前言
一直以来,网络安全是悬挂在企业头顶的达摩克利斯之剑。按照《网络安全法》的相关规定,在中华人民共和国境内建设、运营、维护和使用网络的企业应做好网络安全工作,包括做好网络安全等级保护制度;购买的网络产品、服务应服务国家标准的强制性要求;做好个人信息保护工作;落实网络实名制要求等。近年来,笔者在为大数据公司、互联网企业、高新技术企业等提供法律服务的过程中,梳理了网络安全的合规要点,形成以下系列文章,希望对读者有所裨益。
网络安全系列文章第二篇:一文解读网络安全等级保护制度
往期精彩
什么是网络安全等级保护制度?
所谓的网络安全等级保护制度,是指法律规定网络运营者对于自身运营的计算机信息系统,还有云计算平台/系统、物联网以及工业控制系统应进行网络安全的定级、备案、整改、测评等;公安机关应负责对网络安全等级保护工作的监督、检查和指导。
一、等保制度的提出
《中华人民共和国计算机信息系统安全保护条例》(生效日期:1994.02.18,下称“1994年条例”)第9条规定:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”《1994年条例》第一次提出计算机信息系统要实行安全等级保护制度。那么,何为“计算机信息系统”呢?《1994年条例》第2条进一步指出“本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”
在《1994年条例》出台后的十年内,受限于当时对网络安全缺乏重视,以及国家对于网络安全等级制度尚处于摸索阶段,公安部并未采取具体行动会同有关部门制定安全等级的划分标准和安全等级保护的具体办法,直到2003年9月7日,中共中央办公厅、国务院办公厅联合发布《国家信息化领导小组关于加强信息安全保障工作的意见》【中办发[2003]27号,下称《2003年意见》】再一次重申:为进一步提高信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展,要实行信息安全等级保护。信息安全等级保护开始从计算机信息系统安全保护制度上升至国家信息安全保障基本制度。
二、等保工作的启动
在《2003年意见》发布后,公安部开始会同国家保密局、国家密码管理局、国务院信息化工作办公室(已撤销)联合开展信息安全等级保护的调研,着手制定安全等级的划分标准和安全等级保护的具体办法。2007年6月公安部、国家保密局、国家密码管理局、国务院信息化工作办公室(已撤销)联合发布《信息安全等级保护管理办法》(生效日期:2007.06.22,下称《2007年办法》),规定安全等级的划分标准以及安全等级保护的具体操作办法。
在定级方面,《2007年办法》第6条规定:“国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。” 《2007年办法》第7条还按照信息系统遭受破坏对“公民、法人和其他组织、国家安全、社会秩序和公共利益”的损害程度分为了5级。
在备案方面,《2007年办法》第15条规定,已运营(运行)/新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续等。
在整改方面,《2007年办法》第11-13条规定,营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。与此同时,国家标准化委员会等机构并陆陆续续出台管理规范和技术标准,包括但不限于《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准以及《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范标准。
在测评/自查方面,《2007年办法》第14条规定:“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。”
在《2007年办法》发布后不久,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室(已撤销)便联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)要求全国有关部门对于重要的信息系统开展等保定级工作。自此,等保工作正式开始启动实施。
三、等保工作的规模推进
随着《2007年办法》的出台以及《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)的发布,全国开始如火如荼推动等保制度,2010年3月公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),鼓励更多企业从事等保测评工作,并督促备案单位自觉开展测评工作;2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,力图以中央企业为抓手,全部督促企业推进等保工作。
尤为重要的是,2016年《网络安全法》发布后,明确规定:“国家实行网络安全等级保护制度。”并细化了网络运营者的安全保护义务,包括但不限于:1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;4)采取数据分类、重要数据备份和加密等措施等。除此之外,《网络安全法》进一步规定,如果网络运营者无法履行前述义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。国家始将等保制度法制化,从国家战略的高度重视等保工作。
四、等保工作的创新
从《1994年条例》的发布到2017年《网络安全法》的实施,等保制度已经走过了20多个春秋,已经在实务中形成了一套完整的等保工作制度流程,制定了一整套规范指引,包括但不限于《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准以及《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范标准。
二十多年来,我国的等级保护一直框限于《1994年条例》界定的“信息系统”的保护,即对于“计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”的保护,然而技术发展日新月异,随着云计算、物联网、移动互联网的出现,新的技术事物也会出现网络安全问题,也需要对其进行保护。有鉴于此,2019年5月13日,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术网络安全等级保护基本要求》2.0版本,并对前述技术标准和管理规范标准进行更新调整,例如,将定级对象由原来的信息系统,扩展至云计算、物联网、移动互联网以及工业控制系统等;在原本定级环节、备案环节、建设整改环节、等级测评环节和安全监管环节外增加新的安全要求(安全要求需要具体分析,本文不再详细展开说明)等。总体而言,如果说前二十年的等保制度是围绕着“信息系统安全”所展开保护的话,等保2.0的发布意味着等保制度开始围绕着“网络安全”所展开保护。
五、等保工作的实务操作
具体而言,等保工作分为五个环节,分别是定级环节、备案环节、建设整改环节、等级测评环节和安全监管环节。
在定级环节,我国实行“自主定级、自主保护”原则,即网络运营者针对具体的定级对象,根据定级对象“业务信息”类型和“系统服务”类型在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,确定定级对象的等级。根据《2007年办法》的规定,定级对象的等级共分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
定级对象的确认详见下图:
定级对象的等级确认方式详见下图:
定级的流程详见下图:
在备案环节,按照《信息安全等级保护备案实施细则》规定:网络运营者应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。备案时应当提交《信息系统安全等级保护备案表》(一式两份)及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。
备案表格详见下图:
在整改环节,按照《关于开展信息安全等级保护安全建设整改工作的指导意见》的要求,网络运营者要建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处 置、应急预案等管理内容。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
此外,网络运营者还需开展信息安全等级保护安全技术措施建设,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
下图为笔者为服务单位起草的全套服务文件:
在测评/自查环节,按照《关于开展信息安全等级保护安全建设整改工作的指导意见》的要求,网络运营者要选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《信息系统 安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统, 可以参照上述要求开展等级测评工作。
具体而言,测评的事项主要包括如下内容:
在安全监督环节,根据《2007年办法》第3条规定:“公安机关负责信息安全等级保护工作的监督、检查、指导。”因此,公安部门会定期巡查网络运营者对等保工作的落实情况,如未严格按照等保制度要求落实,可根据《网络安全法》、《2007年办法》等规定,对相关的网络运营者进行处罚。
下图为笔者找到的相关处罚案例:
六、律师在等保业务中大有作为
笔者在服务互联网企业时,发现互联网企业大多只聘请网络安全机构为公司做等保制度的搭建,而将律师排除在外。其原因在于互联网企业认为等保定级后涉及到技术措施的整改,因此等保工作属于网络安全机构的业务范畴,与律师无关。通常而言,网络安全机构擅长于为互联网企业提供技术措施的整改服务,但对于制度整改的服务,网络安全机构多数只给互联网企业一套范本文件,该范本文件只作为提交备案的资料,并不符合公司的实际情形,也未在实际业务开展中落地执行,导致实务中出现技术措施完成整改后,后续出现问题,律师再进场提供互联网合规服务。由于存在前后脚提供服务的情形,导致律师与网络技术服务人员无法有效沟通,技术整改和法律合规出现割裂和断层,出现重复尽调,无效尽调、服务过程沟通不畅、衔接困难等问题。
实际上,笔者认为等保工作的开展应该是律师和网络安全机构同时进场,各自在有效配合的基础上,既可搭建起符合等级测评的技术要求,也方便起草符合企业实际需求的制度方案,对于企业而言,无疑是效率最高的处理方式。
