1月14日,国家公安部、最高人民检察院、最高人民法院、工信部、中国人民银行等部门和相关企业在2018年守护者计划大会上联合宣布,将采取联合治理模式,携手更多的政府部门和企业,打击网络黑色产业链,共同构建“网络安全共同体”,公安部副部长侍俊更明确表示今年将组织开展打击网络乱象的“净网2018”专项行动,严格落实网络安全等级保护制度,加强企业大数据和公民个人信息安全的防护工作。
1月19日,全国信息安全标准化技术委员会发布关于《信息安全技术 网络安全等级保护定级指南(征求意见稿)》(以下称“《定级指南》”)向社会广泛征求意见的通知,这意味着《网络安全法》(以下称“《网安法》”)所确立的网络安全等级保护制度在定级的原理、对象以及程序等多方面有了具体的实施依据。相较第一稿,最新版的《定级指南》更加注重与《网安法》及其配套法规的衔接,在大体框架不变的前提下以《网安法》为基准对部分术语进行了修改,为网络运营者提供了相应的操作指引。
《定级指南》的具体规定
关于定级对象的范围
2007年实施的《信息安全等级保护管理办法》(以下称“《信息办法》”)为《网安法》第二十一条确立的网络安全等级保护制度提供了借鉴,其在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《信息指南》”)确定信息系统的安全保护等级,因此,《定级指南》的出台很大程度上得益于《信息指南》的已有规定。
相比《信息指南》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统,《定级指南》细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外,作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源。
根据《定级指南》,定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。
对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
关于安全保护等级
《定级指南》继受了《信息指南》所确立的五级安全保护等级体系,但进一步强化了对公民、法人和其他组织合法权益的保护。《信息指南》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级,仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级,而《定级指南》则进行了相应修改,当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害时,相应系统应当定为第三级保护对象。
关于定级方法及流程
《定级指南》规定的定级流程与《信息指南》大体类似,一般应当包括确定定级对象、初步确定等级、专家评审、主管部门审核以及公安机关备案审查等步骤,由公安机关审查通过后最终确定定级对象的安全保护等级。根据《定级指南》,对于被初步确定为第二级及以上的等保对象,上述流程必须严格遵守,对于被初步确定为第四级的等保对象,在开展专家评审工作时,其运营使用单位还应当报请国家信息安全等级保护专家评审委员会进行评审。
在具体定级时,《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定,相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
对于大数据平台,应综合考虑数据规模、数据价值等因素,根据数据资源(完整性、保密性、可用性)遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素确定其安全保护等级,原则上,大数据安全保护等级不低于第三级。此外,若上述平台被确定为关键信息基础设施的,原则上其安全保护等级应不低于第三级。
鉴于国家网信办去年7月份发布的《关键信息基础设施安全保护条例(征求意见稿)》中明确将电信、广播电视网以及提供云计算、大数据和其他大型公共信息网络服务的单位纳入关键信息基础设施保护的范围,大数据和云计算平台运营者满足作为关键信息基础设施条件的,应当密切关注法律法规的具体要求,尽快实施定级工作。
对于将一般的网络运营者作为定级对象时,应当分别确定其业务信息安全等级和系统服务安全等级。其中,业务信息安全是指确保网络内信息的保密性、完整性和可用性等;系统服务安全则指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。具体的定级方法如下图所示。
值得注意的是,《定级指南》在“4.2.2 受侵害的客体”中规定侵害国家安全的具体事项时对《信息指南》的已有内容进行了更改。其中,主权完整、国家经济秩序和文化实力、宗教活动秩序和反恐能力等内容作为影响国家安全的重要事项已被纳入定级活动的审查范围。
《网安法》第一条首先确立了维护网络空间主权和国家安全的制定目的,近期的“万豪酒店事件”更是反映了各地网信办对于涉及国家主权和安全问题的高度重视,相关网络运营者在完成定级工作的同时,还应当积极履行针对违法违规信息的监管义务,切实维护国家安全。
结语
《定级指南》的出台为网络运营者依据《网安法》规定落实网络安全等级保护制度提供了切实的依据与具体的操作方法,其内容虽然与《信息指南》存在相同或类似之处,但总体而言衔接了《网安法》的条文,且针对《网安法》出台以来所出现的新形势、新问题作出了细化的规定,为广大网络运营者提供了有效的指引。
网络运营者在实施定级工作时,首先应当确定自身作为定级对象应当满足的基本特征,若从事基础信息网络、工控系统、云计算、物联网、大数据等特定领域服务的,还应符合相应的要求。
其次,严格遵循《定级指南》中有关定级方法和流程的规定,综合评定侵害的客体与侵害的程度,分别确定业务信息安保等级和系统服务安保等级,则其较高者作为初步确定的网络安全等级,满足相应条件的,还应尽快完成专家和主管部门评审、公安机关备案审查等流程。
最后,在网络安全等级最终确定后,依据《网安法》及其配套法规的规定履行相应的等保义务,做到合法合规。