如果说网络安全的攻防对抗是一场持久的战争,《网络安全法》指出了我们的战略方向,而《等级保护条例》等相关法律法规则是更详细的战术布置。鉴于等保2.0有诸多引人注目的变化,并且对于云计算而言,又实在存在有太多应当说清楚但仍然有误区的地方,我们将用专题的形式,从云计算的等级保护条例开始,再扩展到等级保护容易存在疑惑的关键条例,最后落脚到具体的实施方案,来讲清楚等级保护工作如何开展的问题。
本篇是系列专题的第二篇:如何做好法律合规
在《网络安全法》确立“网络安全”等级保护制度以前,我国已于2007年实施“信息系统安全”等级保护制度,而随着当今移动应用、大数据、物联网、人工智能、区块链等新技术的飞速发展,“信息系统安全”等级保护制度已明显不适应新的技术、经济环境。今年,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。
根据《等保条例》的规定,中央网络安全和信息化领导机构统一领导网络安全等级保护工作,其他涉及到的包括网信、公安、保密部门、密码等部门以及县级以上地方人民政府、行业主管部门在各自职权范围内开展网络安全等级保护工作。这一职权划分基本沿袭了2007年《管理办法》中关于信息安全等级保护的职权划分,各部门具体的分工如下:
而在执法的手段方面,除了以往的处罚手段外,还增加了“约谈”这一制度,而且这一制度目前是使用频率最高的,公安部门、保密管理部门、密码管理管理可以直接约谈企业的法定代表人。
分级保护与标准
违反相关法律的新闻今年以来已不鲜见(从《网络安全法》首个判罚案例中,我们能学到什么?)从执法的角度而言,等级保护对于法律合规有着不可或缺的重要意义,这也使得《网络安全法》的威慑力更加具体,也更加强大。等级保护的五级划分标准这里不再赘述,原则上是以信息系统造成损失后给社会、国家造成损失的严重程度来定的,就实际操作而言,通常把三级作为定级的一个水平线,目前很多地方和行业都要求标准至少要达到三级(深圳:IDC、云平台等保不得低于三级)
按照当前相关规定的要求,定级的信息系统并不是依照所属单位或者是机构来划分,而是以网络系统为主体分别识别,假如一家单位拥有多套系统,那么也是需要分别定级的。
等保与关键基础设施
《等保条例》中明确公安机关将对第三级以上网络运营者的相关责任义务实行重点监督管理。《等保条例》针对第三级以上网络的运营者提出了涉及网络安全管理、防护、等级测评等方面的特殊安全保护要求,与《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》中对于关键信息基础设施运营者的要求有着很强的呼应关系。
主要体现在如下的五个方面:特殊安全保护义务、安全测评、网络产品服务采购使用、境内技术维护、应急处置
其中需要格外留意就是“境内技术维护”的相关要求了,根据法规的要求,三级以上系统要求在境内进行维护,原则上不得境外远程维护,确需境外维护的,需要网络安全评估。在去年《关键信息基础设施安全保护条例(征求意见稿)》中,就要求过关键信息基础设施应当在境内维护。禁止境外远程维护很可能意味着在华的外资企业要将远程维护所需的网络资源、人员部署在中国境内。
实际上,等保三级以上的网络系统与关键信息基础设施的范围是高度重合的,所有二者在保护方法上有类似的要求也不足为奇。根据2017年底全国人大发布的《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》,截止2017年12月,“已累计受理备案14万个信息系统,其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施。”
结语
安全是发展的前提和基础,这么多的政策及法律支撑并要求我们及时开展网络安全和等级保护工作,我们没有理由不去做这块工作。“没有网络安全就没有国家安全”不是一句空话,需要网络安全行业整体行动起来做一些事情。安全狗将依托专业的技术和服务力量,持之以恒地为用户提供专业的安全产品和服务,满足用户的合规等保需求。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
