揭开“等保”面纱 | 一文读懂《网络安全等级保护条例(征求意见稿)》
揭开“等保”面纱 | 一文读懂《网络安全等级保护条例(征求意见稿)》
一、并非“横空出世”,网络安全等级保护迭代更新
2017年6月1日,《中华人民共和国网络安全法》(“《网络安全法》”)生效。《网络安全法》首次确立了“网络安全”等级保护(“等保”)制度,要求网络运营者按照网络安全等级保护制度的要求履行一系列安全保护义务。[1]2018年6月27日,公安部发布其会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例(征求意见稿)》(“《等保条例》”)。至此,作为《网络安全法》重要配套制度的网络安全等级保护制度初现轮廓。
《网络安全法》确立“网络安全”等级保护制度以前,我国已于2007年实施“信息系统安全”等级保护制度[2]。十多年后,随着移动应用、大数据、物联网、人工智能、区块链等新技术的飞速发展,“信息系统安全”等级保护制度已明显不适应新的技术、经济环境。《网络安全法》颁布后,国家信安标委陆续发布草案对原“信息系统安全”等保相关的国家标准进行修订,并使用了“网络安全”等保的表述。从《等保条例》以及国家标准的修订来看,“网络安全”等保不是一个独立于“信息系统安全”等保的新制度体系,而是“信息系统安全”等保在新技术、新经济背景下的迭代更新。
二、网络安全等级保护制度中的继承与变化
《等保条例》对网络安全等级保护的主管部门、工作流程、安全等级划分、涉密网络的特殊要求、密码管理、法律责任等进行了详细规定。《等保条例》相对于《信息安全等级保护管理办法》(“《管理办法》”)既有继承性,也有新内容:
1.适用范围更广,网络运营者皆受规制
根据《等保条例》,在中华人民共和国境内建设、运营、维护、使用网络,除个人及家庭自建自用的网络,均适用本条例。[3]而关于“网络”的定义,《等保条例》规定,指由计算机或者其他信息终端及相关设备组成的按照一定规则和程序对信息进行收集、存储、传输、交换、处理的系统。[4]
显然,《等保条例》的适用范围非常宽泛,与《网络安全法》中对所有网络运营者遵守网络安全等级保护制度的要求相呼应。因此,在网络化、信息化普及的今天,几乎所有企业都落入《等保条例》的适用范围。
2.加强统一领导、统筹协调,各监管部门基本沿袭原有职权划分
根据《等保条例》的规定,中央网络安全和信息化领导机构统一领导网络安全等级保护工作,其他涉及到的包括网信、公安、保密部门、密码等部门以及县级以上地方人民政府、行业主管部门在各自职权范围内开展网络安全等级保护工作。[5]这一职权划分基本沿袭了2007年《管理办法》中关于信息安全等级保护的职权划分,各部门具体的分工如下:
部门
职责
中央网络安全和信息化领导机构
统一领导
国家网信部门
统筹协调
国务院公安部门
主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。
国家保密行政管理部门
主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。
国家密码管理部门
负责网络安全等级保护工作中有关密码管理工作的监督管理。
国务院其他有关部门
在各自职责内开展相关工作
县级以上地方人民政府有关部门
开展网络安全等级保护工作
行业主管部门
组织、指导本行业、本领域落实网络安全等级保护制度
3.基本沿袭五级保护等级划分体系
与现有“信息安全”等级保护制度相同,《等保条例》中仍然将网络分为五个安全保护等级,分类依据也基本沿袭《管理办法》中规定的重要程度及危害程度等因素。按照《等保条例》,根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为以下五个安全保护等级:
级别
标准
第一级
一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
第二级
一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
第三级
一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
第四级
一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
第五级
一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
根据上述《等保条例》对网络等级的描述,定级要素与网络安全等级的关系可总结如下:
有关网络安全保护等级的具体确定标准,《等保条例》中没有详细阐述。网络运营者对网络进行定级时,需要配套使用有关国家标准,即《信息安全技术 网络安全等级保护定级指南》(“《定级指南》”)对定级要素(包括“受侵害的客体”[6]和“对客体的侵害程度”[7])进行明确,然后才能确定网络安全保护的等级。
4.企业“等保”工作流程
关于网络运营者如何进行网络安全等级保护的相关工作,《等保条例》规定了包括网络定级、定级评审、定级备案、备案审核、上线检测、等级测评、安全整改、自查等一系列工作流程。具体工作流程如下图:
5.网络安全等级保护制度威慑力增强
就网络运营者违反上述网络安全等级保护相关要求应承担的法律责任,《等保条例》直接援引了《网络安全法》关于不履行网络安全保护义务法律责任的相关规定,[8]法律责任包括由公安机关责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。《等保条例》同时规定在第三级以上网络运营者违反前述网络安全等级保护要求时,应从重处罚。
除了法律责任,《等保条例》中的“监督管理”措施或许更具威慑力。在特定情况和条件下,公安机关可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施;紧急情况下公安机关可以责令其停止联网、停机整顿;可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
三、网络安全等保与关键信息基础设施安全保护相互结合
值得注意的是,《等保条例》中明确公安机关将对第三级以上网络运营者的相关责任义务实行重点监督管理。《等保条例》针对第三级以上网络的运营者提出了涉及网络安全管理、防护、等级测评等方面的特殊安全保护要求[9],与《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》(“《安保条例》”)中对于关键信息基础设施运营者的要求有着很强的呼应关系。
《等保条例》与《安保条例》相关对比总结如下表:
《等保条例》(征求意见稿)
《网络安全法》、《安保条例》
特殊安全保护义务
1.确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
2.制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
3.对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
4.对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
5.落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
6.落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
7.建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
8.法律和行政法规规定的其他网络安全保护义务。
1.设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;
2.定期对从业人员进行网络安全教育、技术培训和技能考核;
3.对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;
4.制定网络安全事件应急预案并定期进行演练;
5.法律、行政法规规定的其他义务。
安全测评
第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。
网络产品服务采购使用
▪ 第三级以上的网络运营者应当采用与其安全保护等级相适应的网络产品和服务;
▪ 对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;
▪ 采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
▪ 运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求;
▪ 运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。
境内技术维护
第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。
关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
应急处置
第三级以上网络运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。
关键信息基础设施运营者应当制定网络安全事件应急预案并定期进行演练。
四、几个值得关注的问题
1.网络安全等保带来的合规成本与中小企业发展之间的矛盾
应该说安全是发展的前提和基础,特别是互联网企业因十分依赖网络更应重视网络安全等保。不过,网络运营者的一般安全保护义务、三级以上网络的特别安全保护义务、以及网络安全等保的流程,对中小型互联网企业或者不特别依赖网络的企业来说,可能带来不小的合规成本或者不被重视。网络安全等保制度是否应针对企业规模、企业对网络的依赖程度,在网络安全等保的流程和要求方面制定简易程序值得思考。
另外,《等保条例》规定第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供[10]。禁止境外远程维护意味着有关在华外资企业要将远程维护所需的网络资源、人员部署在中国境内。
2.各监管部门与行业主管部门之间的关系尚待厘清
尽管《等保条例》对各监管部门的职责分工有所区分,但对于例如金融、医疗、民航等专业性较强的行业,公安、网信、保密等监管部门可能缺乏相关行业经验和专业知识。因此,特殊行业网络运营者的网络安全等保工作需要由行业主管部门来落实。而关于监管部门与各行业主管部门之间的关系和分工,《等保条例》没有进一步明确,这可能会给企业合规带来困惑。
3.网络安全等保与信息系统安全等保的关系尚待明确
网络安全等级保护制度并非“横空出世”,它继承自信息系统安全等级保护制度,在制度架构上,二者的主管机关、定级标准、工作流程等方面都十分相似。在《等保条例》生效后,原《管理办法》是否失效,两项制度间的关系究竟是并行、替代还是互为补充,这类问题在条例的最后没有交代。
4.《等保条例》的法律层级尚待明确
《等保条例》采用了“条例”的名称。通常,“条例”应由全国人大常务委员会制定或国务院制定,形成法律或行政法规。此次《等保条例》的发布单位是国务院下属的公安部,从发布单位看,应属于部门规章。尚不清楚这样的安排是否意味着《等保条例》将升级为行政法规。
注:
[1] 《网络安全法》第21条。
[2] 2007年6月22日,公安部、国家保密局、国家密码管理局、国务院信息工作办公室发布的《信息安全等级保护管理办法》,以及全国信息安全标准化技术委员会(“信安标委”)发布的《信息系统安全等级保护定级指南》(GB/T22240-2008)、《信息系统安全等级保护实施指南》(GB/T25058-2010)和《信息系统安全等级保护基本要求》(GB/T22239-2008)等国家标准构成信息系统安全等级保护制度。
[3] 《等保条例》第2条。
[4] 《等保条例》第3条。
[5] 《等保条例》第5条。
[6] 《定级指南》第4.2.2款。
[7] 《定级指南》第4.2.3款。
[8] 《等保条例》第63条。
[9] 《等保条例》第20条、第21条。
[10] 《等保条例》第29条。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。