网络安全等级保护规章制度被称作2

无需加好友免费技术支持

文 | 黄春林 汇业法律事务所 合作伙伴

自2018年至今，地区公安机关网络安全单位增强了网络安全等保定市监督检查，逐渐规定地区企业执行网络安全等保定市备案责任，否则就会遭受访谈或惩罚。

实际上，等级保护规章制度早就在1994年的《计算机信息系统安全保护条例》中便确立。2007年，国家公安部发布《网络信息安全等级保护管理条例》、《关于做好我国关键信息系统安全等级保护档次的通告》、《网络信息安全等级保护备案实施办法》。2017年，《网络安全法》成功将等级保护规章制度提高到法律法规方面。2018年初，全国各地信安标委升级发布一系列与商业保险有关的具体指导规范。

在这篇文章中，汇业律师事务所律师黄春林融合帮助企业申请办理保定市级备案和评估的社会经验，简略分享网络安全等保定市级备案和评估几个实践活动难题。

尽管在初期，等候维护规章制度推行单独分级和独立维护的基本原则，但是随着2017年《网络安全法》的实行，我国实行了普遍存在的网络安全等级保护规章制度。全部营运商（互联网使用者、管理人员和互联网服务供应商）应当按照网络安全等级保护体制的要求履行有关的安全防护责任。因而，网络安全等级保护规章制度被称作2.0版，变成企业的主要合规义务。

因而，全部具备网络功能的网络信息系统的运转、客户或者其主管机构（参考《网络信息安全等级保护管理条例》，通称备案行为主体）务必执行网络安全等级保护规章制度，并依据级别执行等级保护备案责任。

但是，依据系统重装后的网络安全技术 依据网络安全等级保护基本要求（议案），不一样新技术应用领域（如通用性互联网、云计算技术、移动互联、物联网技术、电力监控系统等）的等级保护标准及规定稍有差别。

除此之外，依据特定行业适用不一样法律法规，特定行业在网络服务器摆放、数据信息保存、系统优化、个人信息安全等多个方面有一些特殊合规管理规定，危害网络安全标准化的运用和改进措施的实行。

值得关注的是，企业务必推行网络安全等级保护规章制度，但不必申请办理公安机关等级保护备案。仅有运营二级以上应用系统的企业才需办理公安机关等级保护备案。但结合实际，什么应用系统归属于二级以上，技术标准相对性模糊不清，企业通常无法掌握。从减少企业合规风险的角度看，通常需要向公安机关网络安全单位递交书面形式文档，最终决定级别。

依据近期的监督执法实践活动，公安部门理应按照《计算机信息系统安全保护条例》、《网络安全法》等有关规定责令整改；逾期未备案的，给予处分，能够处一万元之上十元以下罚款，直接责任人员处五万元之上五元以下罚款。

依据《网络信息安全等级保护管理条例》 依据网络安全等级保护基本要求（议案），二级以上信息管理系统需在安全保护等级确认后30日内，二级以上信息管理系统需在资金投入运作后30天内向型本地公安部门申请办理备案办理手续。依据北京的备案实践活动，企业可向注册地址或实际经营地的网络安全单位（提议向企业页面的公安网络备案组织）递交备案申请办理，最后由全局审批并出具备案证实。

实际步骤层面，全国各地具体备案步骤稍有差别。依据上海市的现象，企业应先明确级别目标和基本级别，并依据业务全面的具体情况填好《信息系统安全等级保护备案表》以及附注，或委托第三方机构（汇业法律事务所黄春林律师团可委托申请办理），同时提交本地网络安全单位。依据申请材料和基本核查，网络安全单位将规定备案企业落实整改（一般授权委托第三方评估部门进行网络安全评估）。整顿达标（评估结果达标）的，理应授予《信息系统安全等级保护备案资格证书》。

企业有好几个应用系统的，能够集中化一次申请办理级别分级备案，长久有效备案，不用每一年申请办理公安机关等保定市分级备案(非评估)。但企业应用系统发生变化或分级更改的，理应申请办理变更手续或是再次备案。

在我国目前等保定市级选用独立评定申请方式，可事实上评定规范模糊不清主观性，企业无法掌握。

依据《网络信息安全等级保护管理条例》 依据网络安全等级保护基本要求（递交核查稿），依据一定程度的等级保护目标，在我国等级保护推行五级维护规章制度：

侵权行为目标

损害对象水平

一般危害

严重影响

较为严重的不良影响

中国公民、法人或其他组织的合法权利

第一级

第二级

第三级

公共秩序和集体利益

第二级

第三级

第四级

国防安全

第三级

第四级

第五级

但结合实际，怎么区分中国公民、法人代表等组织的合法权利和公共秩序、集体利益，怎样量化分析一般危害、严重影响等相关规范，已经成为企业合规管理档次的较大阻碍。自然，在帮助企业申请办理分级备案的过程当中，汇业黄春林律师团也不断积累了一些判定、定量分析分级积累的经验好的经验做法，例如用户数超出100万电子商务网站，更可能被认定三级。

值得关注的是，尽管备案是每一个企业备案一次，但分级是每一个系统软件独立分级的，最后分级是通过更高企业确立的。除此之外，依据备案实践活动，企业应用系统(如公共性网址)APP运用、财务管理系统及CRM系统等。)只要是有连接网络作用，一定要对内外网的特性开展评定。比如，在注册备案时填报的信息管理系统情况表里的03个选择是业务种类，随后区别内部结构办公室或公共文化服务；05个选择是系统软件互联网平台，随后区别局域网络或局域网。

除此之外，依据我们自己的工作经验，信息管理系统做为分级目标该是由设备配件、设备和手机软件构成的总体。单独系统组件（如网络服务器、终端设备、计算机设备等）不容易独立做为分级目标。因而，假如企业的单独设备在不同地方有网络服务器，则依然按系统软件分级备案。

除此之外，假如公安机关网络安全单位评定企业自主的级别与真实情况不一致或有误，有权要求申请办理纪录企业再次分级同时提交纪录原材料。企业最后的级别评定，以公安部门开具的《信息系统安全等级保护纪录审计结论通告》和《信息系统安全等级保护纪录资格证书》为标准。

从法律上讲，由第三方评估组织主导信息管理系统和其它商业保险评估并不是企业开展保定市级备案的重要程序流程。实际上，它一般只出现于下列二种前提下：（1）公安部门觉得企业分级备案必须整顿；（2）三级之上商业保险企业必须每一年进行一次评估。

企业理应授权委托本地公安机关网络安全单位承认的达标商业保险评价机构作出评价。比如，上海市区，国家公安部网络信息安全产品检测中心、上海市网络信息安全点评认证机构、上海网络技术性综合运用研究室等。

事实上，各评估组织所提供的范畴不一样，一部分评估组织会提供评估服务项目，不负责任备案、整顿等事务管理。评估附加费也会有所不同。一般来说，二级商业保险评估大约为6-8万（没有整顿费，相同），三级商业保险评估大约为10-15万，依据授权委托企业的企业和系统总数而各有不同。评估期也和评估机构事务繁忙情况不同（比如，一些评估组织近期关键忙碌于一同黄金平台等商业保险评估，一般评估等候时间比较长）和评估人员的经营规模不一样。