如果說網(wǎng)絡(luò)安全的攻防對抗是一場持久的戰(zhàn)爭,《網(wǎng)絡(luò)安全法》指出了我們的戰(zhàn)略方向,而《等級保護條例》等相關(guān)法律法規(guī)則是更詳細(xì)的戰(zhàn)術(shù)布置。鑒于等保2.0有諸多引人注目的變化,并且對于云計算而言,又實在存在有太多應(yīng)當(dāng)說清楚但仍然有誤區(qū)的地方,我們將用專題的形式,從云計算的等級保護條例開始,再擴展到等級保護容易存在疑惑的關(guān)鍵條例,最后落腳到具體的實施方案,來講清楚等級保護工作如何開展的問題。
本篇是系列專題的第二篇:如何做好法律合規(guī)
在《網(wǎng)絡(luò)安全法》確立“網(wǎng)絡(luò)安全”等級保護制度以前,我國已于2007年實施“信息系統(tǒng)安全”等級保護制度,而隨著當(dāng)今移動應(yīng)用、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)的飛速發(fā)展,“信息系統(tǒng)安全”等級保護制度已明顯不適應(yīng)新的技術(shù)、經(jīng)濟環(huán)境。今年,公安部發(fā)布了《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》(簡稱“保護條例”),等級保護制度的更新可謂是“千呼萬喚始出來”。從“信息”到“網(wǎng)絡(luò)”的轉(zhuǎn)變,從側(cè)面反映出保護對象從硬件中的信息拓展至信息的載體。
根據(jù)《等保條例》的規(guī)定,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機構(gòu)統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全等級保護工作,其他涉及到的包括網(wǎng)信、公安、保密部門、密碼等部門以及縣級以上地方人民政府、行業(yè)主管部門在各自職權(quán)范圍內(nèi)開展網(wǎng)絡(luò)安全等級保護工作。這一職權(quán)劃分基本沿襲了2007年《管理辦法》中關(guān)于信息安全等級保護的職權(quán)劃分,各部門具體的分工如下:
而在執(zhí)法的手段方面,除了以往的處罰手段外,還增加了“約談”這一制度,而且這一制度目前是使用頻率最高的,公安部門、保密管理部門、密碼管理管理可以直接約談企業(yè)的法定代表人。
分級保護與標(biāo)準(zhǔn)
違反相關(guān)法律的新聞今年以來已不鮮見(從《網(wǎng)絡(luò)安全法》首個判罰案例中,我們能學(xué)到什么?)從執(zhí)法的角度而言,等級保護對于法律合規(guī)有著不可或缺的重要意義,這也使得《網(wǎng)絡(luò)安全法》的威懾力更加具體,也更加強大。等級保護的五級劃分標(biāo)準(zhǔn)這里不再贅述,原則上是以信息系統(tǒng)造成損失后給社會、國家造成損失的嚴(yán)重程度來定的,就實際操作而言,通常把三級作為定級的一個水平線,目前很多地方和行業(yè)都要求標(biāo)準(zhǔn)至少要達(dá)到三級(深圳:IDC、云平臺等保不得低于三級)
按照當(dāng)前相關(guān)規(guī)定的要求,定級的信息系統(tǒng)并不是依照所屬單位或者是機構(gòu)來劃分,而是以網(wǎng)絡(luò)系統(tǒng)為主體分別識別,假如一家單位擁有多套系統(tǒng),那么也是需要分別定級的。
等保與關(guān)鍵基礎(chǔ)設(shè)施
《等保條例》中明確公安機關(guān)將對第三級以上網(wǎng)絡(luò)運營者的相關(guān)責(zé)任義務(wù)實行重點監(jiān)督管理。《等保條例》針對第三級以上網(wǎng)絡(luò)的運營者提出了涉及網(wǎng)絡(luò)安全管理、防護、等級測評等方面的特殊安全保護要求,與《網(wǎng)絡(luò)安全法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》中對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的要求有著很強的呼應(yīng)關(guān)系。
主要體現(xiàn)在如下的五個方面:特殊安全保護義務(wù)、安全測評、網(wǎng)絡(luò)產(chǎn)品服務(wù)采購使用、境內(nèi)技術(shù)維護、應(yīng)急處置
其中需要格外留意就是“境內(nèi)技術(shù)維護”的相關(guān)要求了,根據(jù)法規(guī)的要求,三級以上系統(tǒng)要求在境內(nèi)進(jìn)行維護,原則上不得境外遠(yuǎn)程維護,確需境外維護的,需要網(wǎng)絡(luò)安全評估。在去年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》中,就要求過關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)在境內(nèi)維護。禁止境外遠(yuǎn)程維護很可能意味著在華的外資企業(yè)要將遠(yuǎn)程維護所需的網(wǎng)絡(luò)資源、人員部署在中國境內(nèi)。
實際上,等保三級以上的網(wǎng)絡(luò)系統(tǒng)與關(guān)鍵信息基礎(chǔ)設(shè)施的范圍是高度重合的,所有二者在保護方法上有類似的要求也不足為奇。根據(jù)2017年底全國人大發(fā)布的《關(guān)于檢查<中華人民共和國網(wǎng)絡(luò)安全法><全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定>實施情況的報告》,截止2017年12月,“已累計受理備案14萬個信息系統(tǒng),其中三級以上重要信息系統(tǒng)1.7萬個,基本涵蓋了所有關(guān)鍵信息基礎(chǔ)設(shè)施。”
結(jié)語
安全是發(fā)展的前提和基礎(chǔ),這么多的政策及法律支撐并要求我們及時開展網(wǎng)絡(luò)安全和等級保護工作,我們沒有理由不去做這塊工作。“沒有網(wǎng)絡(luò)安全就沒有國家安全”不是一句空話,需要網(wǎng)絡(luò)安全行業(yè)整體行動起來做一些事情。安全狗將依托專業(yè)的技術(shù)和服務(wù)力量,持之以恒地為用戶提供專業(yè)的安全產(chǎn)品和服務(wù),滿足用戶的合規(guī)等保需求。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!