近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(以下简称《等保条例》)用以替代2007年发布的《信息安全等级保护管理办法》(以下简称《管理办法》)。本文将解读从《管理办法》到《等保条例》给等级保护工作带来的改变。
1 法律方面的变化
1.1法律效力位阶提高
《管理办法》为部门规范文件,主要法律依据是《计算机信息系统安全等保条例》,属于行政法规;《等保条例》为行政法规,主要法律依据是《网络安全法》、《保守国家秘密法》,属于法律。
法律效力位阶按照宪法、法律、行政法规、地方性法规、规章依次递减。可见,《等保条例》的自身法律效力和法律依据的效力位阶相比《管理办法》都更高。
1.2法律责任实质化
《网络安全法》出台以前,《管理办法》的法律责任条款基本很“苍白无力”,缺乏有效的法律抓手;《等保条例》单独设立“法律责任”章节,从八个方面对网络安全等级保护涉及的法律责任进行了详细规定。同时,《等保条例》将目前政府部门广为采用的“约谈制度”写入了条款。
2管理监管保障的变化
2.1新增统一领导机构
相比《管理办法》,《等保条例》在各个主管部门之上增加了统一领导机构:“中央网络安全和信息化领导机构统一领导网络安全等级保护工作”。该机构具体办事机构即为“网信办”。
2.2网信部门影响力增强
在《管理办法》中由国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而在《管理办法》出台不久后(2008年3月),国务院信息化工作办公室不再保留,国家信息化领导小组的具体工作也由工信部承担。
而在《等保条例》中,网络安全等级保护工作的统筹协调工作改由国家网信部门负责。并且“协调”的重要性排序从《管理办法》的末位跃升至公安部门之前,紧随中央网络安全和信息化领导机构之后且与其同列第一款之中。从负责协调工作以及协调工作排序上的变化,我们可以看出,相比之前,国家网信部门将具备更大的影响力。
2.3支持保障和监督管理措施更为明确
《等保条例》中新增单独的“支持保障”和“监督管理”章节,相比之前的《管理办法》给出了更为明确的规定。
其中支持保障章节分为,总体保障、标准制定、投入和保障、技术支持、绩效考核、宣传教育培训、鼓励创新几个方面;监督管理章节分为,安全监督管理、安全检查、检查处置、重大隐患处置、对测评机构和安全建设机构的监管、关键人员管理、事件调查、紧急情况断网处置、保密监督管理、密码监督管理、行业监督管理、监督管理责任、执法协助、网络安全约谈制度等几个方面。
3技术层面的变化
3.1保护对象的扩充
《管理办法》中,保护对象是“信息系统”,其定义为“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”;《等保条例》中,保护对象是“网络”,其定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。从文字上看,保护对象从“信息系统”变为“网络”,这也是为了与《网络安全法》保持一致。从定义上看,《等保条例》中增加了除计算机外的其他信息终端。这是由于随着技术发展,出现了智能手机、智能设备等信息终端,为了将之也纳入等级保护管理范围内而对保护对象进行的扩充。
此外,《等保条例》在第三十四条提出“网络运营者应当按照网络安全等级保护制度要求,采取措施,管控云计算、大数据、人工智能、物联网、工控系统和移动互联网等新技术、新应用带来的安全风险,消除安全隐患。”,把云计算、大数据、物联网等新技术新应用新业态也纳入保护,并提出了风险管控的要求。同时,《等保条例》在第三十一条明确增加了对数据和信息进行保护的内容。
除了对保护对象的内容进行了扩充,《等保条例》在第四条提出“重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。”不再是笼统的提安全,进一步细化为基础设施安全、运行安全和数据安全等维度。
3.2监管范围的拓展
《等保条例》的适用范围相比《管理办法》进行了拓展,所有网络运营者都要对相关网络开展等保工作,与之相对应的,监管部门需要监管的范围也随之拓展。
《管理办法》在第八条中指出,第一级信息系统由运营、使用单位进行保护,第二级信息系统由国家信息安全监管部门进行指导,只有第三级及以上信息系统才会由国家信息安全监管部门或专门部门进行监督、检查;第十八条指出“受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。”因此,依据《管理办法》国家相关部门实际上只对第三级及以上信息系统有一定约束效力。
而在《等保条例》第四十九条,第五十条指出县级以上公安机关应对所有级别的网络进行安全监督和安全检查。因此,《等保条例》对所有网络运营者都有约束力,等级保护制度的实际监管范围大为拓展,可以认为将监管范围扩展到了全体网络。
3.3定级的变化
3.3.1定级时间点提前
在《管理办法》第十条中提到应由信息系统运营、使用单位确定信息系统的安全保护等级。可见,之前是当信息系统已经进入运营和使用状态时才进行定级的。在《等保条例》第十六条中明确指出,“网络运营者应当在规划设计阶段确定网络的安全保护等级”。因此《等保条例》将定级的时间点从运营使用时提前到了规划设计时,这使得网络运营者在一开始就需要对网络的安全状况纳入考虑,有利于从根本上提升网络安全性。
3.3.2定级评审范围扩大
《管理办法》第十条指出,“跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。”而在《等保条例》第十七条指出“对拟定为第二级以上的网络,其运营者应当组织专家评审……跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审”。可见对于安全保护等级的定级,扩大了评审的适用范围,减少了定级的随意性,提高了定级结果的科学性。
3.3.3对公民、法人和其他组织的保护加强
《管理条例》对于公民、法人和其他组织的合法权益损害特别严重的情况,提升了级别,从第二级升为第三级。因此,《管理条例》实际上加强了对公民、法人和其他组织的保护。
《管理办法》:
《等保条例》:
其中,第一级和第二级的网络为一般网络,第三级和第四级的网络为重要网络,第五级的网络为及其重要网络。
3.4备案的变化
3.4.1备案时间点提前
而在备案方面,《管理办法》第十五条指出,已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内进行备案;新建第二级以上信息系统,应当在投入运行后30日内进行备案。而《等保条例》第十八条指出,第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内进行备案。一方面将30日缩短为10日,增加了备案的紧迫性,另一方面,对于新建网络,在其安全保护等级确定后就应进行备案,而不是等到投入运行之后再进行备案。通过这两方面将备案时间点提前,更早的将其纳入监管。
3.4.2备案更加方便
《管理办法》第十五条指出,二级以上系统应到市级以上公安机关办理备案手续,隶属于中央的在京单位应向公安部办理备案手续。而《等保条例》第十八条指出,二级以上网络运营者只需到县级以上公安机关备案即可。这一改变大大降低了备案难度,使得定级备案更加方便。
3.5新增要求
3.5.1增加监测预警和信息通报要求
《等保条例》第三十条指出,“地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。”明确对地方政府、第三级及以上级别网络运营者和行业主管部门都提出了监测预警和信息通报的要求。
3.5.2增加数据和信息安全保护要求
《等保条例》第三十一条指出,“网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。”,对数据和信息安全保护提出明确要求。
3.5.3增加应急处置要求
《管理办法》第十九条仅提出信息系统运营者、使用着应向公安机关、国家制定的专门部门提供信息安全事件应急预案,信息安全事件应急处置结果报告;而《等保条例》第三十二条指出“第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。公安机关和行业主管部门应当向同级网信部门报告重大网络安全事件处置情况。发生重大网络安全事件时,有关部门应当按照网络安全应急预案要求联合开展应急处置。电信业务经营者、互联网服务提供者应当为重大网络安全事件处置和恢复提供支持和协助。”。不仅对网络运营、使用者提出了应急处置要求,对公安机关、行业主管部门、电信业务经营者和互联网服务提供者也提出了处置、支持和协助要求。
3.5.4增加审计审核要求
《等保条例》第三十三条指出,“网络运营者建设、运营、维护和使用网络,向社会公众提供需取得行政许可的经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。”,增加了审计审核要求。
3.5.5涉密系统/网络增加预警通报要求和废止处理要求
《等保条例》第四十二条指出“涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处置措施,并向保密行政管理部门报告。”,提出了预警通报要求。
《等保条例》第四十四条指出“涉密网络不再使用的,涉密网络运营者应当及时向保密行政管理部门报告,并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。”,提出了涉密网络废止的处理要求。
3.6 测评自查方面的改变
3.6.1网络上线增加检测
《等保条例》第二十二条中指出,新建二级网络上线前要按照相关标准规范进行安全测试,新建三级及以上等级网络上线前应委托测评机构进行等级测评,通过后方可投入运行。相比《管理办法》这是新提出的措施,目的是更进一步的确保上线网络的安全性。
3.6.2测评自查周期统一
等级测评频率统一。《管理办法》第十四条指出等级测评周期如下:
表 1 《管理办法》中的等级测评周期
系统安全级别 | 等级测评周期 |
第三级 | 每年至少一次 |
第四级 | 每半年至少一次 |
第五级 | 依据特殊安全需求进行 |
《等保条例》第二十三条指出,第三级及以上网络每年应进行一次安全等级测评。相比较而言,降低了第四级、第五级的测评频率,对运营、使用者而言带来了便利。
自查频率统一。《管理办法》第十四条指出自查周期如下:
表 2 《管理办法》中的自查周期
系统安全级别 | 自查周期 |
第三级 | 每年至少一次 |
第四级 | 每半年至少一次 |
第五级 | 依据特殊安全需求进行 |
而《等保条例》中第二十五条指出,所有网络运营者每年应至少进行一次自查。相比较而言,低级别(二级)增加了自查的工作,而高级别(四级、五级)降低了自查频率,使得低级别和高级别的自查周期统一。
3.7工作职责变化
3.7.1安全保护等级变动变被动为主动
在《管理办法》第十八条指出,公安机关、国家指定的专门部门应当检查信息系统安全需求是否发生变化,原定保护等级是否准确。第二十条进而指出,公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。可见,对于信息系统的安全级别是否合适,是由公安机关或国家指定部门通过安全检查来进行判断的,运营单位处于被动地位。而《等保条例》第十六条指出,“当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级”。这一改变给予了运营者主动变更安全保护等级的权利,也缓解了监管部门的压力。
3.7.2审核反馈时间放宽
《管理办法》第十七条指出,“公安机关收到备案材料后,如果符合要求,应在10日内颁发信息系统安全等级保护备案证明;如果不符合要求或定级不准,也应在10日内通知备案单位进行纠正或重新审核确定。”。而《等保条例》第十九条,对于备案审核仅提出“对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明”,并未对定级不准确、备案材料不符合要求的情况做出说明。审核反馈时间放宽减轻了公安机关的工作压力,不必赶在10日内完成备案单位的纠正或重新审核通知。同时,对于备案单位来讲,如果在10日内没有收到公安机关办法的网络安全等级保护备案证明,也就明白可能存在定级不准、材料不符合要求的问题,可以及时自行开展修改调整,不必等到公安机关的通知到来。
3.7.3运营者安全保护措施与义务更明确
《管理办法》中第十一、十二、十三条中仅指出运营、使用单位应当进行信息系统安全建设及应参考的技术标准和管理规范。《等保条例》第二十条给出了与《网络安全法》第二十一条相对应的,更为具体的运营、使用单位应当执行的安全保护措施。针对第三级及以上等级的网络运营者,《等保条例》还在第二十一条给出了更多的安全防护义务,包括落实网络安全态势感知监测预警措施并与同级公安机关对接。
作者:360企业安全集团技术专家黄亮
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。