发表时间:2019-01-04
2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称“《保护条例》”)。作为《网络安全法》的重要配套法规,《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求,为开展等级保护工作提供了重要的法律支撑。
条例适用范围
《保护条例》的适用范围扩大。 在147号令适用范围为:重点维护国家事务、 经济建设、国防建设、尖端科学技术等重要领域的计算机信息系 统的安全。中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。 而在新的条例范围扩大,境内建设、运营、维护、使用网络的单位原则上都要在等保的使用范围,而这意味着所有网络运营者都要对相关网络开展等保工作。
监管部门
《保护条例》确立了各部门统筹协作、分工负责的监管机制,所涉及的监管部门包括中央网络安全和信息化领导机构、国家网信部门、国务院公安部门、国家保密行政管理部门、国家密码管理部门、国务院其他相关部门、以及县级以上地方人民政府有关部门等。
各国家行业主管或监管部门的监管权力和职责具体如下表:
网络的安全保护
网络定级
定级步骤为:确定定级对象->初步确认定级对象->专家评审->主管部门审核->公安机关备案审查
1)网络等级
网络等级主要以网络的重要程度以及一旦遭受破坏造成的危害程度来评估。
值得注意的是,在《信息安全等级保护管理办法》中,对于信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害的情况,最高保护等级只到第二级。《保护条例》将“会造成特别严重损害”的情况下,信息系统应采取的保护等级提高到第三级,即使对社会公共利益没有造成危害,或者对国家安全造成危害。这也是本条例重大变化之一。
2)网络定级
《保护条例》第十六条规定,网络运营者应当在规划设计阶段确定网络的安全保护等级。 意味着系统使用前必须先定级。与此同时,网络功能、服务范围、服务对象和处理的数据等发生重大变化时,需要根据情况调整定级。
3)定级评审
《保护条例》在定级阶段新增要求,第二级以上必须经过专家评审、行业主管部门核准。跨省或者全国统一联网由行业主管部门统一拟定安全保护等级、统一组织定级评审。
4)定级备案
第二级以上网络运营者在定级、撤销或变更调整网络安全保护等级时,需在10个工作日内,到县级以上公安机关备案。
地点上由之前所在地设区的市级以上公安机关扩展到县级,更加便捷。
5)备案审核
由公安机关对备案材料进行审核,并在10个工作日内出具网络安全等级保护备案证明。
一般保护义务及特殊保护义务
等级保护一般安全保护义务对责任人、安全管理、技术保护制度等要求与《网络安全法》第二十一条内容对应。同时对个人信息的保护、身份验证、报告时限要求等进行明确。
第三级以上还需履行特殊安全保护义务,包含管理机构、总体规划和整体防护策略、背景审查等。要求落实网络安全态势感知监测预警措施,并与同级公安机关对接。
具体条例如下:
第二十条【一般安全保护义务】网络运营者应当依法履行下列安全保护义务,保障网络和信息安全:
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。
第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。
上线检测
新建二级系统上线前按照相关标准进行安全性测试。
新建三级以上系统上线前优先进行等保测评,通过等级测评后方可投入运行。
等级测评
《保护条例》下调了等级测评周期。 原来在《信息安全等级保护管理办法》中“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评”,《保护条例》把上述规定改为“第三级及以上网络的运营者应当每年开展一次网络安全等级测评”。对四级网络来说测评周期下调带来部分便利,但并不意味着安全防护和检查要求降低。
安全整改
与之前一样,都要求网络运营者在等保测评中发现安全风险隐患时进行安全整改。
自查工作
要求单位每年进行一次自查,并向备案的公安机关报告。 三级网络每年做测评可以看做一次自查。对二级网络来说,可能会每年要向公安机关提交一份自查报告,实际上是对二级网络要求进行了补充增强。
监测预警通报
与《网络安全法》要求一致,进行安全监测预警通报。涉及以下三方协作:
l 地市级以上人民政府 :建立监测预警制度及信息通报制度,开展安全监测、态势感知、通报预警等工作。
l 第三级以上网络运营者 :向公安机关及行业主管部门报送安全预警信息及安全事件。
l 行业主管部门 :建立健全本行业/领域的安全监测预警和信息通报制度,向同级网信部门、公安机关报送监测预警信息及安全事件。
数据和信息安全保护
网络运营者应当建立并落实重要数据和个人信息安全保护制度。保障重要数据的完整性、保密性和可用性,以及确保个人信息安全。
应急处置要求
第三级以上网络的运营者,需制定网络安全应急预案,并定期开展演练。 处置网络事件时需保护现场,留存数据,并及时向公安机关和行业主管部门报告。
审核审计要求
对于向社会公众提供经营活动的网络运营者,主管部门应当将等级保护纳入审计、审核范围,也意味着相关运营者将被审计、审核。
新技术新应用风险管控
《保护条例》对云计算、人工智能、物联网等新技术要求进行风险识别及风险管控。体现了 等级保护定级对象大扩展。
此外,《保护条例》也对测评活动安全管理、网络服务机构、产品服务采购使用、技术维护等提出了相应的要求。
涉密网络的安全保护
分级保护
等级保护是针对非涉密系统和网络,涉密网络进行分级保护。分级保护定级有三个级别: 秘密级\机密级\绝密级,安全要求依次增强。
网络定级
《保护条例》确定了分级保护网络定级流程:确定涉密网络的密级->本单位保密委员会(领导小组)的审定->同级保密行政管理部门备案(保密局)。
方案审查论证
涉密网络运营者规划建设涉密网络,应当依据国家保密规定和标准要求,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转管控、电磁泄漏发射防护、病毒防护、密码保护和保密监管等技术与管理措施。这也就是分级保护方案需要关注的防护重点。
建设管理
分级保护项目,需要选择具备涉密信息系统集成资质的单位承接建设,与建设单位签订保密协议。
信息设备、安全保密产品管理
涉密网络中使用的安全保密产品,应当从国家有关主管部门发布的涉密专用信息设备名录中选择,并通过国家保密行政管理部门设立的检测机构检测。
测评审查和风险评估
绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
涉密网络重大变化的处置
有下列情形之一的,需及时向保密行政管理部门报告并采取相应措施,由管理部门评估是否对涉密网络重新检测与审查:
(一)密级发生变化的;
(二)连接范围、终端数量超出审查通过的范围、数量的;
(三)所处物理环境或者安全保密设施变化可能导致新的安全保密风险的;
(四)新增应用系统的,或者应用系统变更、减少可能导致新的安全保密风险的。
涉密网络废止的处理
涉密网络不再使用的,需向保密行政管理部门报告,特定场所及措施处置,不能直接丢弃。
此外,涉密网络运营者要求建立安全保密管理制度,健全涉密网络预警通报制度,及时采取应急处置措施等。
密码管理
涉密网络及传输的国家秘密信息,应当依法采用密码保护。第三级以上网络应当使用国家密码管理部门认可的密码技术、产品和服务(等级保护三级使用) ,需委托密码应用安全性测评机构开展密码应用安全性评估。
网络运营者应建立密码安全制度、完善密码安全管理措施,规范密码使用行为。任何单位和个人不得利用密码从事违法犯罪活动。
监督管理
1)第三级以上网络运营者实行重点监督管理 ;每年等级保护工作情况通报同级网信部门。
2)公安机关对第三级以上网络运营者每年至少开展一次安全检查。 可会同其行业主管部门开展安全检查。
3)明确公安机关的检查处置权利。限期整改、第三级以上通报行业主管部门,并向同级网信部门通报。
4)公安机关在监督检查中发现重大隐患处置需报告同级人民政府、网信部门和上级公安机关。
5)第三级以上网络运营者的关键人员(含安全服务人员)管理要求,不得擅自参加境外组织的网络攻防活动。
6)网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。
7)网络存在的安全风险隐患严重威胁国家安全、社会秩序和公共利益的,紧急情况下公安机关可以责令其停止联网、停机整顿。
8)网络运营者的法定代表人、主要负责人及其行业主管部门对等级保护情况要进行管理及监管。 发生重大安全风险及隐患,省级以上人民政府公安部门、保密行政管理部门、密码管理部门有权对其进行约谈 。
法律责任
《保护条例》的规定处罚基本上依照《网络安全法》,处罚措施集中在警告处分、责令整改、罚款(包括单位和直接负责人)、责令停产停业、行政拘留等形式。 值得注意的是,第三级以上网络运营者 违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,将会被从重处罚 。