下载掌阅APP,畅读海量书库
立即打开
关于网络安全等级保护制度,网络安全法第二十一条规定:
“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。”
网络安全法规定的网络安全等级保护制度是网络安全领域的一项重要制度,它脱胎于先前早已实行多年的信息安全等级保护制度。
1994年国务院颁布的《计算机信息系统安全保护条例》规定:公安部主管全国计算机信息系统安全保护工作。计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
此后,信息安全等级保护制度逐步完善,一系列国家标准相继发布实施。
由公安部提出并组织制定的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999),1999年9月13日由国家质量技术监督局发布,于2001年1月1日实施。该标准规定了计算机信息系统安全保护能力的五个等级:第一级为用户自主保护级;第二级为系统审计保护级;第三级为安全标记保护级;第四级为结构化保护级;第五级为访问验证保护级。该标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2004年9月15日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室发布的《关于信息安全等级保护工作的实施意见》指出:“信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。”
此后,包括下列国家标准在内的相关标准陆续实施(这些国家标准正在陆续更新过程中),与相关法律法规共同构成当时的信息安全等级保护标准体系:
(1)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008);
(2)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008);
(3)《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058—2010);
(4)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070—2010);
(5)《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448—2012);
(6)《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 28449—2012)。
2007年6月22日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室发布《信息安全等级保护管理办法》。其中第七条规定:
“信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。”
为贯彻落实网络安全法,推进实施网络安全等级保护制度,公安部于2018年6月27日公布《网络安全等级保护条例(征求意见稿)》。其中第三条规定:
“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称‘网络’是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”
现行有效的《信息安全等级保护管理办法》将信息系统的安全保护等级分为五级。《网络安全等级保护条例(征求意见稿)》中关于网络安全等级的划分与此类似,但在具体表达方面有所修改。关于网络分为五个安全保护等级的第十五条规定如下:
“根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。”
《信息安全等级保护管理办法》第八条规定:
“信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。”
《网络安全等级保护条例(征求意见稿)》中的相关规定如下:
关于网络运营者一般安全保护义务的第二十条规定:“网络运营者应当依法履行下列安全保护义务,保障网络和信息安全:
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。”
关于网络运营者特殊安全保护义务的第二十一条规定:“第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。”
2016年12月20日,信安标委依据《计算机信息系统安全保护条例》《国家信息化领导小组关于加强信息安全保障工作的意见》《关于信息安全等级保护工作的实施意见》《信息安全等级保护管理办法》,发布《信息安全技术网络安全等级保护实施指南(征求意见稿)》,用以代替《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058—2010)。为顺应网络安全法中相关用语的变化,该征求意见稿中将“信息系统”调整为“等级保护对象”或“定级对象”,将国家标准“信息系统安全等级保护基本要求”调整为“网络安全等级保护基本要求”。此外还有其他调整。
为贯彻网络安全法,落实网络安全等级保护制度,需要对《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)进行修订,从标准名称、等级保护对象定义、安全保护等级描述以及定级流程等方面进行补充、细化和完善,从而满足移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下开展网络安全等级保护工作的需要。
2017年5月8日,公安部发布并实施公共安全行业标准《信息安全技术网络安全等级保护定级指南》(GA/T 1389-2017)。
2018年1月19日,信安标委发布《信息安全技术网络安全等级保护定级指南(征求意见稿)》,以代替《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)。该征求意见稿规定了网络安全等级保护的定级方法和定级流程,以指导网络运营者开展等级保护对象的定级工作。
与《信息安全技术网络安全等级保护定级指南》相关的标准包括:
——信息安全技术网络安全等级保护基本要求(GB/T 22239-2019);
——信息安全技术网络安全等级保护实施指南(GB/T 25058);
——信息安全技术网络安全等级保护测评要求(GB/T 28448-2019);
——信息安全技术网络安全等级保护测评过程指南(GB/T 28449-2018)。
在开展信息安全等级保护工作过程中,国家标准《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)起了非常重要的作用,已被广泛应用于各行业各领域开展信息安全等级保护的建设整改和等级测评等工作。但是,随着信息技术的发展,该标准在适用性、时效性、易用性、可操作性上有待进一步完善。因此,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求,需要对该标准进行修订。
2019年5月10日,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),2019年12月1日实施,用以替代《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)。该标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求(云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求)。该标准适用于指导分等级的非涉密对象的安全建设和监督管理。对第五级等级保护对象的安全要求不在该标准中描述。
安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测评估的活动。等级测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对等级保护对象的安全保护能力进行科学公正的综合评判过程。与等级保护测评相关的标准包括GB/T 28448《信息安全技术网络安全等级保护测评要求》,GB/T 28449《信息安全技术网络安全等级保护测评过程指南》。
2019年5月10日,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019),2019年12月1日实施,用以替代《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)。该标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。该标准适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全测评要求,所以不在该标准中进行描述。