欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

法律合规视角下的等级保护条例

来源:本站整理 作者:acstar 时间:2018-07-07 TAG: 我要投稿

一、重装上阵
近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。
等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例 》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。
《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。
在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。
在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。
二、九龙治水
序号
部门
职责
1
中央网络安全和信息化领导机构
统一领导网络安全等级保护工作
2
国务院公安部门
主管网络安全等级保护工作 负责网络安全等级保护工作的监督管理 依法组织开展网络安全保卫
3
国家保密行政管理部门
主管涉密网络分级保护工作 负责网络安全等级保护工作中有关保密工作的监督管理
4
国家密码管理部门
负责网络安全等级保护工作中有关密码管理工作的监督管理
5
其他有关部门
在各自职责范围内开展网络安全等级保护相关工作
6
县级以上地方人民政府
依法开展网络安全等级保护工作
在执法方式上,除了传统的处罚手段,还新增了约谈制度,公安部门、保密管理部门、密码管理管理可以直接约谈企业的法定代表人。目前来看,约谈也是使用频率最高的执法措施。
 对于人工智能、大数据、物联网这新兴技术,同样被要求按照等级保护的要求进行防护。这也不是新鲜的要求了,工信部早在2012年就发布了《互联网新技术新业务信息安全评估管理办法(试行)》(未公开),后在2017年发布《互联网新业务安全评估管理办法(征求意见稿)》。不同部门所主导的安全评估,只希望能够尽量协调不同监管体系的查阅,减少新技术创新所面临的重叠监管。
三、关键控制点
等级
对象
受损害客体
侵害程度
第一级
一般网络
公民、法人和其他组织的合法权益
一般损害
第二级
公民、法人和其他组织的合法权益
严重损害
社会秩序和公共利益
一般损害
第三级
重要网络
公民、法人和其他组织的合法权益
特别严重损害
社会秩序和公共利益
严重损害
国家安全
一般损害
第四级
社会秩序和公共利益
特别严重损害
国家安全
严重损害
第五级
极端重要网络
国家安全
特别严重损害
不同的等级会对应不同的安全措施,以三级是一个重要的分界线,在承担的义务上显著加强。三级也是定级时常用的一道标准,比如在今年年初,深圳市公安局要求IDC、云平台信息安全等级保护不得低于三级。上海也在今年要去要求P2P金融机构与主流网络游戏定级在三级。
单位如果有多套系统,则需要分别进行等级保护测评工作,即等级保护是按照网络系统为主体进行识别,而非以单位为主体进行识别。等级保护工作启动的起点是规划设计阶段,实际上是要求Security by Design。另外,在网络内部或外部环境发送重大变化,也需要重新进行定级。
定级评审中,如果是二级以上,则需要进行专家评审以及行业主管部门核准。而目前的等级保护工作也主要是以行业为单位推进,如上海在今年推动的P2P金融与网络游戏行业等级保护工作,行业主管部门在等级保护工作中已经扮演了重要的角色。
四、义务与责任
对于企事业单位来说,更为需要关注的是等级保护的义务。等级保护中的义务以三级为分界线,三级以上的单位需要承担特殊安全义务。
序号
一级-二级
三级-五级
1
确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度
2
建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度
3
落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程
4
落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施
5
落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志
6
落实数据分类、重要数据备份和加密等措施
7
依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用
8
落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施
9
落实联网备案和用户真实身份查验等责任
10
N/A
确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度
11
N/A
制定并落实网络安全总体规划和整体安全防护

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载