来源:数据观 时间:2017-07-20 16:53:39 作者:王渝伟、岳晓羲
《网络安全法》系列解读之(四) 网络安全等级保护制度详解
对于6月1日已经施行的《网络安全法》,互联网以及大数据行业企业关心更多的是新法将会给其业务带来的影响。而随着前段时间肆虐全球的WannaCry病毒事件的发酵,网络安全问题似乎已经上升为全民议题,《网络安全法》更是成为热议话题。作为专注于数据信息行业法律研究和服务的团队,在《网络安全法》即将实施的这一周时间,我们团队将每天一篇重磅推出针对互联网以及大数据行业企业的系列文章:大数据企业应当了解的《网络安全法》。今天是第四篇:网络安全等级保护制度详解。
图片来自于网络
《网络安全法》第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《网络安全法》第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
《网络安全法》的发布,标志着网络安全保护将进入有法可依的2.0时代,整部法律用整个第三章共十九条的篇幅,规定了网络运营者必须履行的一系列保护“网络运行安全”方面的要求和义务,而作为其核心内容之一的网络安全等级保护制度成了行业热议的话题。在此之前,我国已有信息安全等级保护标准以及分级保护标准,等级保护标准主要用于政府、央企等对国家和社会具有影响的系统的安全防护,分级保护标准主要用于涉密系统中的信息泄露防范,但网络空间安全保护一直以来监管相对空白。近年来发生的互联网信息泄露事件愈演愈烈,网络安全等级保护制度的出台将为网络空间保驾护航。
然而,近期我们团队在与网络安全行业企业沟通交流中发现,大多数网络安全企业及数据信息企业都将网络安全等级保护制度理解成了现有的信息安全等级保护制度,这篇文章就将从与信息安全等级保护制度对比的角度,揭开《网络安全法》中网络安全等级保护制度的面纱。
网络安全等级保护
网络安全等级保护制度规定于《网络安全法》的第二十一条,要求网络运营者应当按照网络安全等级保护制度,履行相应安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第二十一条罗列的安全保护义务如下:
▪ 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
▪ 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
▪ 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
▪ 采取数据分类、重要数据备份和加密等措施;
▪ 法律、行政法规规定的其他义务。
此外,《网络安全法》第三十一条还规定,对于“关键信息基础设施”,要在网络安全等级保护制度的基础上实行重点保护。
我们可以注意到以下几点:
1、主体
网络运营者,即网络的所有者、管理者和网络服务提供者。具体解读请参考我们团队本系列文章《团队原创|《网络安全法》系列解读之(一)大数据企业,你是不是“网络运营者”》。
2、实施依据
实施依据为网络安全等级保护制度,目前尚未出台,但根据《网络安全法(草案)》“网络安全等级保护的具体办法由国务院规定”的提法,后续应该会有配套的法规出台。网络运营者中的网络服务提供者,以互联网信息服务为例,按照现有法律,经营性即有偿互联网信息服务的提供者需要申领ICP证,而非经营性即无偿服务的提供者只需进行ICP备案。前者例如一家电商企业网站,后者例如某一企业的官方宣传网站。实践中,电商企业网站和企业网站在收集、使用、储存用户个人信息、网络安全事件概率、面临的遭受攻击或数据泄露的风险程度、所需要的安全防护措施等各个方面存在显著区别,若要求他们在《网络安全法》之下承担完全同等网络安全保护义务,显然是不合理的,这也是第二十一条在要求网络运营者履行网络运行安全保护义务之前加上“按照网络安全等级保护制度的要求”这一条件的原因。因此,对于任何属于“网络服务提供者”范畴的企业来说,进一步关注网络安全等级保护制度的后续立法就显得尤为重要。
3、监管部门
根据《网络安全法》第八条规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。即国家网络信息安全办公室为主要监管部门。
4、主要内容
包括了内控制度及技术措施两个方面,这也提示了所有数据信息企业除了在技术层面做好安全保护措施外,也应当在法律层面制定内部安全管理制度和操作规程。
综上,网络安全等级保护制度是由《网络安全法》首次提出的,针对所有网络运营者的,由国家网信办负责监管的系列措施的总称,其具体的划分标准、评测要求及实施办法均待后续法规的细化规定。
图片来源于网络
信息安全等级保护制度
1994年国务院颁布的 《中华人民共和国计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》,明确了信息安全等级保护的具体要求。
由此可见,信息安全等级保护制度规定于《信息安全等级保护管理办法》,由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布。
1、主体
主体为信息系统运营、使用单位。信息系统主要指以下系统:
(1)国家事务处理信息系统(党政机关办公系统);
(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;
(3)国防工业企业、科研等单位的信息系统;
(4)公用通信、广播电视传输等基础信息网络中的计算机信息系统;
(5)互联网网络管理中心、关键节点、重要网站以及重要应用系统;
(6)其他领域的重要信息系统。
2、实施依据
实施依据为《信息系统安全等级保护实施指南》,《信息安全等级保护管理办法》规定:信息系统运营、使用单位依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。
3、监管部门
监管部门主要为公安机关,《信息安全等级保护管理办法》第十九条规定:信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导。此处的国家制定的专门部门包括国家保密工作部门和国家密码工作管理部门。
4、主要内容
信息系统的安全保护等级按照信息系统受到破坏后,对公民、法人和其他组织的合法权益,对社会秩序和公共利益,对国家安全造成损害的程度对分为五级,对于等级划分、保护措施、评测机构、监管方式均有完善的规定。
综上,网络安全保护制度与现行的信息安全保护制度在主体、实施依据、监管部门、规定内容的各方面都存在区别。
图片来源于网络
结语
《网络安全法》第二十一条是我国在法律层面上首次提出“网络安全等级保护制度”这一概念,但《网络安全法》并未进一步阐明该制度的内涵,也未说明该制度的具体等级划分标准及实施办法。与此相关的是,在《网安法》出台之前,我国已通过相关法规确立了信息安全等级保护制度,对包含网络在内的计算机信息系统实施共分五级的安全保护,这项制度在涉及网络安全的范围内,与《网络安全法》确立的网络安全等级保护制度存在着重叠部分。鉴于《网络安全法》的规定尚不明确,我们目前暂无法判断网络安全等级保护制度与信息安全等级保护制度之间的具体关系,在关于网络安全等级保护制度的细化法规出台之前,我们建议相关企业参照信息安全等级保护制度的规定对企业进行合规审查整改,毕竟网络安全等级保护制度已经上升为法律层面上的强制性义务。
注:本文系「大数据法律研究团队」投稿授权数据观发布,作者:王渝伟、岳晓羲,观韬中茂(上海)律师事务所。
责任编辑:陈近梅
