前言
一直以來,網絡安全是懸掛在企業頭頂的達摩克利斯之劍。按照《網絡安全法》的相關規定,在中華人民共和國境內建設、運營、維護和使用網絡的企業應做好網絡安全工作,包括做好網絡安全等級保護制度;購買的網絡產品、服務應服務國家標準的強制性要求;做好個人信息保護工作;落實網絡實名制要求等。近年來,筆者在為大數據公司、互聯網企業、高新技術企業等提供法律服務的過程中,梳理了網絡安全的合規要點,形成以下系列文章,希望對讀者有所裨益。
網絡安全系列文章第二篇:一文解讀網絡安全等級保護制度
往期精彩
什么是網絡安全等級保護制度?
所謂的網絡安全等級保護制度,是指法律規定網絡運營者對于自身運營的計算機信息系統,還有云計算平臺/系統、物聯網以及工業控制系統應進行網絡安全的定級、備案、整改、測評等;公安機關應負責對網絡安全等級保護工作的監督、檢查和指導。
一、等保制度的提出
《中華人民共和國計算機信息系統安全保護條例》(生效日期:1994.02.18,下稱“1994年條例”)第9條規定:“計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。”《1994年條例》第一次提出計算機信息系統要實行安全等級保護制度。那么,何為“計算機信息系統”呢?《1994年條例》第2條進一步指出“本條例所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”
在《1994年條例》出臺后的十年內,受限于當時對網絡安全缺乏重視,以及國家對于網絡安全等級制度尚處于摸索階段,公安部并未采取具體行動會同有關部門制定安全等級的劃分標準和安全等級保護的具體辦法,直到2003年9月7日,中共中央辦公廳、國務院辦公廳聯合發布《國家信息化領導小組關于加強信息安全保障工作的意見》【中辦發[2003]27號,下稱《2003年意見》】再一次重申:為進一步提高信息安全保障工作的能力和水平,維護公眾利益和國家安全,促進信息化建設健康發展,要實行信息安全等級保護。信息安全等級保護開始從計算機信息系統安全保護制度上升至國家信息安全保障基本制度。
二、等保工作的啟動
在《2003年意見》發布后,公安部開始會同國家保密局、國家密碼管理局、國務院信息化工作辦公室(已撤銷)聯合開展信息安全等級保護的調研,著手制定安全等級的劃分標準和安全等級保護的具體辦法。2007年6月公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室(已撤銷)聯合發布《信息安全等級保護管理辦法》(生效日期:2007.06.22,下稱《2007年辦法》),規定安全等級的劃分標準以及安全等級保護的具體操作辦法。
在定級方面,《2007年辦法》第6條規定:“國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。” 《2007年辦法》第7條還按照信息系統遭受破壞對“公民、法人和其他組織、國家安全、社會秩序和公共利益”的損害程度分為了5級。
在備案方面,《2007年辦法》第15條規定,已運營(運行)/新建的第二級以上信息系統,應當在安全保護等級確定后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續等。
在整改方面,《2007年辦法》第11-13條規定,營、使用單位應當按照國家信息安全等級保護管理規范和技術標準,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。與此同時,國家標準化委員會等機構并陸陸續續出臺管理規范和技術標準,包括但不限于《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準以及《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范標準。
在測評/自查方面,《2007年辦法》第14條規定:“信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。”
在《2007年辦法》發布后不久,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室(已撤銷)便聯合下發《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)要求全國有關部門對于重要的信息系統開展等保定級工作。自此,等保工作正式開始啟動實施。
三、等保工作的規模推進
隨著《2007年辦法》的出臺以及《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)的發布,全國開始如火如荼推動等保制度,2010年3月公安部出臺《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010]303號),鼓勵更多企業從事等保測評工作,并督促備案單位自覺開展測評工作;2010年12月,公安部和國務院國有資產監督管理委員會聯合出臺《關于進一步推進中央企業信息安全等級保護工作的通知》,力圖以中央企業為抓手,全部督促企業推進等保工作。
尤為重要的是,2016年《網絡安全法》發布后,明確規定:“國家實行網絡安全等級保護制度。”并細化了網絡運營者的安全保護義務,包括但不限于:1)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;2)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;3)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;4)采取數據分類、重要數據備份和加密等措施等。除此之外,《網絡安全法》進一步規定,如果網絡運營者無法履行前述義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。國家始將等保制度法制化,從國家戰略的高度重視等保工作。
四、等保工作的創新
從《1994年條例》的發布到2017年《網絡安全法》的實施,等保制度已經走過了20多個春秋,已經在實務中形成了一套完整的等保工作制度流程,制定了一整套規范指引,包括但不限于《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準以及《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范標準。
二十多年來,我國的等級保護一直框限于《1994年條例》界定的“信息系統”的保護,即對于“計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統”的保護,然而技術發展日新月異,隨著云計算、物聯網、移動互聯網的出現,新的技術事物也會出現網絡安全問題,也需要對其進行保護。有鑒于此,2019年5月13日,國家市場監督管理總局召開新聞發布會,正式發布《信息安全技術網絡安全等級保護基本要求》2.0版本,并對前述技術標準和管理規范標準進行更新調整,例如,將定級對象由原來的信息系統,擴展至云計算、物聯網、移動互聯網以及工業控制系統等;在原本定級環節、備案環節、建設整改環節、等級測評環節和安全監管環節外增加新的安全要求(安全要求需要具體分析,本文不再詳細展開說明)等。總體而言,如果說前二十年的等保制度是圍繞著“信息系統安全”所展開保護的話,等保2.0的發布意味著等保制度開始圍繞著“網絡安全”所展開保護。
五、等保工作的實務操作
具體而言,等保工作分為五個環節,分別是定級環節、備案環節、建設整改環節、等級測評環節和安全監管環節。
在定級環節,我國實行“自主定級、自主保護”原則,即網絡運營者針對具體的定級對象,根據定級對象“業務信息”類型和“系統服務”類型在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素,確定定級對象的等級。根據《2007年辦法》的規定,定級對象的等級共分為五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
定級對象的確認詳見下圖:
定級對象的等級確認方式詳見下圖:
定級的流程詳見下圖:
在備案環節,按照《信息安全等級保護備案實施細則》規定:網絡運營者應當在信息系統安全保護等級確定后30日內,到公安機關公共信息網絡安全監察部門辦理備案手續。辦理備案手續時,應當首先到公安機關指定的網址下載并填寫備案表,準備好備案文件,然后到指定的地點備案。備案時應當提交《信息系統安全等級保護備案表》(一式兩份)及其電子文檔。第二級以上信息系統備案時需提交《備案表》中的表一、二、三;第三級以上信息系統還應當在系統整改、測評完成后30日內提交《備案表》表四及其有關材料。
備案表格詳見下圖:
在整改環節,按照《關于開展信息安全等級保護安全建設整改工作的指導意見》的要求,網絡運營者要建立健全并落實符合相應等級要求的安全管理制度:一是信息安全責任制,明確信息安全工作的主管領導、責任部門、人員及有關崗位的信息安全責任;二是人員安全管理制度,明確人員錄用、離崗、考核、教育培訓等管理內容;三是系統建設管理制度,明確系統定級備案、方案設計、產品采購使用、密碼使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等管理內容;四是系統運維管理制度,明確機房環境安全、存儲介質安全、設備設施安全、安全監控、網絡安全、系統安全、惡意代碼防范、密碼保護、備份與恢復、事件處 置、應急預案等管理內容。建立并落實監督檢查機制,定期對各項制度的落實情況進行自查和監督檢查。
此外,網絡運營者還需開展信息安全等級保護安全技術措施建設,制定符合相應等級要求的信息系統安全技術建設整改方案,開展信息安全等級保護安全技術措施建設,落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施,建立并完善信息系統綜合防護體系,提高信息系統的安全防護能力和水平。
下圖為筆者為服務單位起草的全套服務文件:
在測評/自查環節,按照《關于開展信息安全等級保護安全建設整改工作的指導意見》的要求,網絡運營者要選擇由省級(含)以上信息安全等級保護工作協調小組辦公室審核并備案的測評機構,對第三級(含)以上信息系統開展等級測評工作。等級測評機構依據《信息系統 安全等級保護測評要求》等標準對信息系統進行測評,對照相應等級安全保護要求進行差距分析,排查系統安全漏洞和隱患并分析其風險,提出改進建議,按照公安部制訂的信息系統安全等級測評報告格式編制等級測評報告。經測評未達到安全保護要求的,要根據測評報告中的改進建議,制定整改方案并進一步進行整改。各部門要及時向受理備案的公安機關提交等級測評報告。對于重要部門的第二級信息系統, 可以參照上述要求開展等級測評工作。
具體而言,測評的事項主要包括如下內容:
在安全監督環節,根據《2007年辦法》第3條規定:“公安機關負責信息安全等級保護工作的監督、檢查、指導。”因此,公安部門會定期巡查網絡運營者對等保工作的落實情況,如未嚴格按照等保制度要求落實,可根據《網絡安全法》、《2007年辦法》等規定,對相關的網絡運營者進行處罰。
下圖為筆者找到的相關處罰案例:
六、律師在等保業務中大有作為
筆者在服務互聯網企業時,發現互聯網企業大多只聘請網絡安全機構為公司做等保制度的搭建,而將律師排除在外。其原因在于互聯網企業認為等保定級后涉及到技術措施的整改,因此等保工作屬于網絡安全機構的業務范疇,與律師無關。通常而言,網絡安全機構擅長于為互聯網企業提供技術措施的整改服務,但對于制度整改的服務,網絡安全機構多數只給互聯網企業一套范本文件,該范本文件只作為提交備案的資料,并不符合公司的實際情形,也未在實際業務開展中落地執行,導致實務中出現技術措施完成整改后,后續出現問題,律師再進場提供互聯網合規服務。由于存在前后腳提供服務的情形,導致律師與網絡技術服務人員無法有效溝通,技術整改和法律合規出現割裂和斷層,出現重復盡調,無效盡調、服務過程溝通不暢、銜接困難等問題。
實際上,筆者認為等保工作的開展應該是律師和網絡安全機構同時進場,各自在有效配合的基礎上,既可搭建起符合等級測評的技術要求,也方便起草符合企業實際需求的制度方案,對于企業而言,無疑是效率最高的處理方式。
