首先,先来简要介绍一下什么是《网络安全法》与“等保”。
《网络安全法》:
全称《中华人民共和国网络安全法》,由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自2017年6月1日起施行。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。
简言之,《网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
“等保”:
全称信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。自等保2.0之后,通常改名为网络安全等级保护。
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级:自主保护级
第二级:指导保护级
第三级:监督保护级
第四级:强制保护级
第五级:专控保护级
《网络安全法》与“等保”的关系:
《网络安全法》于2017年6月1日正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
《网络安全法》第二十一条是我国在法律层面上首次提出“网络安全等级保护制度”这一概念,明确国家实行等级保护制度,落实等级保护制度已经上升到法律层面。该法的发布也标志着国家网络安全等级保护工作正式进入2.0时代,此前的信息安全等级保护也重新赋予网络安全等级保护的新名字。
和等保1.0相比,2.0纳入了《中华人民共和国网络安全法》规定的重要事项;其次,1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管;最后,2.0把监管对象从体制内拓展到了全社会。
《中华人民共和国网络安全法》第21条,38条,59条明确了等保的必要性和重要性,网络安全保障不力需要运营单位和个人承担的责任和相应处罚措施,不做等保工作就等同于违法。