网络安全等级保护2.0标准解读(二)
一、等保2.0的意义
对接网络安全法:《网络安全等级保护条例(征求意见稿)》(简称“等保条例”)是依据网络安全法第21条“国家实行网络安全等级保护制度”的要求制定的行政法规,其与“网络安全等级保护2.0”(简称“等保2.0”)系列国家标准文件(简称“等保2.0系列标准”),均为确立网络安全等级保护制度的重要配套法规。等保条例要求为保障国家网络空间安全,维护社会公共利益、保护公民、法人的合法权益,以及应对新技术、新应用所带来的安全风险,网络运营者对其网络和信息系统分等级实行安全保护。等保2.0更加强调安全保护能力,即能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。网络运营者应保证其不同安全保护等级的对象具有相应级别的安全保护能力。
网络“取代”系统:等保条例中所约定的“网络”是指:由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。因此,等保条例关注的网络安全也分为“基础设施安全、运行安全、数据安全”三个层面,进而可以明确为不同的安全责任主体、不同的业务模式和系统运营方式、以及不同的安全保障方法。
监管体系加强:依据等保条例,国家网信部门负责网络安全等级保护工作的统筹协调,公安部门负责网络安全等级保护工作的监督管理。对网络运营者而言,等级保护工作主管部门即为法人实体所在地的公安部门。网络运营者应参照等保2.0系列标准的要求:1)梳理出定级对象并合理确定其安全保护等级、安全责任单位和具体责任人;2)开展网络定级备案、安全建设整改、等级测评和自查等工作;3)落实相关管理和技术措施,履行安全保护义务。
二、等保2.0主要变化与实施要点
监管范围和手段拓宽:等保2.0监管范围将从传统的网络信息系统拓宽到网络基础设施、重要信息系统、云计算平台、大数据平台、物联网、工业控制系统、移动互联等。与之对应的监管手段,除了定级备案和等级测评之外,增加了更多的执法检查手段,如:远程监测、现场检查、事件调查、负责人约谈、责令整改、通报处罚、紧急断网等。
监管内容和强度趋严:无论从流程还是要求上,等保2.0均比等保1.0有较大提升,尤其是针对原先的第二级网络,有了更明确具体的实施要求,如“个人信息保护”,对第三级以上网络则较大程度地融合了“网络安全法”和“关键信息基础设施保护条例”中关于“网络产品和服务安全”、“系统境内维护”等特定要求。
三、等保2.0新增或加强的内容
1. 等级确定
等保2.0将“对公民、法人和其他组织的合法权益侵害造成特别严重损害”的保护等级从“第二级”修改为“第三级”。因此网络运营者需要客观评估其定级对象受到破坏时所侵害的客体,以及对客体可能造成的侵害程度(如:业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响等)。
等保1.0仅要求第三级及以上系统的等级确定应组织专家评审,而等保2.0则要求第二级系统的等级确定也应组织专家评审。
2. 新技术新应用的风险管控
等保2.0要求网络运营者充分评估其所采用的云计算、大数据、人工智能、物联网、工控系统和移动互联等新技术、新应用带来的安全风险,并参照等保2.0系列标准,在“通用要求”的基础上,依据相应的“扩展要求”,采取安全管控措施,保护新技术、新应用。
3. 个人信息安全保护
等保1.0约定了数据安全方面的通用要求,而等保2.0遵循“网络安全法”明确了“个人信息保护”相关管理要求,明确网络运营者应建立并落实个人信息安全保护制度,在数据生命周期各个环节采取安全保护措施。此外,个人信息保护的具体要求可以参照《个人信息安全规范》、《个人信息安全影响评估指南(征求意见稿)》等国家标准。
4. 网络产品和服务(三级及以上)
等保条例要求第三级及以上网络的网络运营者应采用与其安全保护等级相适应的网络产品和服务,对重要部位使用的网络产品应通过专业机构的测评或认证。此外,等保2.0系列标准也提出了信息安全产品和密码产品与服务的采购和使用应符合国家有关规定的要求。因此,网络运营者必须明确自己采购、使用或租用的产品的合规情况,以及外部网络服务提供者的相关资质,了解可能存在的安全风险。
5. 可信验证
等保2.0基本要求中,从一级到四级的“安全通信网络”、“安全区域边界”和“安全计算环境”中均新增了“可信验证”控制点,建议在关键执行环节开展动态可信验证,并进行有效的跟进处置和记录。
6. 安全管理中心(二级及以上)
等保2.0明确将“安全管理中心”作为5大技术领域之一,充分体现“一个中心(安全管理中心)和三重防御(安全通信网络、安全区域边界和安全计算环境)”的思想:二级的“安全管理中心”包含“系统管理”和“审计管理”相关要求;三级及以上的“安全管理中心”包含了“系统管理”、“审计管理”和“安全管理”等相关要求。
7. 上线检测
等保条例新增第二级及以上系统上线检测要求,新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试,公安部门有权要求提供检测报告。
8. 技术维护(三级及以上)
等保条例要求第三级及以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。因此,对于网络运营者而言,第三级及以上网络的保护强度事实上类同于关键信息基础设施的保护要求。
9. 安全自查
等保条例新增要求网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。因此,这将成为网络运营者的日常安全工作之一。此外,公安机关对拥有三级及以上网络的网络运营者每年至少开展一次安全检查。
10. 检测预警和事件通报(三级及以上)
等保条例要求三级及以上网络的网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安部门报送网络安全监测预警信息,报告网络安全事件。因此,网络运营者在其网络安全管理制度中,应结合网络安全应急预案,制定合理的事件分类分级策略和处置流程,并建立与公安部门的通报路径。