等级保护制度是我国网络安全领域的一项基本制度。随着《网络安全法》出台后,等级保护制度进入了等保2.0时代,
等保2.0适用的范围更广,更加注重全方位主动防御、动态防御、整体防控和精准防护,除了基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0标准的发布,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。
公安部信息安全等级保护评估中心主任助理、网络安全等级保护资深专家李明博士,详细解读等保2.0标准实施要点,同时准备了需要了解的等级保护的背景知识——“等级保护基础知识索引”,帮助大家全面了解等级保护制度的来龙去脉。
一、等级保护是什么?
【法律依据】
网络安全等级保护制度是国家网络安全工作的基本制度。2017 年 6 月 1 日正式实施的《中华人民共和国网络安全法》,其第 21 条规定“国家实行网络安全等级保护制度”。
网络安全等级保护制度起源于 1994 年颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令)。该条例第九条规定:计算机信息系统实行安全等级保护。随着信息技术的发展和国内外网络安全威胁形势的变化,等级保护制度逐步演进为信息安全等级保护制度(2007 年,见参考资料[3])和网络安全等级保护制度。
【基本内涵】
简单来说,网络安全等级保护是对网络1进行分等级保护、分等级监管。在此基础上,风险评估、安全监测、供应链安全、自主可控、通报预警、安全事件调查、综治考核等措施也纳入到新的等级保护制度中。
据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。第一级最低,第五级最高。
【参考资料】
[1] 《中华人民共和国网络安全法》
[2] 中华人民共和国计算机信息系统安全保护条例(国务院 147 号令)
[3] 信息安全等级保护管理办法(公通字〔2007〕43 号)
[4] 《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66 号)
[5] 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071 号)
[6] 《关于进一步推动中央企业信息安全等级保护工作的通知》(公通字〔2010〕70 号)
[7] 《网络安全等级保护条例》(征求意见稿)
(https://www.mps.gov.cn/n2254536/n4904355/c6159136/content.html)
此处的网络引用的是《网络安全法》的定义,不是狭义的通信互联网络(network)。
二、哪些单位或机构需要落实等级保护制度?
依据《网络安全法》,在中华人民共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。
也就是说,无论网络运营者的单位性质是政府机关,还是事业单位,或者是互联网企业;无论网络的形态是通信网络设施,还是云计算平台、工业控制系统或者是采用移动互联技术的信息系统;也不论是一般信息系统,或者是重要的关键信息基础设施,只要是境内的网络都必须开展等级保护工作(个人及家庭自建自用的网络除外)。
三、网络安全等级保护工作内容是什么?
网络安全等级保护工作包括 5 个规定动作:定级、备案、安全建设、等级测评和监督检查。
定级:网络运营者对所运营的网络进行梳理和划分,确定定级对象,并依据重要性和遭受破坏后的危害性初步确定其网络的安全保护等级。
备案:第二级以上网络的运营者到公安机关网安部门备案,公安机关审核通过后颁发备案证明。
安全建设:网络运营者根据备案的安全保护等级,按照国家标准开展网络安全建设整改。
等级测评:网络运营者或其主管部门选择符合国家要求的测评机构2开展等级测评。
监督检查:公安机关网安部门对网络安全等级保护工作开展监督、检查,按照级别对网络实施不同强度的监管,对测评机构及网络安全产品进行分等级管理,对网络安全事件分等级响应和处置。
全国网络安全等级保护测评机构推荐目录可从“中国网络安全等级保护网”(http://www.djbh.net)的“测评机构”栏目中检索到。
四、网络安全等级保护工作可参考哪些标准/规范
限于篇幅,列出主要标准如下:
【定级】
[1] GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
[2] 《信息安全技术 网络安全等级保护定级指南》(GB/T 22240 报批稿)
【安全建设/整改】
[1] GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》3
[2] GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》
[3] GB/T 25058—2019《信息安全技术 网络安全等级保护实施指南》
【等级测评】
[1] GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》
[2] GB/T 28449—2018《信息安全技术 网络安全等级保护测评过程指南》
[3] GB/T 36959—2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》
相关国家标准可在“国家标准全文公开系统”中检索,网址为:http://openstd.samr.gov.cn。
五、不开展网络安全等级保护工作可能承担的法律责任
不落实网络安全等级保护制度是违法行为,可能面临“责令改正,给予警告;罚款;暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”等处罚;构成违反治安管理行为的,依法给与治安管理处罚;构成犯罪的,依法追究刑事责任(有期徒刑、拘役或者管制,并处或者单处罚金)。
【参考资料】
[1] 《中华人民共和国网络安全法》
[2] 《中华人民共和国治安管理处罚法》
[3] 《中华人民共和国刑法修正案(九)》