法律合规视角下的等级保护条例 – 作者:acstar

*本文作者:acstar,本文属FreeBuf原创奖励计划,未经许可禁止转载

一、重装上阵

近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。

等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例 》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。 

在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。

二、九龙治水

序号 部门 职责
1 中央网络安全和信息化领导机构 统一领导网络安全等级保护工作
2 国务院公安部门 主管网络安全等级保护工作 负责网络安全等级保护工作的监督管理 依法组织开展网络安全保卫
3 国家保密行政管理部门 主管涉密网络分级保护工作 负责网络安全等级保护工作中有关保密工作的监督管理
4 国家密码管理部门 负责网络安全等级保护工作中有关密码管理工作的监督管理
5 其他有关部门 在各自职责范围内开展网络安全等级保护相关工作
6 县级以上地方人民政府 依法开展网络安全等级保护工作

在执法方式上,除了传统的处罚手段,还新增了约谈制度,公安部门、保密管理部门、密码管理管理可以直接约谈企业的法定代表人。目前来看,约谈也是使用频率最高的执法措施。

 对于人工智能、大数据、物联网这新兴技术,同样被要求按照等级保护的要求进行防护。这也不是新鲜的要求了,工信部早在2012年就发布了《互联网新技术新业务信息安全评估管理办法(试行)》(未公开),后在2017年发布《互联网新业务安全评估管理办法(征求意见稿)》。不同部门所主导的安全评估,只希望能够尽量协调不同监管体系的查阅,减少新技术创新所面临的重叠监管。

三、关键控制点

等级 对象 受损害客体 侵害程度
第一级 一般网络 公民、法人和其他组织的合法权益 一般损害
第二级 公民、法人和其他组织的合法权益 严重损害
社会秩序和公共利益 一般损害
第三级 重要网络 公民、法人和其他组织的合法权益 特别严重损害
社会秩序和公共利益 严重损害
国家安全 一般损害
第四级 社会秩序和公共利益 特别严重损害
国家安全 严重损害
第五级 极端重要网络 国家安全 特别严重损害

不同的等级会对应不同的安全措施,以三级是一个重要的分界线,在承担的义务上显著加强。三级也是定级时常用的一道标准,比如在今年年初,深圳市公安局要求IDC、云平台信息安全等级保护不得低于三级。上海也在今年要去要求P2P金融机构与主流网络游戏定级在三级。

单位如果有多套系统,则需要分别进行等级保护测评工作,即等级保护是按照网络系统为主体进行识别,而非以单位为主体进行识别。等级保护工作启动的起点是规划设计阶段,实际上是要求Security by Design。另外,在网络内部或外部环境发送重大变化,也需要重新进行定级。

定级评审中,如果是二级以上,则需要进行专家评审以及行业主管部门核准。而目前的等级保护工作也主要是以行业为单位推进,如上海在今年推动的P2P金融与网络游戏行业等级保护工作,行业主管部门在等级保护工作中已经扮演了重要的角色。

四、义务与责任

对于企事业单位来说,更为需要关注的是等级保护的义务。等级保护中的义务以三级为分界线,三级以上的单位需要承担特殊安全义务。

序号 一级二级 三级五级
1 确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度
2 建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度
3 落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程
4 落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施
5 落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志
6 落实数据分类、重要数据备份和加密等措施
7 依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用
8 落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施
9 落实联网备案和用户真实身份查验等责任
10 N/A 确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度
11 N/A 制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过
12 N/A 对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度
13 N/A 对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理
14 N/A 落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接
15 N/A 落实重要网络设备、通信链路、系统的冗余、备份和恢复措施
16 N/A 建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告
17 法律和行政法规规定的其他网络安全保护义务

其中尤其需要注意的是,保护条例要求网络安全事件24小时内报告,远高于欧盟GDPR的72小时报告的义务。如果没有对预案进行过充分的演练,这一义务几乎不可能履行。等保要求网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。

同样需要留意的是三级以上系统要求在境内进行维护,原则上不得境外远程维护,确需境外维护的,需要网络安全评估。在去年《关键信息基础设施安全保护条例(征求意见稿)》中,就要求过关键信息基础设施应当在境内维护。实际上,等保三级以上的网络系统与关键信息基础设施的范围是高度重合的,所有二者在保护方法上有类似的要求也不足为奇。根据2017年底全国人大发布的《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》,截止2017年12月,“已累计受理备案14万个信息系统,其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施。”

对于人员,三级以上网络也有一些有意思的义务,比如要求运营者的关键岗位人员或提供安全服务的人员,不得擅自参加境外组织的网络攻防活动。

五、法律合规视角下的等级保护:法言法语遇上TCP/IP

等级保护的升级之路早已开始,而从去年《网络安全法》生效后,更是将原来行政法规与部门规章中的制度升格为法律规定,网信办这一强势部门也加入等级保护的管理工作中。从法律的角度来看,《网络安全法》生效后有大量执法案例围绕着等级保护制度,大多是在网站发生安全事故以后,被公安部门所处罚,而且不乏对企业负责人的处罚。《网络安全法》与等级保护已经已经不是仅需要IT或者安全部门关注的事项,同样成为企业法务、合规工作中不可回避的问题。

当面对政府的约谈、调查、问询时,或是发生网络安全事故、数据泄露事件时,都需要法务人员与外部律师有效的介入,提供法律层面的指引。这也就需要技术人员与法务合规人员经常坐在一起,能够听懂彼此的语言,让法言法语与C语言、JAVA语言能够有效沟通。这当然不是一件容易的事情,但却是需要从当下开始做的事情。

*本文作者:acstar,本文属FreeBuf原创奖励计划,未经许可禁止转载

来源:freebuf.com 2018-07-07 08:00:54 by: acstar

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论