你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
作为《网络安全法》的重要配套规则,2018年6月27日,公安部发布了《网络安全等级保护条例(征求意见稿)》(以下简称“《等保条例》”),共计七十三条,分为八章,主要内容包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任、附则等。
2017年6月1日生效的《网络安全法》关于网络安全等级保护制度的规定为第二十一条(网络运行安全)、第三十一条(关键信息基础设施的运行安全)、第五十九条(法律责任),前述条款只笼统规定网络运营者应按照网络安全等级保护制度的要求履行安全保护义务,以及未履行安全保护义务的法律责任,但尚未出台前述网络安全等级保护的配套制度。《网络安全法》开始实施后,《网络安全等级保护测评机构的管理办法》(公信安〔2018〕765号)于今年3月23日生效,国家信息安全等级保护工作协调小组办公室于今年7月20日正式发布了《全国等级保护测评机构推荐目录》,其他关于网络安全等级保护制度的零星规定散见于司法部、国家税务总局、人民银行、水利部办公厅等部委出台的规范性文件中,缺少网络安全等级保护制度的系统性、可操作性规定,而公安部(网络安全等级保护工作的主管机关)出台的《等保条例》成为《网络安全法》关于网络安全等级保护制度“落地执行”的关键性法律法规。
《等保条例》第四条第二款规定:“网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。”根据该条规定,在正式开展业务之初,网络运营者即应开始同步“规划”、“建设”或“运行”网络安全保护等措施,如涉及保密的,还应同步实施“保密”和“密码保护”两项措施。
同时,根据《等保条例》第十六条规定,在前述“规划设计阶段”,网络运营者就应当确定网络的安全保护等级,这就意味着,在正式开展业务之前,网络运营者就应当向主管部门申请网络定级手续,后续发生网络功能等重大变化时,应履行相应网络的安全保护等级变更手续。
根据《等保条例》第五条规定,网络安全等级保护工作的各主管部门职责分工具体如下:
1、中央网络安全和信息化领导机构
2、国家网信部门
3、网络安全等级保护工作的主管机关(公安部)
4、国家保密行政管理部门
即国家保密局,负责网络安全等级保护工作中有关保密工作的监督管理,按照《等保条例》第三十五条规定,此处“保密工作”涉及国家秘密,分为绝密级、机密级和秘密级,但并不包含商业秘密或个人隐私等。
5、国家密码管理部门
即国家密码管理局,负责网络安全等级保护工作中有关密码管理工作的监督管理,按照《等保条例》第五章“密码管理”规定,此处“秘密管理工作”不仅仅包含上述涉及国家秘密的涉密网络,还包括非涉密网络。另外,根据《信息安全等级保护管理办法》、《信息安全等级保护商用密码管理办法》等规定,国家密码管理部门还负责信息安全等级保护商用密码测评机构的审批。
《等保条例》未明确规定国务院其他管理部门的具体名称,但根据《等保条例》第九条规定,国务院其他管理部门还包括国务院标准化行政管理部门(即国家标准化管理委员会)。该部门有权组织制定网络安全等级保护的国家标准、行业标准,目前该部门已经发布或处于征求意见稿阶段的网络安全等级保护方面的国家标准包括《信息安全技术网络安全等级保护定级指南》征求意见稿、《信息安全技术网络安全等级保护设计技术要求第1部分:通用设计要求》征求意见稿等共计5个部分、《信息安全技术信息系统安全等级保护测评要求》(标准号:GB/T28448-2012)、《信息安全技术信息系统安全等级保护测评过程指南》(标准号:GB/T28449-2012)等。
根据《等保条例》第三章“网络的安全保护”规定,网络安全等级以网络在国家安全、经济建设、社会生活中的重要程度为划定标准,网络安全保护等级分为五个等级,具体如下:
网络安全保护等级(共五级)
划定因素
安全等级
对国家安全、社会秩序和公共利益的危害程度
网络类型
第一级
损害
不会危害
一般网络
第二级
严重损害
对社会秩序和公共利益危害/不会危害国家安全
第三级
特别严重损害
严重危害
重要网络
第四级
——
社会秩序和公共利益特别严重危害/对国家安全造成严重危害
特别重要网络
第五级
对国家安全造成特别严重危害
极其重要网络
《等保条例》关于网络安全保护等级的划定标准基本沿袭了《信息安全等级保护管理办法》(公通字〔2007〕43号,下称“《等保办法》”)关于信息系统安全等级划分的规定,但相对于《等保办法》,《等保条例》的划定标准更加明确,具体而言:
(1)《等保条例》明确了各个级别项下的网络类型,从第一级到第五级分别为一般网络、重要网络、特别重要网络、及其重要网络,而《等保办法》只规定了对公民、法人和其他组织的合法权益造成损害或者对国家造成损害的严重程度。
(2)《等保办法》项下的第三级并未规定系统受到破坏后对公民、法人和其他组织的合法权益造成损害的严重程度,《等保条例》明确将对公民、法人和其他组织的合法权益造成严重损害的情形规定为第三级。
根据《等保条例》第二十条~第三十四条的规定,不同等级的网络运营者应履行的安全保护义务亦不同,现归纳如下:
不同等级网络运营者的安全保护义务
所有等级的网络运营者
一般安全保护义务
(第二十条)
确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制等
自查工作
(第二十五条)
每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查
数据和信息安全保护
(第三十一条)
建立并落实重要数据和个人信息安全保护制度、建立异地备份恢复等技术措施等
新技术新应用风险管控(第三十三条)
采取措施,管控云计算等新技术、新应用带来的安全风险,消除安全隐患
第三级以上网络的运营者
特殊安全保护义务
(第二十一条)
对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度等
等级测评
(第二十三条)
每年开展一次网络安全等级测评,并将测评结果等向公安机构报告
产品服务采购使用的安全要求
(第二十八条)
应当采用与其安全保护等级相适应的网络产品和服务等
技术维护要求
(第二十九条)
应当在境内实施技术维护,不得境外远程技术维护
监测预警和信息通报
(第三十条)
建立健全网络安全监测预警和信息通报制度,向同级公安机关和行业主管部门报送监测预警信息,报告网络安全事件
应急处置要求
(第三十二条)
制定网络安全应急预案,定期开展网络安全应急演练等
新建的第二级
网络
上线检测
(第二十二条第一款)
按照网络安全等级保护有关标准规范进行测试
新建的第三级以上网络
(第二十二条第二款)
委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评
《网络安全法》笼统规定了网络运营者的安全保护义务,在《网络安全法》的基础上,《等保条例》区别了不同级别网络运营者应履行的相应安全保护义务,且网络运营者的安全保护义务内容更加详细,具体而言:
(1)《等保条例》关于所有等级网络运营者的一般安全保护义务内容基本吸纳了《网络安全法》第二十一条关于安全保护义务条款,同时,还规定网络运营者应当落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施,落实联网备案和用户真实身份查验等责任,落实机房安全管理、设备和介质安全管理、网络安全管理等制度,落实个人信息保护措施,落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施等。
1、落实保密、密码管理主管部门等的管理权限
《等保条例》第四章“涉密网络的安全保护”专章规定了涉密网络运营者的网络定级、方案审查论证、建设管理、测评审查和风险评估、预警通告等义务,保密管理部门负有监督管理涉密网络运营者履行前述义务的职责。《等保条例》第五章“密码管理”专章规定了网络运营者的涉密网络密码保护、非涉密网络密码保护、密码安全管理责任,其中,涉密网络的密码产品应经密码管理部门批准,第三级以上非涉密网络的评估结果应同时向所在地设区市的密码管理部门备案。
《网络安全法》涉及保密、密码管理的条款为第七十七条,该条笼统规定了国家秘密信息网络的运行安全保护还应当遵守保密法律、行政法规的规定。相较于《网络安全法》,《等保条例》不仅在“总则”明确规定了保密、密码管理部门在网络安全等级保护工作方面的职责分工,而且专章规定了保密、密码管理部门的具体管理权限。
2、落实保密、密码管理主管部门等的处罚权限
《等保条例》进一步明确了《网络安全法》关于网络安全等级保护工作的条款,也基本沿袭了《等保办法》、《网络安全等级保护定级指南》等关于信息安全等级保护工作的内容,《等保条例》目前尚处于征求意见阶段,系统规定了网络安全等级保护工作的主管部门、各个不同等级网络运营者的安全保护义务及其法律责任、备案定级的程序等,生效后的《等保条例》将成为我国网络安全等级保护工作的“纲领性”法律法规。
注:本文仅作为学术研究之用,不代表监管的意见,也不属于法律意见或操作指导。任何对本文观点的引用,均不代表作者的任何操作指导,作者不承担任何法律责任。