|
2018年6月27日�����,公安部發(fā)布《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》(以下簡稱“《保護(hù)條例》”)��。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī)����,《保護(hù)條例》對網(wǎng)絡(luò)安全等級保護(hù)的適用范圍、各監(jiān)管部門的職責(zé)���、網(wǎng)絡(luò)運(yùn)營者的安全保護(hù)義務(wù)以及網(wǎng)絡(luò)安全等級保護(hù)建設(shè)提出了更加具體���、操作性也更強(qiáng)的要求,為開展等級保護(hù)工作提供了重要的法律支撐�����。 《保護(hù)條例》的適用范圍擴(kuò)大�����。所有網(wǎng)絡(luò)運(yùn)營者都要進(jìn)行對相關(guān)網(wǎng)絡(luò)開展等保工作���。 《保護(hù)條例》確立了各部門統(tǒng)籌協(xié)作�����、分工負(fù)責(zé)的監(jiān)管機(jī)制�����,所涉及的監(jiān)管部門包括中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)���、國家網(wǎng)信部門��、國務(wù)院公安部門�����、國家保密行政管理部門��、國家密碼管理部門���、國務(wù)院其他相關(guān)部門、以及縣級以上地方人民政府有關(guān)部門等����。
各國家行業(yè)主管或監(jiān)管部門的監(jiān)管權(quán)力和職責(zé)具體如下表:
定級步驟為:確定定級對象->初步確認(rèn)定級對象->專家評審->主管部門審核->公安機(jī)關(guān)備案審查 1)網(wǎng)絡(luò)等級 網(wǎng)絡(luò)等級主要以網(wǎng)絡(luò)的重要程度以及一旦遭受破壞造成的危害程度來評估。 值得注意的是�,在《信息安全等級保護(hù)管理辦法》中,對于信息系統(tǒng)受到破壞后����,會(huì)對公民����、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害的情況���,最高保護(hù)等級只到第二級。《保護(hù)條例》將“會(huì)造成特別嚴(yán)重?fù)p害”的情況下�����,信息系統(tǒng)應(yīng)采取的保護(hù)等級提高到第三級�����,即使對社會(huì)公共利益沒有造成危害�,或者對國家安全造成危害。這也是本條例重大變化之一��。 2)網(wǎng)絡(luò)定級 《保護(hù)條例》第十六條規(guī)定���,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)等級�����。意味著系統(tǒng)使用前必須先定級�。與此同時(shí),網(wǎng)絡(luò)功能�����、服務(wù)范圍�����、服務(wù)對象和處理的數(shù)據(jù)等發(fā)生重大變化時(shí)��,需要根據(jù)情況調(diào)整定級����。 3)定級評審 《保護(hù)條例》在定級階段新增要求,第二級以上必須經(jīng)過專家評審���、行業(yè)主管部門核準(zhǔn)�??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)由行業(yè)主管部門統(tǒng)一擬定安全保護(hù)等級、統(tǒng)一組織定級評審���。 4)定級備案 第二級以上網(wǎng)絡(luò)運(yùn)營者在定級��、撤銷或變更調(diào)整網(wǎng)絡(luò)安全保護(hù)等級時(shí)�����,需在10個(gè)工作日內(nèi)�����,到縣級以上公安機(jī)關(guān)備案��。 地點(diǎn)上由之前所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)擴(kuò)展到縣級�,更加便捷��。 5)備案審核 由公安機(jī)關(guān)對備案材料進(jìn)行審核��,并在10個(gè)工作日內(nèi)出具網(wǎng)絡(luò)安全等級保護(hù)備案證明���。
一般保護(hù)義務(wù)及特殊保護(hù)義務(wù) 等級保護(hù)一般安全保護(hù)義務(wù)對責(zé)任人����、安全管理����、技術(shù)保護(hù)制度等要求與《網(wǎng)絡(luò)安全法》第21條內(nèi)容對應(yīng)���。同時(shí)對個(gè)人信息的保護(hù)、身份驗(yàn)證��、報(bào)告時(shí)限要求等進(jìn)行明確����。 第三級以上還需履行特殊安全保護(hù)義務(wù),包含管理機(jī)構(gòu)�����、總體規(guī)劃和整體防護(hù)策略���、背景審查等��。要求落實(shí)網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測預(yù)警措施�����,并與同級公安機(jī)關(guān)對接�����。 新建二級系統(tǒng)上線前按照相關(guān)標(biāo)準(zhǔn)進(jìn)行安全性測試��。 新建三級以上系統(tǒng)上線前優(yōu)先進(jìn)行等保測評��,通過等級測評后方可投入運(yùn)行���。
《保護(hù)條例》下調(diào)了等級測評周期�����。 對四級網(wǎng)絡(luò)來說測評周期下調(diào)帶來部分便利����,但并不意味著安全防護(hù)和檢查要求降低��。 與之前一樣����,都要求網(wǎng)絡(luò)運(yùn)營者在等保測評中發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患時(shí)進(jìn)行安全整改���。
要求單位每年進(jìn)行一次自查��,并向備案的公安機(jī)關(guān)報(bào)告��。三級網(wǎng)絡(luò)每年做測評可以看做一次自查���。對二級網(wǎng)絡(luò)來說���,可能會(huì)每年要向公安機(jī)關(guān)提交一份自查報(bào)告,實(shí)際上是對二級網(wǎng)絡(luò)要求進(jìn)行了補(bǔ)充增強(qiáng)�。
與《網(wǎng)絡(luò)安全法》要求一致,進(jìn)行安全監(jiān)測預(yù)警通報(bào)���。涉及以下三方協(xié)作: 地市級以上人民政府:建立監(jiān)測預(yù)警制度及信息通報(bào)制度���,開展安全監(jiān)測、態(tài)勢感知���、通報(bào)預(yù)警等工作��。 第三級以上網(wǎng)絡(luò)運(yùn)營者:向公安機(jī)關(guān)及行業(yè)主管部門報(bào)送安全預(yù)警信息及安全事件��。 行業(yè)主管部門:建立健全本行業(yè)/領(lǐng)域的安全監(jiān)測預(yù)警和信息通報(bào)制度����,向同級網(wǎng)信部門�、公安機(jī)關(guān)報(bào)送監(jiān)測預(yù)警信息及安全事件。
網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立并落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度。保障重要數(shù)據(jù)的完整性����、保密性和可用性,以及確保個(gè)人信息安全����。
對于向社會(huì)公眾提供經(jīng)營活動(dòng)的網(wǎng)絡(luò)運(yùn)營者,主管部門應(yīng)當(dāng)將等級保護(hù)納入審計(jì)����、審核范圍,也意味著相關(guān)運(yùn)營者將被審計(jì)�����、審核�����。 新技術(shù)新應(yīng)用風(fēng)險(xiǎn)管控 《保護(hù)條例》對云計(jì)算�、人工智能�����、物聯(lián)網(wǎng)等新技術(shù)要求進(jìn)行風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)管控。體現(xiàn)了等級保護(hù)定級對象大擴(kuò)展����。 此外,《保護(hù)條例》也對測評活動(dòng)安全管理�����、網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)�����、產(chǎn)品服務(wù)采購使用���、技術(shù)維護(hù)等提出了相應(yīng)的要求�。 等級保護(hù)是針對非涉密系統(tǒng)和網(wǎng)絡(luò)�,涉密網(wǎng)絡(luò)進(jìn)行分級保護(hù)。分級保護(hù)定級有三個(gè)級別: 秘密級\機(jī)密級\絕密級���,安全要求依次增強(qiáng)����。 《保護(hù)條例》確定了分級保護(hù)網(wǎng)絡(luò)定級流程:確定涉密網(wǎng)絡(luò)的密級->本單位保密委員會(huì)(領(lǐng)導(dǎo)小組)的審定->同級保密行政管理部門備案(保密局)�。 涉密網(wǎng)絡(luò)運(yùn)營者規(guī)劃建設(shè)涉密網(wǎng)絡(luò)��,應(yīng)當(dāng)依據(jù)國家保密規(guī)定和標(biāo)準(zhǔn)要求�����,制定分級保護(hù)方案���,采取身份鑒別、訪問控制�、安全審計(jì)、邊界安全防護(hù)�����、信息流轉(zhuǎn)管控�����、電磁泄漏發(fā)射防護(hù)��、病毒防護(hù)�����、密碼保護(hù)和保密監(jiān)管等技術(shù)與管理措施�����。這也就是分級保護(hù)方案需要關(guān)注的防護(hù)重點(diǎn)���。 分級保護(hù)項(xiàng)目��,需要選擇具備涉密信息系統(tǒng)集成資質(zhì)的單位承接建設(shè)��,與建設(shè)單位簽訂保密協(xié)議。 信息設(shè)備���、安全保密產(chǎn)品管理 涉密網(wǎng)絡(luò)中使用的安全保密產(chǎn)品����,應(yīng)當(dāng)從國家有關(guān)主管部門發(fā)布的涉密專用信息設(shè)備名錄中選擇���,并通過國家保密行政管理部門設(shè)立的檢測機(jī)構(gòu)檢測�。
絕密級網(wǎng)絡(luò)每年至少進(jìn)行一次�����,機(jī)密級和秘密級網(wǎng)絡(luò)每兩年至少進(jìn)行一次�����。 有下列情形之一的,需及時(shí)向保密行政管理部門報(bào)告并采取相應(yīng)措施�,由管理部門評估是否對涉密網(wǎng)絡(luò)重新檢測與審查: (一)密級發(fā)生變化的; (二)連接范圍�、終端數(shù)量超出審查通過的范圍、數(shù)量的����; (三)所處物理環(huán)境或者安全保密設(shè)施變化可能導(dǎo)致新的安全保密風(fēng)險(xiǎn)的; (四)新增應(yīng)用系統(tǒng)的�����,或者應(yīng)用系統(tǒng)變更���、減少可能導(dǎo)致新的安全保密風(fēng)險(xiǎn)的����。
涉密網(wǎng)絡(luò)不再使用的�����,需向保密行政管理部門報(bào)告�����,特定場所及措施處置���,不能直接丟棄���。 此外,涉密網(wǎng)絡(luò)運(yùn)營者要求建立安全保密管理制度���,健全涉密網(wǎng)絡(luò)預(yù)警通報(bào)制度����,及時(shí)采取應(yīng)急處置措施等�。 涉密網(wǎng)絡(luò)及傳輸?shù)膰颐孛苄畔ⅲ瑧?yīng)當(dāng)依法采用密碼保護(hù)�����。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)使用國家密碼管理部門認(rèn)可的密碼技術(shù)��、產(chǎn)品和服務(wù)(等級保護(hù)三級使用)����,需委托密碼應(yīng)用安全性測評機(jī)構(gòu)開展密碼應(yīng)用安全性評估��。 網(wǎng)絡(luò)運(yùn)營者應(yīng)建立密碼安全制度�、完善密碼安全管理措施���,規(guī)范密碼使用行為�。任何單位和個(gè)人不得利用密碼從事違法犯罪活動(dòng)�����。 1)第三級以上網(wǎng)絡(luò)運(yùn)營者實(shí)行重點(diǎn)監(jiān)督管理�����;每年等級保護(hù)工作情況通報(bào)同級網(wǎng)信部門��。 2)公安機(jī)關(guān)對第三級以上網(wǎng)絡(luò)運(yùn)營者每年至少開展一次安全檢查��。可會(huì)同其行業(yè)主管部門開展安全檢查�。 3)明確公安機(jī)關(guān)的檢查處置權(quán)利。限期整改�����、第三級以上通報(bào)行業(yè)主管部門,并向同級網(wǎng)信部門通報(bào)����。 4)公安機(jī)關(guān)在監(jiān)督檢查中發(fā)現(xiàn)重大隱患處置需報(bào)告同級人民政府、網(wǎng)信部門和上級公安機(jī)關(guān)���。 5)第三級以上網(wǎng)絡(luò)運(yùn)營者的關(guān)鍵人員(含安全服務(wù)人員)管理要求,不得擅自參加境外組織的網(wǎng)絡(luò)攻防活動(dòng)���。 6)網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)配合��、支持公安機(jī)關(guān)和有關(guān)部門開展事件調(diào)查和處置工作��。 7)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)隱患嚴(yán)重威脅國家安全�����、社會(huì)秩序和公共利益的���,緊急情況下公安機(jī)關(guān)可以責(zé)令其停止聯(lián)網(wǎng)、停機(jī)整頓��。 8)網(wǎng)絡(luò)運(yùn)營者的法定代表人�����、主要負(fù)責(zé)人及其行業(yè)主管部門對等級保護(hù)情況要進(jìn)行管理及監(jiān)管。發(fā)生重大安全風(fēng)險(xiǎn)及隱患�����,省級以上人民政府公安部門���、保密行政管理部門�����、密碼管理部門有權(quán)對其進(jìn)行約談���。 《保護(hù)條例》的規(guī)定處罰基本上依照《網(wǎng)絡(luò)安全法》,處罰措施集中在警告處分����、責(zé)令整改、罰款(包括單位和直接負(fù)責(zé)人)��、責(zé)令停產(chǎn)停業(yè)��、行政拘留等形式����。值得注意的是�����,第三級以上網(wǎng)絡(luò)運(yùn)營者違反本條例第二十一條���、第二十二條第二款、第二十三條規(guī)定��、第二十八條第二款���,第三十條第二款,第三十二條第一款規(guī)定的��,將會(huì)被從重處罰�����。(以上內(nèi)容轉(zhuǎn)自公眾號(hào):深信服科技)
|
