《网络安全法》出台后,网络等级保护进入2.0时代。这意味着在遵照2007年公安部、国家保密局、国家密码管理局和国务院信息化工作办公室颁布实施的《信息安全等级保护管理办法》及其配套的标准《信息系统安全等级保护定级指南》建立的“信息安全等级保护体系”已全面升级。
《网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
随后,《网络安全法》出台后各地执法案例不断涌现,其中不乏有关网络安全等级保护义务的案例:
——安徽省蚌埠怀远县教育进修学校,未进行网络安全等级保护的定级备案、等级评测工作;未落实网络安全等级保护制度;未履行网络安全等级保护义务;机构被处以1.5万元罚款,负有直接责任人员处以5000元罚款。
——四川宜宾市“教师发展平台”网站,未落实网络安全等级保护制度;未履行网络安全等级保护义务;机构被处以1万元罚款,负有直接责任人员处以5000元罚款。
这些处罚案例距离网络运营者是如此之近,不得不关注何谓《网络安全等级保护制度》,与之前的信息安全等级保护制度有什么不同要求?随着2018年1月19日,全国信息安全标准化技术委员会发布关于《信息安全技术网络安全等级保护定级指南(征求意见稿)》(以下称“《定级指南》”),我们一起来看一下,网络安全等级保护有哪些值得关注的变化。
一、整体继承关系
《定级指南》在前言说明,本标准代替GB/T 22240—2008《信息安全技术 信息系统安全等级保护定级指南》,与GB/T22240—2008相比,主要技术变化如下:
——标准名称变更为《信息安全技术 网络安全等级保护定级指南》。
——修改了等级保护对象、增加了网络、基础信息网络等术语定义。
——修改了定级要素与安全保护等级的关系。
——增加了基础信息网络的定级对象确定方法。
——增加了特定定级对象定级说明。
——修改了定级流程。
二、等级保护对象
等级保护制度始终保持不变的安全保护目标,即保护系统安全,保证敏感信息的处理、保证服务的连续。但随着IT向DT的转变,现有网络等级保护体系更加丰富,从内容的维度,除基础信息网络外,把云平台、大数据、物联网、工控系统等纳入等级保护制度管理中;从监管对象这一维度,大型互联网企业也加入其中。
作为定级对象的网络应具有如下三个基本特征:具有确定的主要安全责任主体;承载相对独立的业务应用;包含相互关联的多个资源。在此定义之下,特别关注:
云计算平台。在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
大数据。大数据应作为单独定级对象进行定级;安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。
三、安全保护等级
网络安全等级保护对象的级别由两个定级要素决定,分别是受侵害的客体(三类)和对客体的侵害程度(三种程度),相互对应起来形成五级安全保护等级,如图所示:
关于上述三类受侵害的客体分类,一般损害、严重损害和特别严重损害的定义,基本沿袭原有表达。但是在《定级指南》中,对公民、法人和其他组织的合法权益,遭受特别严重损害的,明确定级在“第三级”,彰显了对私权利维护的升级。
对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
《定级指南》规定,原则上,大数据安全保护等级不低于第三级。对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。
四、定级流程
定级的流程在本次《定级指南》中予以明确,按照如下五个步骤进行。
其实这五个步骤也是信息安全等级保护体系下原有步骤,不过,根据《信息安全等级保护管理办法》,以上第三步和第四步并不是每个等级必须的强制性要求。相应的规定是:
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
由于《定级指南》的级别较低,目前还在征求意见中,是否能取代《信息安全等级保护管理办法》而将5个步骤普遍适用于全部定级流程,还有待看《信息安全等级保护管理办法》是否会进行进一步的修订。
五、定级保护自主性
在2007年《信息安全等级保护管理办法》实施期间,曾经确立了“依照标准,自行保护”的原则,即国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。”
级依照国家管理规范和技术标准进行自主保护;
第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;
第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;
第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;
第五级依照国家管理规范和技术标准进行自主保护,专门部门、专门机构进行专门监督。
但是,在网络安全法下,网络安全等级保护成为网络运营者重要的义务之一,“自行定级、自行保护”明显已不符合网络安全管理的需要。如何避免企业降低保护等级规避,尚缺少更高位级的法律要求。
另一方面,不同的行业按照行业政策的要求,有更具体的等级保护工作要求和定级方案,在这个过程中,主管部门的审核就具有更强的现实意义。比如电子政务网,金融行业,电力行业,广电部门,交通行业,教育行业,税收行业,卫生行业,烟草行业,以及近刚刚兴起的网络借贷,网约车行业。
所以,网络等级保护的定级将越来越趋于规范性管理,而不是自主保护。
结语
《网络安全法》为网络安全等级保护提出了新要求,在继续原有《信息安全等级保护管理办法》的规则之下,如何与新发布的定级指南相匹配,特别是对强制性的级别要求有更明确的梳理,则是我们所期待的。