1、等级保护是强制性的吗?可以不做吗?
《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时,二十一条进一步要求:网络运营者应当按照网络安全等级保护制度的要求进行网络安全保护,网络运营者不履行等保义务的,将被给予警告并处以罚款,构成犯罪的,依法追究刑事责任。另外,第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
换言之,网络运营者必须按网络安全法开展等级保护工作,拒不履行等保义务的,有可能面临刑事处罚。
2、如何确定本单位是否需要做等保?
首先,等保的保护对象并不是特定的机构或者公司,而是机构所使用的特定的信息系统。等保关心的是信息系统和信息系统运转依赖的数据、设备、网络、系统和人员。
其次,评价一个系统是否应该做等保,核心问题并不是这个系统有多大,而是这个系统一旦遭到破坏,是否会给国家安全、社会秩序、公共利益以及其他公民、法人或组织的合法权益造成严重损害。
最后,定级时定为一级的不用做备案。对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。
3、不同的等保级别大致是如何划分的?
第一级(自主保护级):一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
第二级(指导保护级):一般适用于县级单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
第三级(监督保护级):一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统。
第四级(强制保护级):一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。
第五级(专控保护级):一般适用于国家重要领域、重要部门中的极端重要系统。