信息化觀察網(wǎng)

2018年6月27日，公安部正式發(fā)布《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》（以下稱“《等保條例》”），標(biāo)志著《網(wǎng)絡(luò)安全法》（以下稱“《網(wǎng)安法》”）第二十一條所確立的網(wǎng)絡(luò)安全等級保護(hù)制度有了具體的實施依據(jù)與有力抓手。《等保條例》共八章七十三條，包括總則、支持與保障、網(wǎng)絡(luò)的安全保護(hù)、涉密網(wǎng)絡(luò)的安全保護(hù)、密碼管理、監(jiān)督管理、法律責(zé)任和附則。相較于2007年實施的《信息安全等級保護(hù)管理辦法》（以下稱“《管理辦法》”）所確立的等級保護(hù)1.0體系，《等保條例》在國家支持、定級備案、密碼管理等多個方面進(jìn)行了更新與完善，適應(yīng)了現(xiàn)階段網(wǎng)絡(luò)安全的新形勢、新變化以及新技術(shù)、新應(yīng)用發(fā)展的要求，標(biāo)志著等級保護(hù)正式邁入2.0時代。

《等保條例》的具體規(guī)定

《管理辦法》由公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室共同發(fā)布，作為等保1.0體系的核心規(guī)定，其法律效力為部門規(guī)范性文件。另根據(jù)《管理辦法》第一條規(guī)定，其制定依據(jù)為國務(wù)院行政法規(guī)《計算機(jī)信息系統(tǒng)安全保護(hù)條例》。

《等保條例》雖尚在征求意見稿階段，根據(jù)《行政法規(guī)制定程序條例》第五條，行政法規(guī)的名稱一般稱“條例”，國務(wù)院各部門和地方人民政府制定的規(guī)章不得稱“條例”，因此，《等保條例》應(yīng)當(dāng)屬于行政法規(guī)范疇。此外，《等保條例》第一條規(guī)定了其制定依據(jù)為《網(wǎng)安法》與《保守國家秘密法》。

綜上可知，《管理辦法》為依據(jù)行政法規(guī)制定的部門規(guī)范性文件，而《等保條例》則屬于依據(jù)國家法律制定的行政法規(guī)，顯然，無論是自身法律效力亦或法律依據(jù)的效力位階，等保2.0均優(yōu)于等保1.0。

等級保護(hù)的適用范圍

對于適用范圍，《等保條例》概括性地規(guī)定為適用于網(wǎng)絡(luò)運(yùn)營者在我國境內(nèi)建設(shè)、運(yùn)營、維護(hù)、使用網(wǎng)絡(luò)，開展網(wǎng)絡(luò)安全等級保護(hù)以及監(jiān)督管理工作，而個人及家庭自建自用的網(wǎng)絡(luò)除外，內(nèi)容較為簡略。2018年1月19日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南2.0（征求意見稿）》（以下稱“《定級指南2.0》”），為等保的具體適用提供了指引。

等保1.0體系中，《管理辦法》在第十條明確提到信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護(hù)定級指南》（以下稱“《定級指南1.0》”）確定信息系統(tǒng)的安全保護(hù)等級。因此，《定級指南2.0》的出臺很大程度上得益于《定級指南1.0》的已有規(guī)定。

相比《定級指南1.0》將等級保護(hù)的對象籠統(tǒng)地定義為信息安全等級保護(hù)工作直接作用的具體的信息和信息系統(tǒng)，《定級指南2.0》細(xì)化了網(wǎng)絡(luò)安全等級保護(hù)制度定級對象的具體范圍，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個系統(tǒng)平臺。另外，作為定級對象的網(wǎng)絡(luò)還應(yīng)當(dāng)滿足三個基本特征：第一，具有確定的主要安全責(zé)任主體；第二，承載相對獨立的業(yè)務(wù)應(yīng)用；第三，包含相互關(guān)聯(lián)的多個資源。

根據(jù)《定級指南2.0》，定級對象在滿足上述基本特征后仍需遵循相關(guān)要求。對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服務(wù)地域和安全責(zé)任主體等因素將其劃分為不同的定級對象，而跨省業(yè)務(wù)專網(wǎng)既可以作為一個整體定級，也可根據(jù)區(qū)域劃分為若干對象定級。對于工業(yè)控制系統(tǒng)，應(yīng)將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應(yīng)作為一個整體對象定級，而生產(chǎn)管理要素可以單獨定級。對于云計算平臺，則應(yīng)區(qū)分為服務(wù)提供方與租戶方，各自分別作為定級對象。對于物聯(lián)網(wǎng)，雖然其包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等多種特征因素，但仍應(yīng)將以上要素作為一個整體的定級對象，各要素并不單獨定級。采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)與物聯(lián)網(wǎng)類似，應(yīng)將移動終端、移動應(yīng)用、無線網(wǎng)絡(luò)等要素與相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)作為整體對象定級。對于大數(shù)據(jù)，除安全責(zé)任主體相同的平臺和應(yīng)用可以整體定級外，應(yīng)單獨定級。

網(wǎng)絡(luò)等級

《等保條例》繼受了《管理辦法》所確立的五級安全保護(hù)等級體系，但進(jìn)一步強(qiáng)化了對公民、法人和其他組織合法權(quán)益的保護(hù)?！豆芾磙k法》并未在主文中規(guī)定當(dāng)遭受破壞后會對公民、法人和其他組織合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害的信息系統(tǒng)應(yīng)當(dāng)如何定級，《定級指南1.0》僅在之后定級要素與安保等級關(guān)系的表格中顯示上述信息系統(tǒng)應(yīng)列為第二級，而《等保條例》則進(jìn)行了相應(yīng)修改，當(dāng)?shù)燃壉Ｗo(hù)對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時，相應(yīng)系統(tǒng)應(yīng)當(dāng)定為第三級保護(hù)對象。具體等級劃分請參照以下表格：

網(wǎng)絡(luò)安全保護(hù)義務(wù)

《管理辦法》第五條規(guī)定信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照該辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范履行信息安全等級保護(hù)的義務(wù)和責(zé)任，但并未明確對應(yīng)的義務(wù)。作為《網(wǎng)安法》配套法規(guī)的《等保條例》則沿襲了《網(wǎng)安法》已有的規(guī)定，就網(wǎng)絡(luò)運(yùn)營者的一般和特殊安全保護(hù)義務(wù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購、應(yīng)急預(yù)案制定等進(jìn)行了詳細(xì)的規(guī)定。

對于安全保護(hù)義務(wù)，除《網(wǎng)安法》第二十一條已經(jīng)明確的內(nèi)容外，一般網(wǎng)絡(luò)運(yùn)營者還應(yīng)：一、建立安全管理和技術(shù)保護(hù)制度，建立人員管理、教育培訓(xùn)、系統(tǒng)安全建設(shè)、系統(tǒng)安全運(yùn)維等制度；二、落實機(jī)房安全管理、設(shè)備和介質(zhì)安全管理、網(wǎng)絡(luò)安全管理等制度，制定操作規(guī)范和工作流程；三、在收集使用和處理個人信息時采取保護(hù)措施防止其泄露、損毀、篡改、竊取、丟失和濫用；四、落實違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施；五、落實違法信息發(fā)現(xiàn)、阻斷、消除等措施，防范違法信息大量傳播和違法犯罪證據(jù)的滅失。第三級以上的網(wǎng)絡(luò)運(yùn)營者除上述義務(wù)外，還應(yīng)當(dāng)著重落實網(wǎng)絡(luò)安全管理負(fù)責(zé)人、關(guān)鍵崗位技術(shù)人員的安全背景審查和持證上崗制度，同時定期開展等級測評工作。

對于網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采購、使用符合國家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，第三級以上網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采用與其安全保護(hù)等級相適應(yīng)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，對重要部位使用的網(wǎng)絡(luò)產(chǎn)品，還應(yīng)當(dāng)委托專業(yè)測評機(jī)構(gòu)進(jìn)行專項測試。2017年6月1日生效的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》與國家認(rèn)監(jiān)委等四部門于2018年3月15日發(fā)布的《承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)機(jī)構(gòu)名錄（第一批）》對網(wǎng)絡(luò)運(yùn)營者使用的網(wǎng)絡(luò)產(chǎn)品的要求進(jìn)行了詳細(xì)的規(guī)定，因此建議網(wǎng)絡(luò)運(yùn)營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)要求供應(yīng)商提供專業(yè)機(jī)構(gòu)出具的安全認(rèn)證或檢測證書，以減少運(yùn)營法律風(fēng)險。

對于應(yīng)急預(yù)案的制定，第三級以上網(wǎng)絡(luò)的運(yùn)營者應(yīng)當(dāng)按照國家有關(guān)規(guī)定，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，定期開展網(wǎng)絡(luò)安全應(yīng)急演練。除及時記錄并留存事件數(shù)據(jù)信息，向公安機(jī)關(guān)和行業(yè)主管部門報告外，網(wǎng)絡(luò)運(yùn)營者還應(yīng)當(dāng)為重大網(wǎng)絡(luò)安全事件處置和恢復(fù)提供支持和協(xié)助。根據(jù)工信部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》，報告網(wǎng)絡(luò)安全事件信息時，還應(yīng)當(dāng)說明事件發(fā)生時間、初步判定的影響范圍和危害、已采取的應(yīng)急處置措施和有關(guān)建議等。

網(wǎng)絡(luò)安全保護(hù)要求

近年來，隨著人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等的快速發(fā)展，安全趨勢和形勢的急速變化，2008年發(fā)布的《GB/T22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》（簡稱等保1.0）已經(jīng)不再適用于當(dāng)前安全要求。從2015年開始，等級保護(hù)的安全要求逐步開始制定2.0標(biāo)準(zhǔn)，包括5個部分：安全通用要求、云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制安全擴(kuò)展要求。2017年8月，公安部評估中心根據(jù)網(wǎng)信辦和安標(biāo)委的意見將等級保護(hù)在編的5個基本要求分冊標(biāo)準(zhǔn)進(jìn)行了合并形成《網(wǎng)絡(luò)安全等級保護(hù)基本要求》一個標(biāo)準(zhǔn)。等保1.0標(biāo)準(zhǔn)更偏重于對于防護(hù)的要求，而等保2.0標(biāo)準(zhǔn)更適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢的發(fā)展，結(jié)合《網(wǎng)安法》中對于持續(xù)監(jiān)測、威脅情報、快速響應(yīng)類的要求提出了具體的落地措施。等保2.0與等保1.0標(biāo)準(zhǔn)的變化內(nèi)容請參照以下表格：