*本文作者:acstar,本文属FreeBuf原创奖励计划,未经许可禁止转载
一、重装上阵
近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。
等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例 》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。
《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。
在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。
在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。
二、九龙治水
序号 | 部门 | 职责 |
---|---|---|
1 | 中央网络安全和信息化领导机构 | 统一领导网络安全等级保护工作 |
2 | 国务院公安部门 | 主管网络安全等级保护工作 负责网络安全等级保护工作的监督管理 依法组织开展网络安全保卫 |
3 | 国家保密行政管理部门 | 主管涉密网络分级保护工作 负责网络安全等级保护工作中有关保密工作的监督管理 |
4 | 国家密码管理部门 | 负责网络安全等级保护工作中有关密码管理工作的监督管理 |
5 | 其他有关部门 | 在各自职责范围内开展网络安全等级保护相关工作 |
6 | 县级以上地方人民政府 | 依法开展网络安全等级保护工作 |
在执法方式上,除了传统的处罚手段,还新增了约谈制度,公安部门、保密管理部门、密码管理管理可以直接约谈企业的法定代表人。目前来看,约谈也是使用频率最高的执法措施。
对于人工智能、大数据、物联网这新兴技术,同样被要求按照等级保护的要求进行防护。这也不是新鲜的要求了,工信部早在2012年就发布了《互联网新技术新业务信息安全评估管理办法(试行)》(未公开),后在2017年发布《互联网新业务安全评估管理办法(征求意见稿)》。不同部门所主导的安全评估,只希望能够尽量协调不同监管体系的查阅,减少新技术创新所面临的重叠监管。
三、关键控制点
等级 | 对象 | 受损害客体 | 侵害程度 |
---|---|---|---|
第一级 | 一般网络 | 公民、法人和其他组织的合法权益 | 一般损害 |
第二级 | 公民、法人和其他组织的合法权益 | 严重损害 | |
社会秩序和公共利益 | 一般损害 | ||
第三级 | 重要网络 | 公民、法人和其他组织的合法权益 | 特别严重损害 |
社会秩序和公共利益 | 严重损害 | ||
国家安全 | 一般损害 | ||
第四级 | 社会秩序和公共利益 | 特别严重损害 | |
国家安全 | 严重损害 | ||
第五级 | 极端重要网络 | 国家安全 | 特别严重损害 |
不同的等级会对应不同的安全措施,以三级是一个重要的分界线,在承担的义务上显著加强。三级也是定级时常用的一道标准,比如在今年年初,深圳市公安局要求IDC、云平台信息安全等级保护不得低于三级。上海也在今年要去要求P2P金融机构与主流网络游戏定级在三级。
单位如果有多套系统,则需要分别进行等级保护测评工作,即等级保护是按照网络系统为主体进行识别,而非以单位为主体进行识别。等级保护工作启动的起点是规划设计阶段,实际上是要求Security by Design。另外,在网络内部或外部环境发送重大变化,也需要重新进行定级。
定级评审中,如果是二级以上,则需要进行专家评审以及行业主管部门核准。而目前的等级保护工作也主要是以行业为单位推进,如上海在今年推动的P2P金融与网络游戏行业等级保护工作,行业主管部门在等级保护工作中已经扮演了重要的角色。
四、义务与责任
对于企事业单位来说,更为需要关注的是等级保护的义务。等级保护中的义务以三级为分界线,三级以上的单位需要承担特殊安全义务。
序号 | 一级-二级 | 三级-五级 |
---|---|---|
1 | 确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度 | |
2 | 建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度 | |
3 | 落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程 | |
4 | 落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施 | |
5 | 落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志 | |
6 | 落实数据分类、重要数据备份和加密等措施 | |
7 | 依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用 | |
8 | 落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施 | |
9 | 落实联网备案和用户真实身份查验等责任 | |
10 | N/A | 确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度 |
11 | N/A | 制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过 |
12 | N/A | 对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度 |
13 | N/A | 对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理 |
14 | N/A | 落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接 |
15 | N/A | 落实重要网络设备、通信链路、系统的冗余、备份和恢复措施 |
16 | N/A | 建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告 |
17 | 法律和行政法规规定的其他网络安全保护义务 |
其中尤其需要注意的是,保护条例要求网络安全事件24小时内报告,远高于欧盟GDPR的72小时报告的义务。如果没有对预案进行过充分的演练,这一义务几乎不可能履行。等保要求网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。
同样需要留意的是三级以上系统要求在境内进行维护,原则上不得境外远程维护,确需境外维护的,需要网络安全评估。在去年《关键信息基础设施安全保护条例(征求意见稿)》中,就要求过关键信息基础设施应当在境内维护。实际上,等保三级以上的网络系统与关键信息基础设施的范围是高度重合的,所有二者在保护方法上有类似的要求也不足为奇。根据2017年底全国人大发布的《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》,截止2017年12月,“已累计受理备案14万个信息系统,其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施。”
对于人员,三级以上网络也有一些有意思的义务,比如要求运营者的关键岗位人员或提供安全服务的人员,不得擅自参加境外组织的网络攻防活动。
五、法律合规视角下的等级保护:法言法语遇上TCP/IP
等级保护的升级之路早已开始,而从去年《网络安全法》生效后,更是将原来行政法规与部门规章中的制度升格为法律规定,网信办这一强势部门也加入等级保护的管理工作中。从法律的角度来看,《网络安全法》生效后有大量执法案例围绕着等级保护制度,大多是在网站发生安全事故以后,被公安部门所处罚,而且不乏对企业负责人的处罚。《网络安全法》与等级保护已经已经不是仅需要IT或者安全部门关注的事项,同样成为企业法务、合规工作中不可回避的问题。
当面对政府的约谈、调查、问询时,或是发生网络安全事故、数据泄露事件时,都需要法务人员与外部律师有效的介入,提供法律层面的指引。这也就需要技术人员与法务合规人员经常坐在一起,能够听懂彼此的语言,让法言法语与C语言、JAVA语言能够有效沟通。这当然不是一件容易的事情,但却是需要从当下开始做的事情。
*本文作者:acstar,本文属FreeBuf原创奖励计划,未经许可禁止转载