2018.07.13 董潇 郭静荷
公安部于2018年6月27日发布《网络安全等级保护条例(征求意见稿)》(以下简称“《征求意见稿》”),以实施《中华人民共和国网络安全法》(以下简称“《网安法》”)第21条规定的网络安全等级保护制度。《征求意见稿》颁布后,将更新由《信息安全等级保护管理办法》(2007,以下简称“《管理办法》”)建立的信息安全等级保护制度。该《征求意见稿》的主要变化如下:
一、 评级标准略有变化
《征求意见稿》中信息系统安全保护等级的五级评级体系与《管理办法》基本保持一致,但“对相关公民、法人和其他组织的合法权益造成特别严重损害的”信息系统对应的保护等级由《管理办法》中规定的第二级提高为第三级标准。
二、《征求意见稿》对第二级信息系统安全保护增加了新规定
除了重申现行法规中的一般安全保护义务外,《征求意见稿》还从以下角度对第二级信息系统的安全保护义务进行了规定:(1)进行专家定级评审;(2)公安机关定级备案;(3)上线运行前进行网络安全测试;(4)每年开展一次网络安全自查和报告安全风险隐患;以及(5)获得行政许可的主体的网络安全等级保护制度落实情况将被相关主管部门纳入审计、审核范围等。
三、《征求意见稿》对第三级及以上信息系统安全保护规定了新义务
三级以上的信息系统的网络安全保护义务与《网安法》中的关键信息基础设施类似。此外,《征求意见稿》还从以下方面规定了新的义务:(1)建设网络安全防护管理平台并与同级公安机关对接;(2)上线前委托网络安全等级测评机构进行等级测评;(3)每年开展一次网络安全等级测评;(4)对网络安全管理负责人和关键岗位人员进行安全背景审查并要求持证上岗等。
四、 风险管控的新技术
《征求意见稿》规定,网络运营者有义务采取措施,管控云计算、大数据、人工智能、物联网、工控系统和移动互联网等新技术、新应用带来的安全风险,消除安全隐患。
五、 配合政府调查、处置及约谈的义务
《征求意见稿》规定了网络运营者有义务配合、支持公安机关和有关部门开展事件调查和处置工作并采取紧急措施。此外,进一步规定公安部门和其他相关监管机构如发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
六、 涉密网络的密码监管和网络安全保护
《征求意见稿》规定了信息系统使用加密技术的一般义务,并对三级及以上的信息系统的义务进行了更严格的规定。《征求意见稿》还从系统设计、运行维护、日常管理和密码评估等角度对涉密网络密码保护进行了特殊的规定。
七、 总结与展望
《征求意见稿》将作为《网安法》的重要配套法规,后续配合多项仍在起草或制定过程中的国家标准实施。各公司将需要加强内部的网络安全和信息保护合规系统和制度建设,以便为即将实行的《征求意见稿》及公安部门的执法工作做好准备。