域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
如果說(shuō)網(wǎng)絡(luò)安全的攻防對(duì)抗是一場(chǎng)持久的戰(zhàn)爭(zhēng),《網(wǎng)絡(luò)安全法》指出了我們的戰(zhàn)略方向,而《等級(jí)保護(hù)條例》等相關(guān)法律法規(guī)則是更詳細(xì)的戰(zhàn)術(shù)布置。鑒于等保2.0有諸多引人注目的變化,并且對(duì)于云計(jì)算而言,又實(shí)在存在有太多應(yīng)當(dāng)說(shuō)清楚但仍然有誤區(qū)的地方,我們將用專(zhuān)題的形式,從云計(jì)算的等級(jí)保護(hù)條例開(kāi)始,再擴(kuò)展到等級(jí)保護(hù)容易存在疑惑的關(guān)鍵條例,最后落腳到具體的實(shí)施方案,來(lái)講清楚等級(jí)保護(hù)工作如何開(kāi)展的問(wèn)題。
本篇是系列專(zhuān)題的第二篇:如何做好法律合規(guī)
在《網(wǎng)絡(luò)安全法》確立“網(wǎng)絡(luò)安全”等級(jí)保護(hù)制度以前,我國(guó)已于2007年實(shí)施“信息系統(tǒng)安全”等級(jí)保護(hù)制度,而隨著當(dāng)今移動(dòng)應(yīng)用、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)的飛速發(fā)展,“信息系統(tǒng)安全”等級(jí)保護(hù)制度已明顯不適應(yīng)新的技術(shù)、經(jīng)濟(jì)環(huán)境。今年,公安部發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》(簡(jiǎn)稱(chēng)“保護(hù)條例”),等級(jí)保護(hù)制度的更新可謂是“千呼萬(wàn)喚始出來(lái)”。從“信息”到“網(wǎng)絡(luò)”的轉(zhuǎn)變,從側(cè)面反映出保護(hù)對(duì)象從硬件中的信息拓展至信息的載體。
根據(jù)《等保條例》的規(guī)定,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作,其他涉及到的包括網(wǎng)信、公安、保密部門(mén)、密碼等部門(mén)以及縣級(jí)以上地方人民政府、行業(yè)主管部門(mén)在各自職權(quán)范圍內(nèi)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。這一職權(quán)劃分基本沿襲了2007年《管理辦法》中關(guān)于信息安全等級(jí)保護(hù)的職權(quán)劃分,各部門(mén)具體的分工如下:
而在執(zhí)法的手段方面,除了以往的處罰手段外,還增加了“約談”這一制度,而且這一制度目前是使用頻率最高的,公安部門(mén)、保密管理部門(mén)、密碼管理管理可以直接約談企業(yè)的法定代表人。
分級(jí)保護(hù)與標(biāo)準(zhǔn)
違反相關(guān)法律的新聞今年以來(lái)已不鮮見(jiàn)(從《網(wǎng)絡(luò)安全法》首個(gè)判罰案例中,我們能學(xué)到什么?)從執(zhí)法的角度而言,等級(jí)保護(hù)對(duì)于法律合規(guī)有著不可或缺的重要意義,這也使得《網(wǎng)絡(luò)安全法》的威懾力更加具體,也更加強(qiáng)大。等級(jí)保護(hù)的五級(jí)劃分標(biāo)準(zhǔn)這里不再贅述,原則上是以信息系統(tǒng)造成損失后給社會(huì)、國(guó)家造成損失的嚴(yán)重程度來(lái)定的,就實(shí)際操作而言,通常把三級(jí)作為定級(jí)的一個(gè)水平線(xiàn),目前很多地方和行業(yè)都要求標(biāo)準(zhǔn)至少要達(dá)到三級(jí)(深圳:IDC、云平臺(tái)等保不得低于三級(jí))
按照當(dāng)前相關(guān)規(guī)定的要求,定級(jí)的信息系統(tǒng)并不是依照所屬單位或者是機(jī)構(gòu)來(lái)劃分,而是以網(wǎng)絡(luò)系統(tǒng)為主體分別識(shí)別,假如一家單位擁有多套系統(tǒng),那么也是需要分別定級(jí)的。
等保與關(guān)鍵基礎(chǔ)設(shè)施
《等保條例》中明確公安機(jī)關(guān)將對(duì)第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者的相關(guān)責(zé)任義務(wù)實(shí)行重點(diǎn)監(jiān)督管理?!兜缺l例》針對(duì)第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者提出了涉及網(wǎng)絡(luò)安全管理、防護(hù)、等級(jí)測(cè)評(píng)等方面的特殊安全保護(hù)要求,與《網(wǎng)絡(luò)安全法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》中對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的要求有著很強(qiáng)的呼應(yīng)關(guān)系。
主要體現(xiàn)在如下的五個(gè)方面:特殊安全保護(hù)義務(wù)、安全測(cè)評(píng)、網(wǎng)絡(luò)產(chǎn)品服務(wù)采購(gòu)使用、境內(nèi)技術(shù)維護(hù)、應(yīng)急處置
其中需要格外留意就是“境內(nèi)技術(shù)維護(hù)”的相關(guān)要求了,根據(jù)法規(guī)的要求,三級(jí)以上系統(tǒng)要求在境內(nèi)進(jìn)行維護(hù),原則上不得境外遠(yuǎn)程維護(hù),確需境外維護(hù)的,需要網(wǎng)絡(luò)安全評(píng)估。在去年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》中,就要求過(guò)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)在境內(nèi)維護(hù)。禁止境外遠(yuǎn)程維護(hù)很可能意味著在華的外資企業(yè)要將遠(yuǎn)程維護(hù)所需的網(wǎng)絡(luò)資源、人員部署在中國(guó)境內(nèi)。
實(shí)際上,等保三級(jí)以上的網(wǎng)絡(luò)系統(tǒng)與關(guān)鍵信息基礎(chǔ)設(shè)施的范圍是高度重合的,所有二者在保護(hù)方法上有類(lèi)似的要求也不足為奇。根據(jù)2017年底全國(guó)人大發(fā)布的《關(guān)于檢查<中華人民共和國(guó)網(wǎng)絡(luò)安全法><全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定>實(shí)施情況的報(bào)告》,截止2017年12月,“已累計(jì)受理備案14萬(wàn)個(gè)信息系統(tǒng),其中三級(jí)以上重要信息系統(tǒng)1.7萬(wàn)個(gè),基本涵蓋了所有關(guān)鍵信息基礎(chǔ)設(shè)施。”
結(jié)語(yǔ)
安全是發(fā)展的前提和基礎(chǔ),這么多的政策及法律支撐并要求我們及時(shí)開(kāi)展網(wǎng)絡(luò)安全和等級(jí)保護(hù)工作,我們沒(méi)有理由不去做這塊工作。“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”不是一句空話(huà),需要網(wǎng)絡(luò)安全行業(yè)整體行動(dòng)起來(lái)做一些事情。安全狗將依托專(zhuān)業(yè)的技術(shù)和服務(wù)力量,持之以恒地為用戶(hù)提供專(zhuān)業(yè)的安全產(chǎn)品和服務(wù),滿(mǎn)足用戶(hù)的合規(guī)等保需求。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!