一、重装上阵

近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。

等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例 》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。 

在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。

二、九龙治水

对于人工智能、大数据、物联网这新兴技术,同样被要求按照等级保护的要求进行防护。这也不是新鲜的要求了,工信部早在2012年就发布了《互联网新技术新业务信息安全评估管理办法(试行)》(未公开),后在2017年发布《互联网新业务安全评估管理办法(征求意见稿)》。不同部门所主导的安全评估,只希望能够尽量协调不同监管体系的查阅,减少新技术创新所面临的重叠监管。在执法方式上,除了传统的处罚手段,还新增了约谈制度,公安部门、保密管理部门、密码管理管理可以直接约谈企业的法定代表人。目前来看,约谈也是使用频率最高的执法措施。

三、关键控制点

不同的等级会对应不同的安全措施,以三级是一个重要的分界线,在承担的义务上显著加强。三级也是定级时常用的一道标准,比如在今年年初,深圳市公安局要求IDC、云平台信息安全等级保护不得低于三级。上海也在今年要去要求P2P金融机构与主流网络游戏定级在三级。

单位如果有多套系统,则需要分别进行等级保护测评工作,即等级保护是按照网络系统为主体进行识别,而非以单位为主体进行识别。等级保护工作启动的起点是规划设计阶段,实际上是要求Security by Design。另外,在网络内部或外部环境发送重大变化,也需要重新进行定级。

定级评审中,如果是二级以上,则需要进行专家评审以及行业主管部门核准。而目前的等级保护工作也主要是以行业为单位推进,如上海在今年推动的P2P金融与网络游戏行业等级保护工作,行业主管部门在等级保护工作中已经扮演了重要的角色。

四、义务与责任

对于企事业单位来说,更为需要关注的是等级保护的义务。等级保护中的义务以三级为分界线,三级以上的单位需要承担特殊安全义务。

同样需要留意的是三级以上系统要求在境内进行维护,原则上不得境外远程维护,确需境外维护的,需要网络安全评估。在去年《关键信息基础设施安全保护条例(征求意见稿)》中,就要求过关键信息基础设施应当在境内维护。实际上,等保三级以上的网络系统与关键信息基础设施的范围是高度重合的,所有二者在保护方法上有类似的要求也不足为奇。根据2017年底全国人大发布的《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》,截止2017年12月,“已累计受理备案14万个信息系统,其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施。”其中尤其需要注意的是,保护条例要求网络安全事件24小时内报告,远高于欧盟GDPR的72小时报告的义务。如果没有对预案进行过充分的演练,这一义务几乎不可能履行。等保要求网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。

对于人员,三级以上网络也有一些有意思的义务,比如要求运营者的关键岗位人员或提供安全服务的人员,不得擅自参加境外组织的网络攻防活动。

五、法律合规视角下的等级保护:法言法语遇上TCP/IP

等级保护的升级之路早已开始,而从去年《网络安全法》生效后,更是将原来行政法规与部门规章中的制度升格为法律规定,网信办这一强势部门也加入等级保护的管理工作中。从法律的角度来看,《网络安全法》生效后有大量执法案例围绕着等级保护制度,大多是在网站发生安全事故以后,被公安部门所处罚,而且不乏对企业负责人的处罚。《网络安全法》与等级保护已经已经不是仅需要IT或者安全部门关注的事项,同样成为企业法务、合规工作中不可回避的问题。

当面对政府的约谈、调查、问询时,或是发生网络安全事故、数据泄露事件时,都需要法务人员与外部律师有效的介入,提供法律层面的指引。这也就需要技术人员与法务合规人员经常坐在一起,能够听懂彼此的语言,让法言法语与C语言、JAVA语言能够有效沟通。这当然不是一件容易的事情,但却是需要从当下开始做的事情。

本文作者:acstar

声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。