|
2018年6月27日��,公安部發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)“《保護(hù)條例》”)����。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī),《保護(hù)條例》對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)的適用范圍����、各監(jiān)管部門(mén)的職責(zé)、網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保護(hù)義務(wù)以及網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)提出了更加具體��、操作性也更強(qiáng)的要求��,為開(kāi)展等級(jí)保護(hù)工作提供了重要的法律支撐����。 《保護(hù)條例》的適用范圍擴(kuò)大。所有網(wǎng)絡(luò)運(yùn)營(yíng)者都要進(jìn)行對(duì)相關(guān)網(wǎng)絡(luò)開(kāi)展等保工作。 《保護(hù)條例》確立了各部門(mén)統(tǒng)籌協(xié)作����、分工負(fù)責(zé)的監(jiān)管機(jī)制,所涉及的監(jiān)管部門(mén)包括中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)��、國(guó)家網(wǎng)信部門(mén)����、國(guó)務(wù)院公安部門(mén)、國(guó)家保密行政管理部門(mén)��、國(guó)家密碼管理部門(mén)��、國(guó)務(wù)院其他相關(guān)部門(mén)��、以及縣級(jí)以上地方人民政府有關(guān)部門(mén)等��。
各國(guó)家行業(yè)主管或監(jiān)管部門(mén)的監(jiān)管權(quán)力和職責(zé)具體如下表:
定級(jí)步驟為:確定定級(jí)對(duì)象->初步確認(rèn)定級(jí)對(duì)象->專(zhuān)家評(píng)審->主管部門(mén)審核->公安機(jī)關(guān)備案審查 1)網(wǎng)絡(luò)等級(jí) 網(wǎng)絡(luò)等級(jí)主要以網(wǎng)絡(luò)的重要程度以及一旦遭受破壞造成的危害程度來(lái)評(píng)估����。 值得注意的是,在《信息安全等級(jí)保護(hù)管理辦法》中���,對(duì)于信息系統(tǒng)受到破壞后��,會(huì)對(duì)公民���、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害的情況���,最高保護(hù)等級(jí)只到第二級(jí)。《保護(hù)條例》將“會(huì)造成特別嚴(yán)重?fù)p害”的情況下��,信息系統(tǒng)應(yīng)采取的保護(hù)等級(jí)提高到第三級(jí)���,即使對(duì)社會(huì)公共利益沒(méi)有造成危害,或者對(duì)國(guó)家安全造成危害���。這也是本條例重大變化之一����。 2)網(wǎng)絡(luò)定級(jí) 《保護(hù)條例》第十六條規(guī)定��,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)����。意味著系統(tǒng)使用前必須先定級(jí)。與此同時(shí)���,網(wǎng)絡(luò)功能��、服務(wù)范圍��、服務(wù)對(duì)象和處理的數(shù)據(jù)等發(fā)生重大變化時(shí)��,需要根據(jù)情況調(diào)整定級(jí)����。 3)定級(jí)評(píng)審 《保護(hù)條例》在定級(jí)階段新增要求,第二級(jí)以上必須經(jīng)過(guò)專(zhuān)家評(píng)審����、行業(yè)主管部門(mén)核準(zhǔn)?��?缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)由行業(yè)主管部門(mén)統(tǒng)一擬定安全保護(hù)等級(jí)���、統(tǒng)一組織定級(jí)評(píng)審。 4)定級(jí)備案 第二級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者在定級(jí)����、撤銷(xiāo)或變更調(diào)整網(wǎng)絡(luò)安全保護(hù)等級(jí)時(shí),需在10個(gè)工作日內(nèi)��,到縣級(jí)以上公安機(jī)關(guān)備案。 地點(diǎn)上由之前所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)擴(kuò)展到縣級(jí),更加便捷��。 5)備案審核 由公安機(jī)關(guān)對(duì)備案材料進(jìn)行審核����,并在10個(gè)工作日內(nèi)出具網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明。
一般保護(hù)義務(wù)及特殊保護(hù)義務(wù) 等級(jí)保護(hù)一般安全保護(hù)義務(wù)對(duì)責(zé)任人���、安全管理、技術(shù)保護(hù)制度等要求與《網(wǎng)絡(luò)安全法》第21條內(nèi)容對(duì)應(yīng)��。同時(shí)對(duì)個(gè)人信息的保護(hù)���、身份驗(yàn)證、報(bào)告時(shí)限要求等進(jìn)行明確。 第三級(jí)以上還需履行特殊安全保護(hù)義務(wù)���,包含管理機(jī)構(gòu)����、總體規(guī)劃和整體防護(hù)策略、背景審查等��。要求落實(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警措施����,并與同級(jí)公安機(jī)關(guān)對(duì)接���。 新建二級(jí)系統(tǒng)上線前按照相關(guān)標(biāo)準(zhǔn)進(jìn)行安全性測(cè)試���。 新建三級(jí)以上系統(tǒng)上線前優(yōu)先進(jìn)行等保測(cè)評(píng)��,通過(guò)等級(jí)測(cè)評(píng)后方可投入運(yùn)行���。
《保護(hù)條例》下調(diào)了等級(jí)測(cè)評(píng)周期。 對(duì)四級(jí)網(wǎng)絡(luò)來(lái)說(shuō)測(cè)評(píng)周期下調(diào)帶來(lái)部分便利����,但并不意味著安全防護(hù)和檢查要求降低。 與之前一樣��,都要求網(wǎng)絡(luò)運(yùn)營(yíng)者在等保測(cè)評(píng)中發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患時(shí)進(jìn)行安全整改��。
要求單位每年進(jìn)行一次自查��,并向備案的公安機(jī)關(guān)報(bào)告����。三級(jí)網(wǎng)絡(luò)每年做測(cè)評(píng)可以看做一次自查。對(duì)二級(jí)網(wǎng)絡(luò)來(lái)說(shuō)����,可能會(huì)每年要向公安機(jī)關(guān)提交一份自查報(bào)告,實(shí)際上是對(duì)二級(jí)網(wǎng)絡(luò)要求進(jìn)行了補(bǔ)充增強(qiáng)���。 監(jiān)測(cè)預(yù)警通報(bào)
與《網(wǎng)絡(luò)安全法》要求一致���,進(jìn)行安全監(jiān)測(cè)預(yù)警通報(bào)。涉及以下三方協(xié)作: 地市級(jí)以上人民政府:建立監(jiān)測(cè)預(yù)警制度及信息通報(bào)制度,開(kāi)展安全監(jiān)測(cè)��、態(tài)勢(shì)感知����、通報(bào)預(yù)警等工作。 第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者:向公安機(jī)關(guān)及行業(yè)主管部門(mén)報(bào)送安全預(yù)警信息及安全事件����。 行業(yè)主管部門(mén):建立健全本行業(yè)/領(lǐng)域的安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度����,向同級(jí)網(wǎng)信部門(mén)����、公安機(jī)關(guān)報(bào)送監(jiān)測(cè)預(yù)警信息及安全事件����。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立并落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度����。保障重要數(shù)據(jù)的完整性、保密性和可用性����,以及確保個(gè)人信息安全。
對(duì)于向社會(huì)公眾提供經(jīng)營(yíng)活動(dòng)的網(wǎng)絡(luò)運(yùn)營(yíng)者��,主管部門(mén)應(yīng)當(dāng)將等級(jí)保護(hù)納入審計(jì)、審核范圍��,也意味著相關(guān)運(yùn)營(yíng)者將被審計(jì)����、審核。 新技術(shù)新應(yīng)用風(fēng)險(xiǎn)管控 《保護(hù)條例》對(duì)云計(jì)算��、人工智能��、物聯(lián)網(wǎng)等新技術(shù)要求進(jìn)行風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)管控����。體現(xiàn)了等級(jí)保護(hù)定級(jí)對(duì)象大擴(kuò)展。 此外����,《保護(hù)條例》也對(duì)測(cè)評(píng)活動(dòng)安全管理、網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)��、產(chǎn)品服務(wù)采購(gòu)使用����、技術(shù)維護(hù)等提出了相應(yīng)的要求。 等級(jí)保護(hù)是針對(duì)非涉密系統(tǒng)和網(wǎng)絡(luò)���,涉密網(wǎng)絡(luò)進(jìn)行分級(jí)保護(hù)���。分級(jí)保護(hù)定級(jí)有三個(gè)級(jí)別: 秘密級(jí)\機(jī)密級(jí)\絕密級(jí)���,安全要求依次增強(qiáng)。 《保護(hù)條例》確定了分級(jí)保護(hù)網(wǎng)絡(luò)定級(jí)流程:確定涉密網(wǎng)絡(luò)的密級(jí)->本單位保密委員會(huì)(領(lǐng)導(dǎo)小組)的審定->同級(jí)保密行政管理部門(mén)備案(保密局)���。 涉密網(wǎng)絡(luò)運(yùn)營(yíng)者規(guī)劃建設(shè)涉密網(wǎng)絡(luò)����,應(yīng)當(dāng)依據(jù)國(guó)家保密規(guī)定和標(biāo)準(zhǔn)要求����,制定分級(jí)保護(hù)方案���,采取身份鑒別��、訪問(wèn)控制���、安全審計(jì)、邊界安全防護(hù)����、信息流轉(zhuǎn)管控����、電磁泄漏發(fā)射防護(hù)����、病毒防護(hù)、密碼保護(hù)和保密監(jiān)管等技術(shù)與管理措施����。這也就是分級(jí)保護(hù)方案需要關(guān)注的防護(hù)重點(diǎn)。 分級(jí)保護(hù)項(xiàng)目��,需要選擇具備涉密信息系統(tǒng)集成資質(zhì)的單位承接建設(shè)����,與建設(shè)單位簽訂保密協(xié)議。 信息設(shè)備���、安全保密產(chǎn)品管理 涉密網(wǎng)絡(luò)中使用的安全保密產(chǎn)品����,應(yīng)當(dāng)從國(guó)家有關(guān)主管部門(mén)發(fā)布的涉密專(zhuān)用信息設(shè)備名錄中選擇,并通過(guò)國(guó)家保密行政管理部門(mén)設(shè)立的檢測(cè)機(jī)構(gòu)檢測(cè)����。 測(cè)評(píng)審查和風(fēng)險(xiǎn)評(píng)估
絕密級(jí)網(wǎng)絡(luò)每年至少進(jìn)行一次,機(jī)密級(jí)和秘密級(jí)網(wǎng)絡(luò)每?jī)赡曛辽龠M(jìn)行一次��。 有下列情形之一的���,需及時(shí)向保密行政管理部門(mén)報(bào)告并采取相應(yīng)措施����,由管理部門(mén)評(píng)估是否對(duì)涉密網(wǎng)絡(luò)重新檢測(cè)與審查: (一)密級(jí)發(fā)生變化的���; (二)連接范圍��、終端數(shù)量超出審查通過(guò)的范圍、數(shù)量的���; (三)所處物理環(huán)境或者安全保密設(shè)施變化可能導(dǎo)致新的安全保密風(fēng)險(xiǎn)的���; (四)新增應(yīng)用系統(tǒng)的,或者應(yīng)用系統(tǒng)變更��、減少可能導(dǎo)致新的安全保密風(fēng)險(xiǎn)的。
涉密網(wǎng)絡(luò)不再使用的��,需向保密行政管理部門(mén)報(bào)告����,特定場(chǎng)所及措施處置,不能直接丟棄��。 此外���,涉密網(wǎng)絡(luò)運(yùn)營(yíng)者要求建立安全保密管理制度����,健全涉密網(wǎng)絡(luò)預(yù)警通報(bào)制度���,及時(shí)采取應(yīng)急處置措施等����。 涉密網(wǎng)絡(luò)及傳輸?shù)膰?guó)家秘密信息��,應(yīng)當(dāng)依法采用密碼保護(hù)��。第三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)使用國(guó)家密碼管理部門(mén)認(rèn)可的密碼技術(shù)��、產(chǎn)品和服務(wù)(等級(jí)保護(hù)三級(jí)使用),需委托密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)開(kāi)展密碼應(yīng)用安全性評(píng)估��。 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)建立密碼安全制度��、完善密碼安全管理措施���,規(guī)范密碼使用行為��。任何單位和個(gè)人不得利用密碼從事違法犯罪活動(dòng)��。 1)第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者實(shí)行重點(diǎn)監(jiān)督管理���;每年等級(jí)保護(hù)工作情況通報(bào)同級(jí)網(wǎng)信部門(mén)。 2)公安機(jī)關(guān)對(duì)第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者每年至少開(kāi)展一次安全檢查����。可會(huì)同其行業(yè)主管部門(mén)開(kāi)展安全檢查。 3)明確公安機(jī)關(guān)的檢查處置權(quán)利��。限期整改���、第三級(jí)以上通報(bào)行業(yè)主管部門(mén),并向同級(jí)網(wǎng)信部門(mén)通報(bào)��。 4)公安機(jī)關(guān)在監(jiān)督檢查中發(fā)現(xiàn)重大隱患處置需報(bào)告同級(jí)人民政府、網(wǎng)信部門(mén)和上級(jí)公安機(jī)關(guān)����。 5)第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者的關(guān)鍵人員(含安全服務(wù)人員)管理要求,不得擅自參加境外組織的網(wǎng)絡(luò)攻防活動(dòng)��。 6)網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)配合���、支持公安機(jī)關(guān)和有關(guān)部門(mén)開(kāi)展事件調(diào)查和處置工作���。 7)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)隱患嚴(yán)重威脅國(guó)家安全、社會(huì)秩序和公共利益的��,緊急情況下公安機(jī)關(guān)可以責(zé)令其停止聯(lián)網(wǎng)���、停機(jī)整頓��。 8)網(wǎng)絡(luò)運(yùn)營(yíng)者的法定代表人���、主要負(fù)責(zé)人及其行業(yè)主管部門(mén)對(duì)等級(jí)保護(hù)情況要進(jìn)行管理及監(jiān)管。發(fā)生重大安全風(fēng)險(xiǎn)及隱患����,省級(jí)以上人民政府公安部門(mén)���、保密行政管理部門(mén)、密碼管理部門(mén)有權(quán)對(duì)其進(jìn)行約談���。 《保護(hù)條例》的規(guī)定處罰基本上依照《網(wǎng)絡(luò)安全法》����,處罰措施集中在警告處分��、責(zé)令整改��、罰款(包括單位和直接負(fù)責(zé)人)��、責(zé)令停產(chǎn)停業(yè)����、行政拘留等形式。值得注意的是��,第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者違反本條例第二十一條����、第二十二條第二款、第二十三條規(guī)定����、第二十八條第二款,第三十條第二款���,第三十二條第一款規(guī)定的��,將會(huì)被從重處罰����。(以上內(nèi)容轉(zhuǎn)自公眾號(hào):深信服科技)
|
