一、網絡安全等級保護制度的前身
網絡安全等級保護制度不是新事物, 是計算機信息系統安全等級保護制度的升級版。1994年頒佈的《中華人民共和國計算機信息系統安全保護條例》(下稱《計算機安保條例》)最早明確了對計算機信息系統實行安全等級保護, 由公安機關作為主管部門負責監管實施。此後, 公安部會同其他相關部門逐步完善了等級保護制度和管理的具體內容, 主導完善了《計算機信息系統安全保護等級劃分準則》(GB-17859-1999)等一系列國家標準。隨著社會的發展, 網絡的外延不斷擴展, 出現了雲計算、大數據、物聯網、工業控制系統等形態, 計算機信息系統等級保護制度已經不能適應, 因此, 《網絡安全法》確認並更新了等級保護(下稱“等保”)制度的內容。同時, 相關配套的國家標準正在制定、修訂或完善中。
受侵害客體
對客體的危害程度
一般
嚴重
特別嚴重
用戶自身利益
一級
二級
二級(擬修改為三級)
公共利益社會秩序
二級
三級
四級
國家安全
三級
四級
五級
二、企業有義務落實等級保護制度
不少企業認為, 網絡安全等保制度與自己企業關係不大。在《網絡安全法》正式施行前也許確實如此, 《計算機安保條例》第四條規定“計算機信息系統的安全保護工作, 重點維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全”。但是, 與《計算機等保條例》有限的適用範圍不同, 《網絡安全法》規定網絡運營者均負有實施網絡安全等級保護制度的義務。並且, 《網絡安全法》第五十九條明確規定, 未落實網絡安全等級保護義務的“由有關主管部門責令改正, 給予警告; 拒不改正或者導致危害網絡安全等後果的, 處一萬元以上十萬元以下罰款, 對直接負責的主管人員處五千元以上五萬元以下罰款。”
《網絡安全法》實施後, 公安機關對未履行網絡安全等保義務的企業已開始實施處罰。例如, 2017年7月20日汕頭警方對汕頭市某信息科技有限公司處以警告並責令改正; 2017年7月22日, 四川省宜賓市警方對未開展等保相關工作、未落實等保義務造成網站發生被黑客攻擊入侵網絡安全事件的翠屏區教師培訓與教育研究中心處一萬元罰款, 其法定代表人唐某處五千元罰款。
公安機關作為網絡安全的主管機關之一, 在《網絡安全法》配套規定和國家標準逐步完善之後, 將對網絡安全等級保護制度作為網絡安全領域的重點工作予以推進。因此, 企業不應存有僥倖心理, 而應積極落實網絡安全等級保護義務。
三、網絡安全等級保護制度的落實
網絡安全等級保護制度包括法律和技術制度, 企業僅靠自身力量實施等保義務的難度較大, 宜聘請專業的律所以及有資質的評測機構協助落實。對於法律明確要求的義務, 企業應當立即落實:
(1) 制定內部安全管理制度和操作規程, 確定網絡安全負責人;
(2) 採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(3) 採取監測、記錄網絡運行狀態、網絡安全事件的技術措施, 並按照規定留存相關的網絡日誌不少於六個月;
(4) 採取數據分類、重要數據備份和加密等措施。
四、應當注意的問題
1、定級由評測機構和專業機構說了算?
雖然聘請了專業的評測機構進行評測以幫助落實等保義務, 但是對於網絡信息系統定級準確性的責任由企業承擔。因此, 評測機構僅提出等級建議, 最終的級別需要企業正確把握。對於確定為第二等級以上的, 應當在等級確定後30日內向所在地設區的市級公安機關備案。
2、一次等保抑或重複等保?
對定級為三級或三級以上的網絡運營者而言, 等保評測與定級並非一勞永逸的事情, 三級網絡運營者應當至少每一年進行一次評測和自查, 四級網絡運營者應當至少每半年進行一次評測和自查。
3、採取SaaS等網絡構架和租用雲服務的網絡運營者不承擔等保義務?
當前採取SaaS、PaaS、Issa等網絡構架或者租用雲服務或系統由他人託管的情況比較普遍, 在前述情況下企業仍然負有落實等保的法律義務, 應參照相關國家標準與網絡服務商根據網絡邊界切分釐清雙方責任。
閱讀更多 巔峰極客 的文章
