條例適用范圍
《保護條例》的適用范圍擴大。在147號令適用范圍為:重點維護國家事務、 經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系 統的安全。中華人民共和國境內的計算機信息系統的安全保護,適用本條例。未聯網的微型計算機的安全保護辦法,另行制定。 而在新的條例范圍擴大,境內建設、運營、維護、使用網絡的單位原則上都要在等保的使用范圍,而這意味著所有網絡運營者都要對相關網絡開展等保工作。
監管部門
《保護條例》確立了各部門統籌協作、分工負責的監管機制,所涉及的監管部門包括中央網絡安全和信息化領導機構、國家網信部門、國務院公安部門、國家保密行政管理部門、國家密碼管理部門、國務院其他相關部門、以及縣級以上地方人民政府有關部門等。
各國家行業主管或監管部門的監管權力和職責具體如下表:
網絡的安全保護
網絡定級
定級步驟為:確定定級對象->初步確認定級對象->專家評審->主管部門審核->公安機關備案審查
1)網絡等級
網絡等級主要以網絡的重要程度以及一旦遭受破壞造成的危害程度來評估。
值得注意的是,在《信息安全等級保護管理辦法》中,對于信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害的情況,最高保護等級只到第二級。《保護條例》將“會造成特別嚴重損害”的情況下,信息系統應采取的保護等級提高到第三級,即使對社會公共利益沒有造成危害,或者對國家安全造成危害。這也是本條例重大變化之一。
2)網絡定級
《保護條例》第十六條規定,網絡運營者應當在規劃設計階段確定網絡的安全保護等級。意味著系統使用前必須先定級。與此同時,網絡功能、服務范圍、服務對象和處理的數據等發生重大變化時,需要根據情況調整定級。
3)定級評審
《保護條例》在定級階段新增要求,第二級以上必須經過專家評審、行業主管部門核準。跨省或者全國統一聯網由行業主管部門統一擬定安全保護等級、統一組織定級評審。
4)定級備案
第二級以上網絡運營者在定級、撤銷或變更調整網絡安全保護等級時,需在10個工作日內,到縣級以上公安機關備案。
地點上由之前所在地設區的市級以上公安機關擴展到縣級,更加便捷。
5)備案審核
由公安機關對備案材料進行審核,并在10個工作日內出具網絡安全等級保護備案證明。
一般保護義務及特殊保護義務
等級保護一般安全保護義務對責任人、安全管理、技術保護制度等要求與《網絡安全法》第二十一條內容對應。同時對個人信息的保護、身份驗證、報告時限要求等進行明確。
第三級以上還需履行特殊安全保護義務,包含管理機構、總體規劃和整體防護策略、背景審查等。要求落實網絡安全態勢感知監測預警措施,并與同級公安機關對接。
具體條例如下:
第二十條【一般安全保護義務】網絡運營者應當依法履行下列安全保護義務,保障網絡和信息安全:
(一)確定網絡安全等級保護工作責任人,建立網絡安全等級保護工作責任制,落實責任追究制度;
(二)建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;
(三)落實機房安全管理、設備和介質安全管理、網絡安全管理等制度,制定操作規范和工作流程;
(四)落實身份識別、防范惡意代碼感染傳播、防范網絡入侵攻擊的管理和技術措施;
(五)落實監測、記錄網絡運行狀態、網絡安全事件、違法犯罪活動的管理和技術措施,并按照規定留存六個月以上可追溯網絡違法犯罪的相關網絡日志;
(六)落實數據分類、重要數據備份和加密等措施;
(七)依法收集、使用、處理個人信息,并落實個人信息保護措施,防止個人信息泄露、損毀、篡改、竊取、丟失和濫用;
(八)落實違法信息發現、阻斷、消除等措施,落實防范違法信息大量傳播、違法犯罪證據滅失等措施;
(九)落實聯網備案和用戶真實身份查驗等責任;
(十)對網絡中發生的案事件,應當在二十四小時內向屬地公安機關報告;泄露國家秘密的,應當同時向屬地保密行政管理部門報告。
(十一)法律、行政法規規定的其他網絡安全保護義務。
第二十一條【特殊安全保護義務】第三級以上網絡的運營者除履行本條例第二十條規定的網絡安全保護義務外,還應當履行下列安全保護義務:
(一)確定網絡安全管理機構,明確網絡安全等級保護的工作職責,對網絡變更、網絡接入、運維和技術保障單位變更等事項建立逐級審批制度;
(二)制定并落實網絡安全總體規劃和整體安全防護策略,制定安全建設方案,并經專業技術人員評審通過;
(三)對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查,落實持證上崗制度;
(四)對為其提供網絡設計、建設、運維和技術服務的機構和人員進行安全管理;
(五)落實網絡安全態勢感知監測預警措施,建設網絡安全防護管理平臺,對網絡運行狀態、網絡流量、用戶行為、網絡安全案事件等進行動態監測分析,并與同級公安機關對接;
(六)落實重要網絡設備、通信鏈路、系統的冗余、備份和恢復措施;
(七)建立網絡安全等級測評制度,定期開展等級測評,并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告;
(八)法律和行政法規規定的其他網絡安全保護義務。
上線檢測
新建二級系統上線前按照相關標準進行安全性測試。
新建三級以上系統上線前優先進行等保測評,通過等級測評后方可投入運行。
等級測評
《保護條例》下調了等級測評周期。原來在《信息安全等級保護管理辦法》中“第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評”,《保護條例》把上述規定改為“第三級及以上網絡的運營者應當每年開展一次網絡安全等級測評”。對四級網絡來說測評周期下調帶來部分便利,但并不意味著安全防護和檢查要求降低。
安全整改
與之前一樣,都要求網絡運營者在等保測評中發現安全風險隱患時進行安全整改。
自查工作
要求單位每年進行一次自查,并向備案的公安機關報告。三級網絡每年做測評可以看做一次自查。對二級網絡來說,可能會每年要向公安機關提交一份自查報告,實際上是對二級網絡要求進行了補充增強。
監測預警通報
與《網絡安全法》要求一致,進行安全監測預警通報。涉及以下三方協作:
l 地市級以上人民政府:建立監測預警制度及信息通報制度,開展安全監測、態勢感知、通報預警等工作。
l 第三級以上網絡運營者:向公安機關及行業主管部門報送安全預警信息及安全事件。
l 行業主管部門:建立健全本行業/領域的安全監測預警和信息通報制度,向同級網信部門、公安機關報送監測預警信息及安全事件。
數據和信息安全保護
網絡運營者應當建立并落實重要數據和個人信息安全保護制度。保障重要數據的完整性、保密性和可用性,以及確保個人信息安全。
應急處置要求
第三級以上網絡的運營者,需制定網絡安全應急預案,并定期開展演練。處置網絡事件時需保護現場,留存數據,并及時向公安機關和行業主管部門報告。
審核審計要求
對于向社會公眾提供經營活動的網絡運營者,主管部門應當將等級保護納入審計、審核范圍,也意味著相關運營者將被審計、審核。
新技術新應用風險管控
《保護條例》對云計算、人工智能、物聯網等新技術要求進行風險識別及風險管控。體現了等級保護定級對象大擴展。
此外,《保護條例》也對測評活動安全管理、網絡服務機構、產品服務采購使用、技術維護等提出了相應的要求。
涉密網絡的安全保護
分級保護
等級保護是針對非涉密系統和網絡,涉密網絡進行分級保護。分級保護定級有三個級別: 秘密級\機密級\絕密級,安全要求依次增強。
網絡定級
《保護條例》確定了分級保護網絡定級流程:確定涉密網絡的密級->本單位保密委員會(領導小組)的審定->同級保密行政管理部門備案(保密局)。
方案審查論證
涉密網絡運營者規劃建設涉密網絡,應當依據國家保密規定和標準要求,制定分級保護方案,采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉管控、電磁泄漏發射防護、病毒防護、密碼保護和保密監管等技術與管理措施。這也就是分級保護方案需要關注的防護重點。
建設管理
分級保護項目,需要選擇具備涉密信息系統集成資質的單位承接建設,與建設單位簽訂保密協議。
信息設備、安全保密產品管理
涉密網絡中使用的安全保密產品,應當從國家有關主管部門發布的涉密專用信息設備名錄中選擇,并通過國家保密行政管理部門設立的檢測機構檢測。
測評審查和風險評估
絕密級網絡每年至少進行一次,機密級和秘密級網絡每兩年至少進行一次。
涉密網絡重大變化的處置
有下列情形之一的,需及時向保密行政管理部門報告并采取相應措施,由管理部門評估是否對涉密網絡重新檢測與審查:
(一)密級發生變化的;
(二)連接范圍、終端數量超出審查通過的范圍、數量的;
(三)所處物理環境或者安全保密設施變化可能導致新的安全保密風險的;
(四)新增應用系統的,或者應用系統變更、減少可能導致新的安全保密風險的。
涉密網絡廢止的處理
涉密網絡不再使用的,需向保密行政管理部門報告,特定場所及措施處置,不能直接丟棄。
此外,涉密網絡運營者要求建立安全保密管理制度,健全涉密網絡預警通報制度,及時采取應急處置措施等。
密碼管理
涉密網絡及傳輸的國家秘密信息,應當依法采用密碼保護。第三級以上網絡應當使用國家密碼管理部門認可的密碼技術、產品和服務(等級保護三級使用),需委托密碼應用安全性測評機構開展密碼應用安全性評估。
網絡運營者應建立密碼安全制度、完善密碼安全管理措施,規范密碼使用行為。任何單位和個人不得利用密碼從事違法犯罪活動。
監督管理
1)第三級以上網絡運營者實行重點監督管理;每年等級保護工作情況通報同級網信部門。
2)公安機關對第三級以上網絡運營者每年至少開展一次安全檢查。可會同其行業主管部門開展安全檢查。
3)明確公安機關的檢查處置權利。限期整改、第三級以上通報行業主管部門,并向同級網信部門通報。
4)公安機關在監督檢查中發現重大隱患處置需報告同級人民政府、網信部門和上級公安機關。
5)第三級以上網絡運營者的關鍵人員(含安全服務人員)管理要求,不得擅自參加境外組織的網絡攻防活動。
6)網絡運營者應當配合、支持公安機關和有關部門開展事件調查和處置工作。
7)網絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關可以責令其停止聯網、停機整頓。
8)網絡運營者的法定代表人、主要負責人及其行業主管部門對等級保護情況要進行管理及監管。發生重大安全風險及隱患,省級以上人民政府公安部門、保密行政管理部門、密碼管理部門有權對其進行約談。
法律責任
《保護條例》的規定處罰基本上依照《網絡安全法》,處罰措施集中在警告處分、責令整改、罰款(包括單位和直接負責人)、責令停產停業、行政拘留等形式。值得注意的是,第三級以上網絡運營者違反本條例第二十一條、第二十二條第二款、第二十三條規定、第二十八條第二款,第三十條第二款,第三十二條第一款規定的,將會被從重處罰。
關于深信服等級保護2.0解決方案
深信服等級保護2.0解決方案,提倡“持續保護、不止合規”的等保核心價值,從用戶自身業務和安全運維角度出發,在保障業務安全、穩定運行的同時,結合與時俱進的安全防御體系及技術手段,讓更多用戶從等級保護建設中獲益。
京公網安備 11010502049343號