国民用航空珠海空中交通管理站◆中国民用航空珠海进近管制中心◆中国民用航空湛江空中交通管理站◆广东省交通运输工程造价管理站◆广东联合电子收费股份有限公司◆广州白云国际机场股份有限公司◆广东机场白云信息科技有限公司◆广州白云国际机场商旅服务有限公司◆广州市交通运输管理局卫生◆广东省卫生和计划生育委员会◆广东省人民医院◆广东省妇幼保健院◆广东省疾病预防控制中心◆广东省结核病控制中心◆广东省健康教育中心◆东莞市第三人民医院◆佛山市顺德区妇幼保健院◆佛山市顺德区龙江医院◆佛山市顺德区北滘医院◆中山市坦洲医院◆中山市大涌医院◆中山市民众医院◆中山市南朗医院◆中山市港口医院◆中山市黄圃镇人民医院◆茂名市人民医院广电传媒◆广东省广播电视网络股份有限公司◆广东省广播电视网络股份有限公司汕头分公司◆广东南方电视台◆广东电视台◆广州珠江数码集团有限公司其他行业◆广东省广新控股集团有限公司◆广东省广晟资产经营有限公司◆海南新生信息科技有限公司◆中国建筑第四工程局有限公司◆中交第四航务工程勘察设计院有限公司◆中国铁建港航局集团有限公司……网络安全等级保护怎么做？5Part44网络安全等级保护实施流程45定级备案46定级备案确定定级对象初步确定等级专家评审主管部门审核确定等级公安机关备案审查受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1、确定业务信息安全受到破坏时所侵害的客体2、综合评定对客体的侵害程度3、业务信息安全等级4、确定系统服务安全受到破坏时所侵害的客体5、综合评定对客体的侵害程度6、系统服务安全等级7、定级对象的初步安全保护等级1、确定业务信息安全受到破坏时所侵害的客体2、综合评定对客体的侵害程度4、确定系统服务安全受到破坏时所侵害的客体5、综合评定对客体的侵害程度6、系统服务安全等级定级要素与等级的关系定级方法定级备案流程信息系统安全定级方法47定级流程

网络安全等级保护定级小技巧48

一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。

三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。等级概述49等级保护工作的主要流程1、定级与审批；2、等级评审；3、备案；4、备案管理；5、系统建设；6、等级测评；7、自查自纠；8、监督检查。

局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止备案管理监督检查等级变更等级测评等级测评等级测评工作流程50等保工作流程测评流程51工作启动信息收集和分析工具和表单准备测评准备活动测评对