2020.04.28 杨锦文 李圆圆
随着我国新冠疫情防控态势持续向好以及企业复产复工的有序推进,抓住全球科技产业转型升级的战略机遇期,着力加快以5G、人工智能、大数据和工业互联网等为代表的“新基建”领域建设,将成为近年我国经济社会发展的主题。在新一轮的市场建设中,信息网络建设的主导作用已是不言而喻。对企业而言,构建层次分明的网络安全“防火墙”,夯实信息网络建设基础,更是引领信息网络产业建设浪潮的题中之义。本文拟梳理有关网络安全等级保护的相关规则,以期对企业构建高效的网络安全保护体系提供参考。
一、网络安全等级保护概况
(一)什么是网络安全等级保护
网络安全等级保护制度是保护网络安全的一种机制安排,指对网络实施分等级保护、分等级监管。以2017年生效的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)为分界,网络安全等级保护走过了两个时代,分别是信息系统安全等级保护时代(业界俗称“等保1.0”)和现在的网络安全等级保护时代(俗称“等保2.0”)。
“等保1.0”的主要法规是2007年6月公布的《信息安全等级保护管理办法》,其建立了信息安全等级保护制度,根据信息系统的重要程度和系统遭到破坏后的危害程度,将信息系统安全保护等级分为五级。随后,2008年到2012年之间,若干国家标准陆续出台,共同组成了信息安全等级保护制度体系。
“等保2.0”的主要法规包括的2017年生效的《网络安全法》和2018年公安部公布的《网络安全等级保护条例(征求意见稿)》(以下简称“《等级保护条例》”)。《网络安全法》第21条提出了“网络安全等级保护制度”,并明确了相关要求。《等级保护条例》在信息系统安全等级保护制度的基础上,根据网络的重要程度,以及其一旦遭到破坏等情况后对相关主体的合法权益的危害程度等因素,将我国网络安全保护等级也分为五级。2019年,相配套的国家标准也陆续出台。《等级保护条例》更新了由《信息安全等级保护管理办法》建立的信息系统安全等级保护制度,与《网络安全法》等法律法规和相关国家标准共同开启了“等级保护2.0”时代。
(二)哪些企业需要实施网络安全等级保护
根据《网络安全法》,网络安全等级保护的责任主体是网络运营者。“网络运营者”是指网络的所有者、管理者和网络服务提供者。根据法律规定以及实务经验,在网络化深度普及的现代社会,《网络安全法》适用于几乎所有企业,无论是互联网还是局域网的运营主体均属于应当实施网络安全等级保护的范围之内。
同时,我们也注意到《等级保护条例》对网络安全提出了更为细致和严格的要求,除了个人及家庭自建自用的网络之外,在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,均适用该条例。该范围非常宽泛,与《网络安全法》中对所有网络运营者遵守网络安全等级保护制度的要求有效衔接。
(三)网络安全等级保护的对象
在开展网络安全等级保护工作中应首先明确等级保护对象,等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
二、企业实施网络安全等级保护的主要流程
实施等级保护是一个阶段性工作,根据相关规定和实务经验总结,等级保护工作总共分五个阶段,分别为:确定定级对象、定级、备案、等级测评、安全建设整改。网络运营者应当在各个阶段依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。
(一)主要流程
等级保护的主要流程及工作如下表所示。
主要流程
网络运营者以及律所、IT等专业机构的工作
确定定级对象
根据相关法规和国家标准梳理系统的类型、应用范围等情况后,确认定级对象。
定级
初步确定安全保护等级,准备定级报告,填写定级备案表、编写定级报告。
对于拟定为第二级以上的网络,应当组织专家评审,对初步定级结果的合理性进行评审,出具专家评审意见。有行业主管部门的,应当在评审后报请主管部门核准。
安全保护等级初步确定为第四级的等级保护对象,在开展专家评审工作时,应当请国家信息安全等级保护专家评审委员会进行评审。
备案
第二级以上系统应当在安全保护等级确定后30日内或投入运行后30日(《等级保护条例》中缩短为10个工作日)内由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续(材料清单请参照下文实务操作指南)。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
如审查不通过,应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
等级测评
等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判。
网络运营者应当选择符合相关法规规定的测评机构,根据相关国家标准,定期开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
安全建设整改
网络运营者应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
建设符合等级安全要求的安全技术和管理体系,根据监管要求随时修改网络安全管理制度,按照管理规范和技术标准要求针对不符合项以及行业特性要求进行安全建设整改。
(二)确定定级对象
作为定级对象的网络应具有如下基本特征:(1)具有确定的主要安全责任主体;(2)承载相对独立的业务应用;(3)包含相互关联的多个资源。
在确定定级对象时,基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据在满足以上基本特征的基础上,还需分别遵守以下特殊要求:
对象
特殊要求
基础信息网络
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。
跨省业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。
工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
云计算平台
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
采用移动互联技术的网络
采用移动互联技术的网络主要包括移动终端、移动应用、无线网络等特征要素,应与相关有线网络业务系统作为一个整体对象定级。
大数据
大数据应作为单独定级对象进行定级;安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。
各个企业内部可能存在多个信息系统,系统内部也可能存在各个子系统。企业首先应当对内部的网络系统进行摸底调查,了解其数量、性质、结构、应用等信息,进一步判断如何确定定级对象、单独定级还是合并定级等问题,详情可以咨询或者聘请专业机构进行确认。
(三)定级
信息系统定级是后续开展信息系统备案、等级测评、建设整改、监督检查等工作的重要基础。
1.等级划分
等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
2.定级要素
根据自主定级、自主保护的原则,企业应首先自行或聘请第三方机构进行定级。定级时应考虑这两个因素:(1)受侵害的客体;(2)对客体的侵害程度。其中,等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。对客体造成侵害的程度归结为以下三种:(1)造成一般损害;(2)造成严重损害;(3)造成特别严重损害。两个因素与定级之间的关系如下表所示。
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,应根据《定级指南》的相关要求重新确定定级对象和安全保护等级。
3.实务概况
如上所述,企业在开展网络安全等级保护时,应首先完成自主定级工作。根据我们的实务经验,普通企业定为第二级或第三级较多,偶见定为第四级的情况,几乎没有第五级的民用案例。第一级不需要开展备案工作,第二级及以上需完成备案工作,第三级及以上需要完成每年的测评等工作。需强调的是,根据国家标准原则上对于大数据安全和确定为关键信息基础设施的保护等级不得低于第三级。
(四)备案的实务操作指南
根据我们的实务经验,目前实务中提交材料的要求仍按照《信息安全等级保护管理办法》及《信息安全等级保护备案实施细则》办理登记保护备案手续,待《等级保护条例》生效后再作变更。本节以北京市为例介绍目前的办理流程和材料要求。各地要求可能有所差异,例如广州市要求企业向广州市公安局公共信息网络安全监察分局备案,登陆广东省统一身份认证平台在线申办;深圳市除了下表材料外还要求提供工作小组名单表等,各地实务操作详情可以咨询相关专业机构。
办理机构
北京市公安局各区分局
具体流程
收件/受理 → 审查/决定 → 发证(窗口领取)
所需材料
1. 信息系统安全等级保护备案表
2. 第三级以上信息系统提供:
1) 系统拓扑结构及说明;
2) 系统安全组织机构和管理制度;
3) 系统安全保护设施设计实施方案或者改建实施方案;
4) 系统使用的信息安全产品清单及其认证、销售许可证明;
5) 测评后符合系统安全保护等级的技术检测评估报告;
6) 信息系统安全保护等级专家评审意见;
主管部门审核批准信息系统安全保护等级的意见。
办理期限
对符合要求的,公安机关自收到备案材料之日起的10个工作日内办结;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在十个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
由于开展备案手续需要聘请律师和IT公司以及测评机构等第三方机构,涉及到合规建设和成本费用的考虑,根据公司的预算等情况与律师、IT等专业机构进行协商,并充分与公安机关沟通采取分批备案等措施,达到平衡的目的。
(五)等级测评和安全建设整改
根据相关规定以及实务经验,目前第一级不需要备案,第二级需完成备案工作,第三级以上除了备案之外还需要完成每年的等级测评等工作。除了上文所述之外,《等级保护条例》中对于定级备案之外的网络安全工作提出了更细致的要求。
首先,新建的第二级网络上线运行前应当按照相关标准规范对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构进行等级测评,通过测评后方可投入运行。
其次,第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。网络运营者应当对等级测评中发现的安全风险隐患制定整改方案,落实整改措施,消除风险隐患。等级测评包括单项测评和整体测评,其测评力度包括测评广度(覆盖面)和测评深度(强弱度)。每个级别测评要求不同、评估方法不同,但均包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分。
最后,第三级以上网络的运营者应在产品服务采购、技术维护、安全监测预警、信息通报和应急处置等方面建立相关制度,按照法规要求采取适当措施。网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。
三、法律责任及执法动向
未按规定开展等级保护工作的企业,可能会招致责令改正、警告、约谈、罚款等处罚,严重者可能导致承担相关民事或刑事责任。行政处罚及刑事责任详情请见下表。
法律
相关规定
网络安全法
网络运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;
拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
等级保护条例
分别规定了违反技术维护要求、数据安全和个人信息保护要求、网络安全服务、执法协助义务、保密和密码管理的责任和相应的行政处罚。
公安机关可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施;紧急情况下公安机关可以责令其停止联网、停机整顿。
引入了网络安全约谈制度,有关部门发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
刑法
拒不履行信息网络安全管理义务罪:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,或有情节严重者可处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
我们注意到,近期主管机关加大了执法力度,有部分地区公安机关要求包括外商投资企业在内的企业办理等级保护的情况,也出现了不少企业因未有效实施网络安全等级保护制度受到处罚的案例。
因此,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施。
四、结语
从以保护“信息系统安全”为目标的“等保1.0”时代到以构建“网络安全”为核心的 “等保2.0”时代的进程,体现出我国信息网络安全保护体系的划时代进步,也为网络运营者如何适应新的行业发展潮流提出了新的课题。毋庸置疑,遵照更严格、细致的标准进行网络建设维护,履行好网络安全保护义务,是网络运营者参与网络建设的基础。谁能打造健全完善的网络安全保护体系,谁就能抓住先机,成为新时代信息网络革命的“弄潮儿”。