开展网络安全等级保护工作的法律依据
一、法律层级依据
- 基本法律
- 《网络安全法》(2017)第21条
明确规定“国家实行网络安全等级保护制度”,要求网络运营者按照网络安全等级保护制度的要求,履行下列安全保护义务:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。 - 《数据安全法》(2021)第27条
规定开展数据处理活动应当依照法律、法规的规定,在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。 - 《密码法》(2020)第27条
规定法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估,商用密码应用安全性评估应当与网络安全等级测评制度相衔接。
- 《网络安全法》(2017)第21条
- 行政法规
- 《计算机信息系统安全保护条例》(国务院令第147号,1994)第9条
首次确立“计算机信息系统实行安全等级保护”,授权公安部制定具体办法。 - 《关键信息基础设施安全保护条例》(国务院令第745号,2021)第6条
明确关键信息基础设施需“在网络安全等级保护基础上”实施重点保护,形成“等保+关保”双层体系。 - 《商用密码管理条例》(国务院令第760号,2023修订)第41条
强制要求网络运营者“按等保等级使用商用密码”,授权密码管理部门制定分等级密码标准。
- 《计算机信息系统安全保护条例》(国务院令第147号,1994)第9条
- 部门规章与政策文件
- 《信息安全等级保护管理办法》(公通字〔2007〕43号)
细化等保五环节(定级、备案、建设、测评、检查),明确公安机关监管职责。 - 《公安部关于印送〈贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见〉的函》(〔2020〕1960号)
强化等保2.0框架,将云计算、物联网等新技术纳入监管。 - 《关于进一步做好网络安全等级保护有关工作的函》(〔2025〕1001号)
新增第五级系统监管、数据摸底强制化、实战化测评等要求(2025年核心新规)。
- 《信息安全等级保护管理办法》(公通字〔2007〕43号)
二、监管主体的法律授权
- 公安机关主导职责
- 《人民警察法》(2012修订)第6条第12项:授权警察“监督管理计算机信息系统安全保护工作”。
- 国务院“三定”方案(2008):赋予公安部“监督、检查、指导信息安全等级保护工作”职责,属行政组织法授权(依据《宪法》第89条和《国务院组织法》第11条)。
- 司法实践佐证:在行政诉讼中,“三定”方案作为公安机关职权的合法性依据。
- 多部门协同监管
- 网信部门:统筹协调网络安全工作和相关监督管理工作(《网络安全法》第8条)。
- 密码管理部门:制定等保密码标准(《商用密码管理条例》第41条)。
- 保密部门:监督涉密网络分级保护(《计算机信息系统安全保护条例》第6条)。
📌 注:2025年拟出台《网络安全等级保护条例》将监管职责升格为行政法规,解决“三定”方案效力层级局限。
三、技术标准体系的法律效力
等保标准属强制性国家标准,运营者必须执行:
- 定级依据:《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)。
- 建设要求:《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)。
- 测评规范:《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)及2025版测评模板(〔2025〕1001号),该测评模板是根据《网络安全法》第21条和《信息安全等级保护管理办法》(公通字〔2007〕43号)制定的。
- 密码应用:《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021),三级以上系统需同步开展密码应用安全性评估。
四、2025年新规的法律衔接与创新
- 第五级系统监管
- 定义:对“危害国家安全或国计民生”的系统(如国家电网核心控制系统)。
- 流程:省级公安机关备案,每年测评1次,并自动纳入关键信息基础设施候选名录。该要求是根据《关于进一步做好网络安全等级保护有关工作的函》(〔2025〕1001号)提出的。
- 数据安全闭环管理
- 数据摸底:二级以上系统需填报《数据摸底调查表》(2025年11月30日截止),明确数据类别、流动路径及责任人。
- 风险导向测评:启用2025版测评报告,以“重大风险隐患”取代分数制,符合率>90%但存重大隐患仍判定“不符合”。
- 保护工作方案
- 三级以上系统运营者需每年12月31日前提交方案,聚焦重大隐患整改。该要求是根据《关于进一步做好网络安全等级保护有关工作的函》(〔2025〕1001号)提出的。
五、企业合规义务与法律责任
义务闭环与法律依据对应表
| 合规环节 | 法律依据 | 违反后果 |
|---|---|---|
| 定级备案 | 《网络安全法》第21条 + 《计算机信息系统安全保护条例》第9条 | 警告、1万-10万元罚款 |
| 密码应用 | 《商用密码管理条例》第41条 + GB/T 22239 | 责令整改,情节严重的吊销许可证 |
| 数据安全管理 | 《数据安全法》第27条 + 公网安〔2025〕1001号 | 纳入“数据安全事件”行政处罚 |
| 测评整改 | 《网络安全法》第38条 + 公网安〔2020〕1960号 | 停业整顿、吊销执照 |
刑事责任衔接
- 拒不整改导致系统瘫痪或重大数据泄露:适用《刑法》第286条(破坏计算机信息系统罪),最高可处五年以上有期徒刑。
六、法律依据体系演进趋势
- 效力层级提升:
- 《网络安全等级保护条例》列入2025年国务院立法计划,将替代部门规章(如2007年《管理办法》),明确网信、公安、密码管理部门的法定分工。
- 监管重心转移:
- 从“形式合规”转向“实质防护”:2025年新规强调重大风险整改和数据流动管控。
- 技术覆盖扩展:
- 等保2.0将云计算、物联网、工业控制系统等纳入标准体系(GB/T 22239-2019安全扩展要求)。
结论:法律依据的“三位一体”框架
- 制度根基
- 《网络安全法》第21条与《数据安全法》第27条构成义务核心。《网络安全法》第21条明确国家实行网络安全等级保护制度,要求网络运营者履行安全保护义务;《数据安全法》第27条则要求在网络安全等级保护制度的基础上,建立全流程数据安全管理制度,确保数据安全与网络安全等级保护制度的紧密结合。
- 监管授权
- 《人民警察法》第6条与国务院“三定”方案提供组织法支撑。《人民警察法》第6条授权公安机关监督管理计算机信息系统安全保护工作,国务院“三定”方案进一步明确公安部监督、检查、指导信息安全等级保护工作的职责,这为公安机关在网络安全等级保护工作中的主导地位提供了坚实的法律依据。2025年《网络安全等级保护条例》的立法计划,将使监管职责进一步升格为行政法规,解决“三定”方案效力层级的局限。
- 技术强制
- 《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019与《商用密码管理条例》第41条形成技术合规标尺。《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)作为网络安全等级保护的核心技术标准,为网络运营者提供了明确的安全建设要求。《商用密码管理条例》第41条则要求网络运营者按照等保等级使用商用密码,确保密码应用的安全性。
未履行义务将触发“警告→罚款→停业整顿→刑事责任”的逐级追责链条,且2025年执法聚焦第五级系统监管与数据安全闭环。
以上内容来源网络,请以相关法律法规和政策要求为准!
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。