《網(wǎng)絡安全法》出臺后,網(wǎng)絡等級保護進入2.0時代���。這意味著在遵照2007年公安部�����、國家保密局����、國家密碼管理局和國務院信息化工作辦公室頒布實施的《信息安全等級保護管理辦法》及其配套的標準《信息系統(tǒng)安全等級保護定級指南》建立的“信息安全等級保護體系”已全面升級。
《網(wǎng)絡安全法》
第二十一條 國家實行網(wǎng)絡安全等級保護制度�。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行下列安全保護義務����,保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問���,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程����,確定網(wǎng)絡安全負責人,落實網(wǎng)絡安全保護責任�;
(二)采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術(shù)措施��;
(三)采取監(jiān)測����、記錄網(wǎng)絡運行狀態(tài)���、網(wǎng)絡安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡日志不少于六個月����;
(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施��;
(五)法律���、行政法規(guī)規(guī)定的其他義務��。
隨后���,《網(wǎng)絡安全法》出臺后各地執(zhí)法案例不斷涌現(xiàn),其中不乏有關(guān)網(wǎng)絡安全等級保護義務的案例:
——安徽省蚌埠懷遠縣教育進修學校��,未進行網(wǎng)絡安全等級保護的定級備案����、等級評測工作;未落實網(wǎng)絡安全等級保護制度����;未履行網(wǎng)絡安全等級保護義務����;機構(gòu)被處以1.5萬元罰款�,負有直接責任人員處以5000元罰款。
——四川宜賓市“教師發(fā)展平臺”網(wǎng)站�,未落實網(wǎng)絡安全等級保護制度;未履行網(wǎng)絡安全等級保護義務�����;機構(gòu)被處以1萬元罰款�,負有直接責任人員處以5000元罰款。
這些處罰案例距離網(wǎng)絡運營者是如此之近����,不得不關(guān)注何謂《網(wǎng)絡安全等級保護制度》����,與之前的信息安全等級保護制度有什么不同要求?隨著2018年1月19日���,全國信息安全標準化技術(shù)委員會發(fā)布關(guān)于《信息安全技術(shù) 網(wǎng)絡安全等級保護定級指南(征求意見稿)》(以下稱“《定級指南》”)�����,我們一起來看一下���,網(wǎng)絡安全等級保護有哪些值得關(guān)注的變化���。
一、整體繼承關(guān)系
《定級指南》在前言說明����,本標準代替GB/T 22240—2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》,與GB/T 22240—2008相比��,主要技術(shù)變化如下:
——標準名稱變更為《信息安全技術(shù) 網(wǎng)絡安全等級保護定級指南》��。
——修改了等級保護對象����、增加了網(wǎng)絡、基礎(chǔ)信息網(wǎng)絡等術(shù)語定義����。
——修改了定級要素與安全保護等級的關(guān)系。
——增加了基礎(chǔ)信息網(wǎng)絡的定級對象確定方法�����。
——增加了特定定級對象定級說明。
——修改了定級流程��。
二��、等級保護對象
等級保護制度始終保持不變的安全保護目標���,即保護系統(tǒng)安全�����,保證敏感信息的處理�、保證服務的連續(xù)����。但隨著IT向DT的轉(zhuǎn)變,現(xiàn)有網(wǎng)絡等級保護體系更加豐富�,從內(nèi)容的維度,除基礎(chǔ)信息網(wǎng)絡外��,把云平臺�、大數(shù)據(jù)�����、物聯(lián)網(wǎng)、工控系統(tǒng)等納入等級保護制度管理中�����;從監(jiān)管對象這一維度��,大型互聯(lián)網(wǎng)企業(yè)也加入其中�。
作為定級對象的網(wǎng)絡應具有如下三個基本特征:具有確定的主要安全責任主體;承載相對獨立的業(yè)務應用�����; 包含相互關(guān)聯(lián)的多個資源��。在此定義之下����,特別關(guān)注:
云計算平臺。在云計算環(huán)境中����,應將云服務方側(cè)的云計算平臺單獨作為定級對象定級,云租戶側(cè)的等級保護對象也應作為單獨的定級對象定級���。對于大型云計算平臺����,應將云計算基礎(chǔ)設施和有關(guān)輔助服務系統(tǒng)劃分為不同的定級對象。
大數(shù)據(jù)���。大數(shù)據(jù)應作為單獨定級對象進行定級����;安全責任主體相同的大數(shù)據(jù)��、大數(shù)據(jù)平臺和應用可作為一個整體對象定級�����。
三��、安全保護等級
網(wǎng)絡安全等級保護對象的級別由兩個定級要素決定����,分別是受侵害的客體(三類)和對客體的侵害程度(三種程度),相互對應起來形成五級安全保護等級����,如圖所示:
關(guān)于上述三類受侵害的客體分類,一般損害����、嚴重損害和特別嚴重損害的定義,基本沿襲原有表達��。但是在《定級指南》中���,對公民����、法人和其他組織的合法權(quán)益���,遭受特別嚴重損害的���,明確定級在“第三級”,彰顯了對私權(quán)利維護的升級。
對于基礎(chǔ)信息網(wǎng)絡����、云計算平臺、大數(shù)據(jù)平臺等支撐類網(wǎng)絡�����,應根據(jù)其承載或?qū)⒁休d的等級保護對象的重要程度確定其安全保護等級,原則上應不低于其承載的等級保護對象的安全保護等級�����。
《定級指南》規(guī)定�,原則上,大數(shù)據(jù)安全保護等級不低于第三級�。對于確定為關(guān)鍵信息基礎(chǔ)設施的,原則上其安全保護等級不低于第三級��。
四����、定級流程
定級的流程在本次《定級指南》中予以明確,按照如下五個步驟進行�。
其實這五個步驟也是信息安全等級保護體系下原有步驟,不過�����,根據(jù)《信息安全等級保護管理辦法》���,以上第三步和第四步并不是每個等級必須的強制性要求�����。相應的規(guī)定是:
信息系統(tǒng)運營��、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級����。有主管部門的��,應當經(jīng)主管部門審核批準�。
對擬確定為第四級以上信息系統(tǒng)的,運營���、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審���。
由于《定級指南》的級別較低,目前還在征求意見中�,是否能取代《信息安全等級保護管理辦法》而將5個步驟普遍適用于全部定級流程,還有待看《信息安全等級保護管理辦法》是否會進行進一步的修訂��。
五��、定級保護自主性
在2007年《信息安全等級保護管理辦法》實施期間��,曾經(jīng)確立了“依照標準�����,自行保護”的原則,即國家運用強制性的規(guī)范及標準�,要求信息和信息系統(tǒng)按照相應的建設和管理要求,自行定級��、自行保護�����?��!?/p>
級依照國家管理規(guī)范和技術(shù)標準進行自主保護���;
第二級在信息安全監(jiān)管職能部門指導下依照國家管理規(guī)范和技術(shù)標準進行自主保護;
第三級依照國家管理規(guī)范和技術(shù)標準進行自主保護���,信息安全監(jiān)管職能部門對其進行監(jiān)督���、檢查;
第四級依照國家管理規(guī)范和技術(shù)標準進行自主保護�����,信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查�;
第五級依照國家管理規(guī)范和技術(shù)標準進行自主保護,專門部門���、專門機構(gòu)進行專門監(jiān)督�。
但是����,在網(wǎng)絡安全法下��,網(wǎng)絡安全等級保護成為網(wǎng)絡運營者重要的義務之一����,“自行定級、自行保護”明顯已不符合網(wǎng)絡安全管理的需要�。如何避免企業(yè)降低保護等級規(guī)避,尚缺少更高位級的法律要求����。
另一方面,不同的行業(yè)按照行業(yè)政策的要求���,有更具體的等級保護工作要求和定級方案�����,在這個過程中��,主管部門的審核就具有更強的現(xiàn)實意義��。比如電子政務網(wǎng)�,金融行業(yè),電力行業(yè)�����,廣電部門����,交通行業(yè),教育行業(yè)����,稅收行業(yè),衛(wèi)生行業(yè)�,煙草行業(yè),以及近剛剛興起的網(wǎng)絡借貸��,網(wǎng)約車行業(yè)。
所以���,網(wǎng)絡等級保護的定級將越來越趨于規(guī)范性管理����,而不是自主保護�。
結(jié)語
《網(wǎng)絡安全法》為網(wǎng)絡安全等級保護提出了新要求,在繼續(xù)原有《信息安全等級保護管理辦法》的規(guī)則之下����,如何與新發(fā)布的定級指南相匹配,特別是對強制性的級別要求有更明確的梳理�,則是我們所期待的�。
