業界新聞

網絡安全等級保護製度定級對象細化,你在其中嗎?

點擊數:25452018-07-27 18:20:23 來源: 新疆AG亞遊正規平台信息技術有限公司

2018年6月27日,公安部正式發布《網絡安全等級保護條例(征求意見稿)》(以下稱“《等保條例》”),標誌著《網絡安全法》(以下稱“《網安法》”)第二十一條所確立的網絡安全等級保護製度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條,包括總則、支持與保障、網絡的安全保護、涉密網絡的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱“《管理辦法》”)所確立的等級保護1.0體係,《等保條例》在國家支持、定級備案、密碼管理等多個方麵進行了更新與完善,適應了現階段網絡安全的新形勢、新變化以及新技術、新應用發展的要求,標誌著等級保護正式邁入2.0時代。

《等保條例》的具體規定

《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布,作為等保1.0體係的核心規定,其法律效力為部門規範性文件。另根據《管理辦法》第一條規定,其製定依據為國務院行政法規《計算機信息係統安全保護條例》。

《等保條例》雖尚在征求意見稿階段,根據《行政法規製定程序條例》第五條,行政法規的名稱一般稱“條例”,國務院各部門和地方人民政府製定的規章不得稱“條例”,因此,《等保條例》應當屬於行政法規範疇。此外,《等保條例》第一條規定了其製定依據為《網安法》與《保守國家秘密法》。

綜上可知,《管理辦法》為依據行政法規製定的部門規範性文件,而《等保條例》則屬於依據國家法律製定的行政法規,顯然,無論是自身法律效力亦或法律依據的效力位階,等保2.0均優於等保1.0。

等級保護的適用範圍

對於適用範圍,《等保條例》概括性地規定為適用於網絡運營者在我國境內建設、運營、維護、使用網絡,開展網絡安全等級保護以及監督管理工作,而個人及家庭自建自用的網絡除外,內容較為簡略。2018年1月19日,全國信息安全標準化技術委員會發布了《信息安全技術網絡安全等級保護定級指南2.0(征求意見稿)》(以下稱“《定級指南2.0》”),為等保的具體適用提供了指引。

等保1.0體係中,《管理辦法》在第十條明確提到信息係統運營、使用單位應當依據本辦法和《信息係統安全等級保護定級指南》(以下稱“《定級指南1.0》”)確定信息係統的安全保護等級。因此,《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。

相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息係統,《定級指南2.0》細化了網絡安全等級保護製度定級對象的具體範圍,主要包括基礎信息網絡、工業控製係統、雲計算平台、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個係統平台。另外,作為定級對象的網絡還應當滿足三個基本特征:第一,具有確定的主要安全責任主體;第二,承載相對獨立的業務應用;第三,包含相互關聯的多個資源

根據《定級指南2.0》,定級對象在滿足上述基本特征後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網絡,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若幹對象定級。對於工業控製係統,應將現場采集/執行、現場控製和過程控製等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對於雲計算平台,則應區分為服務提供方與租戶方,各自分別作為定級對象。對於物聯網,雖然其包括感知、網絡傳輸和處理應用等多種特征因素,但仍應將以上要素作為一個整體的定級對象,各要素並不單獨定級。采用移動互聯技術的網絡與物聯網類似,應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務係統作為整體對象定級。對於大數據,除安全責任主體相同的平台和應用可以整體定級外,應單獨定級。

網絡等級

《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體係,但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息係統應當如何定級,《定級指南1.0》僅在之後定級要素與安保等級關係的表格中顯示上述信息係統應列為第二級,而《等保條例》則進行了相應修改,當等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害時,相應係統應當定為第三級保護對象。具體等級劃分請參照以下表格:

                     

網絡安全保護義務

《管理辦法》第五條規定信息係統的運營、使用單位應當依照該辦法及其相關標準規範履行信息安全等級保護的義務和責任,但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定,就網絡運營者的一般和特殊安全保護義務、網絡產品和服務采購、應急預案製定等進行了詳細的規定。

對於安全保護義務,除《網安法》第二十一條已經明確的內容外,一般網絡運營者還應:一、建立安全管理和技術保護製度,建立人員管理、教育培訓、係統安全建設、係統安全運維等製度;二、落實機房安全管理、設備和介質安全管理、網絡安全管理等製度,製定操作規範和工作流程;三、在收集使用和處理個人信息時采取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施,落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施,防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網絡運營者除上述義務外,還應當著重落實網絡安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗製度,同時定期開展等級測評工作。

對於網絡產品和服務采購,網絡運營者應當采購、使用符合國家法律法規和有關標準規範要求的網絡產品和服務,第三級以上網絡運營者應當采用與其安全保護等級相適應的網絡產品和服務,對重要部位使用的網絡產品,還應當委托專業測評機構進行專項測試。2017年6月1日生效的《網絡關鍵設備和網絡安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網絡運營者使用的網絡產品的要求進行了詳細的規定,因此建議網絡運營者在采購網絡產品和服務要求供應商提供專業機構出具的安全認證或檢測證書,以減少運營法律風險。

對於應急預案的製定,第三級以上網絡的運營者應當按照國家有關規定,製定網絡安全應急預案,定期開展網絡安全應急演練。除及時記錄並留存事件數據信息,向公安機關和行業主管部門報告外,網絡運營者還應當為重大網絡安全事件處置和恢複提供支持和協助。根據工信部《公共互聯網網絡安全突發事件應急預案》,報告網絡安全事件信息時,還應當說明事件發生時間、初步判定的影響範圍和危害、已采取的應急處置措施和有關建議等。

網絡安全保護要求

近年來,隨著人工智能、大數據、物聯網、雲計算等的快速發展,安全趨勢和形勢的急速變化,2008年發布的《GB/T22239-2008 信息安全技術 信息係統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始,等級保護的安全要求逐步開始製定2.0標準,包括5個部分:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控製安全擴展要求。2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合並形成《網絡安全等級保護基本要求》一個標準。等保1.0標準更偏重於對於防護的要求,而等保2.0標準更適應當前網絡安全形勢的發展,結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。等保2.0與等保1.0標準的變化內容請參照以下表格:

【責任編輯:(Top) 返回頁麵頂端
欄目分類
聯係方式
公司:新疆AG亞遊正規平台信息技術有限公司
電話:0991-5573699
傳真:0991-5573561
地址:烏魯木齊市北京南路358號大成國際10樓