“欲穷千里目,更上一层楼”—— 国际新形势下的等保2.0
——— 本文作者 ———
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。 项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
包达
主办律师
合规业务部
黎辉辉
律师
合规业务部
在2007年,好莱坞的“Die Hard”(虎胆龙威)系列第四部电影正式上映,电影中能达到“fire sale”程度的网络攻击会企图分三步通过“交通系统”、“金融和通讯系统”和其他基础设施来攻占整个美国的网络系统。十年后的2017年,“WannaCry”勒索病毒在全球肆虐,直接影响到公共服务、重要业务、基础设施的正常运行,电影中看似荒诞的情节逐渐在真实生活中上演。随后陆续发生的委内瑞拉遭受网络攻击导致大停电、某著名酒店及某社交类互联网平台等公司频频发生上亿数量级的客户数据泄露等事件,也印证了电影中对于“网络安全”的担忧。
在网络安全的新形势下,网络空间已成为大国博弈的制高点,以国家意志来保障网络空间安全与发展,正成为各国国家战略,并成为培育新的国家比较优势的重要方面。[1]而我国《网络安全法》(以下简称“《网安法》”)亦在2017年正式施行,旨在提高全社会的网络安全意识和网络安全保障水平,其中专门构建了“网络安全等级保护制度”作为保障基本网络、关键信息基础设施与大数据安全的基础。在全球化网络空间主权争夺的大背景下“登高望远”,“网络安全等级保护制度”是作为提升我国网络安全水平,保障国家安全,促进经济发展,迎接国际化挑战的基础制度之一。
一、
“再上层楼”,从1.0到2.0
1.0到2.0,十年磨一剑
早在1994年,我国就已经通过《计算机信息系统安全保护条例》确立了适用于“计算机信息系统”的安全等级保护制度,经过多年的发展形成以《信息系统安全等级保护管理办法》(以下简称“《等保办法》”)为核心的规范体系,这一规范体系常常被称作“等保1.0”体系。2017年,《网安法》将“国家网络安全等级保护制度”提升为法律要求,使得等级保护制度从“信息(系统)安全”层面进一步拓展至“网络安全”层面。以《网安法》为标志,我国网络安全等级保护制度进入“等保2.0”时代。
近日正式发布的三项核心国家标准(即GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》与GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》)均将于2019年7月1日正式施行,意味着“等保2.0”时代的新里程正式启航。
全球互联时代的等保2.0体系
为了积极响应和配合落实《网安法》对“网络安全等级保护制度”的要求,2018年6月,公安部会同中央网信办、国家保密局、国家密码管理局等主管部门联合起草、发布了《网络安全等级保护条例(征求意见稿)》(以下简称“《网络等保条例(征求意见稿)》”),具体构筑网络运行分级保护和分级管理的制度体系。
除了法律法规,等保制度作为网络运营者落实网络安全保护义务、国家维护信息和网络安全的重要依据与有力抓手,高度依赖国家标准对等级评定、技术建设整改、测评等环节的具体要求和实践指导。相应地,着眼于当前的技术条件和产业发展变化,为体现更好的政策与产业兼容性,等保2.0体系也将云计算、物联网、工业控制系统和大数据等应用纳入防护体系中。
等保2.0的核心变化
二、
等保2.0的责任和义务
开展等保是履行法律义务的一部分
开展网络安全等级保护工作的主要目的就是要保护国家关键信息基础设施安全、维护国家安全,这是一项事关国家安全、社会稳定、国家利益的重要决策部署。[2]因此,国家机关、企事业单位开展等保工作将有助于从基础和根本层面推进网络安全防护,履行《网安法》所提出的网络安全合规义务,维护企业自身网络安全。
2019年1月,公安部宣布在全国范围内连续第二年开展“净网”专项行动,要求“进一步加大互联网安全监管力度,督促企业落实主体责任,依法严厉查处不履行网络安全义务、为网络违法犯罪提供支持帮助等违法违规行为”,[3]并已在全国范围内逐渐取得显著成效。[4]事实上,现实中已出现不落实等保要求而被认定违法并处罚的案例。[5]
等保2.0与《网安法》相关义务的承接
考虑到《网安法》是等保2.0制度的法律依据,原则上如果企业根据等保2.0的相关制度规定和技术要求相应地落实等级保护义务,能够较大程度地履行《网安法》中的相关义务(具体示例请见下表)。然而,我们也注意到,虽然《网安法》义务与等保制度的落实从性质上都属于法律义务,《网安法》义务与等保2.0要求仍然存在一定区别,这将要求企业在合规实践中着重关注二者之间的差异,整合现有的合规体系避免遗漏。
例如《网安法》第二十一条对网络运营者留存网络日志的期限存在六个月的具体要求。相较而言,如某网络运营者的内部办公系统被评定为等保二级系统,按照其相应的安全通用要“应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容”,并不存在明确的日志留存期限要求。
此外,等保2.0中的特定要求也可能为澄清《网安法》中的具体规定提供了重要参考。虽然关键信息基础设施通常被要求达到等保三级及其以上的要求,但等保2.0制度中在三级安全通用要求中,并未明确要求企业将数据(如个人信息或重要数据)存储于境内服务器。然而,在云计算安全拓展要求中则存在“应保证云计算基础设施位于中国境内”以及“应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定”的要求。在等保2.0制度与《网安法》及其配套措施要求保持一致的前提下,该要求将进一步增加云计算基础设施被认定为关键信息基础设施的可能性。
三、
企业开展等保工作的具体指南
公司内部需要做等保的网络/信息系统的范围?
根据《网络安全等级保护基本要求》等标准文件的规定,等级保护对象主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)和工业控制系统和采用移动互联技术的系统等。对于普通企业而言,企业网站、办公系统和管理系统、企业开发的移动应用软件理论上都会落入到上述等级保护对象的范畴内。
值得注意的是,根据《网络等保条例(征求意见稿)》的有关规定,个人及家庭自建自用的网络无需适用《网络等保条例(征求意见稿)》。[6]涉密网络除遵守一般的等保义务之外,还应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。[7]
企业开展等保工作的具体流程?
对于企业而言,网络安全等级保护工作大致可以分为定级对象梳理、定级、备案、网络安全建设、等保测评和安全运行与维护六个阶段。企业可以根据自身情况自行或聘用专业咨询机构开展等保工作,以下是我们梳理的等保工作各阶段的具体工作内容和参与方。
企业已经通过ISO 27000系列标准的认证,是否仍需开展等保工作?
ISO2 7000系列标准是目前国际范围内认可度最高的信息安全管理标准体系之一。实践中,很多大型企业已按照ISO 27000系列标准构建了集团内部的信息安全管理组织架构和组织制度,并适用于全球范围内的集团实体。
ISO 27000系列标准和国内等保标准均能指导企业建立适合企业实际要求的信息安全管理体系,二者均结合系统的重要程度,从技术和管理两方面出发提出风险控制要求,如信息安全处理机制、访问控制、安全审计等。即便如此,等保标准关注于底层网络安全的控制,两者对于网络安全等级的分级标准、具体的信息安全要求仍然存在不小的差异。
相应地,即使企业已经通过了ISO 27000系列标准的认证,企业仍应当按照上述工作流程逐步开展等保工作,在确定企业各系统的网络安全等级之后,在网络安全建设阶段,企业可以基于已有的ISO 27000体系制度进行相应的整改和完善。
可能被认定为第二级的网络?
根据《网络等保条例(征求意见稿)》的规定,对拟定为第二级以上的网络,其运营者应当组织专家评审来完成定级工作,并应当在网络的安全保护等级确定后到县级以上公安机关备案。因此,公司的网络是否被认定为二级网络是企业密切关注的问题。
根据规定,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络属于第二级网络。参照公安部相关部门的定级原则:第二级信息系统一般适用于县级单位中的重要信息系统,地市级以上国家机关、企事业单位内部一般的信息系统,例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。[8]
哪些网络可能被定为第三级网络?
相比于等保1.0,等保2.0对第三级及以上网络提出了更加严格的网络安全保护义务。根据《网络等保条例(征求意见稿)》的规定,第三级以上的网络运营者需要承担更多的网络安全保护义务,包括对网络安全管理负责人和关键岗位的人员进行安全背景审查;建立网络安全等级测评制度;境内实施技术运维的原则要求等。
根据相关规定,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。参照公安部相关部门的定级原则,第三级信息系统一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。[9]
如何看待关键信息基础设施保护与等保的关系?
网络安全等级保护制度是国家网络安全保障工作的基本制度,关键信息基础设施是网络安全等级保护的重点。关键信息基础设施的安全建设应当遵守网络安全等级保护制度的相关要求。
根据此前《信息安全技术 网络安全等级保护定级指南(征求意见稿)》中的建议,对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。因此,关键信息基础设施运营者至少应当按照第三级网络安全等级保护的要求开展等保工作。如关键信息基础设施根据其重要性被认定为第五级的网络,则应当遵守特殊的管理模式和安全要求。
企业已完成等保1.0的合规工作,是否还需要开展等保2.0工作?
如前所述,等保2.0在等保1.0的基础上提出了很多新的技术和组织上的安全管理要求。已经完成等保1.0合规工作的企业,同样应当对比等保2.0的要求,进一步加强网络安全建设,以确保通过新的等保测评。对于新上线的网络和信息系统,则应当按照等保2.0的要求进行系统梳理、定级、备案和测评。
企业完成等保工作后,是否已经满足个人信息保护管理要求?
等保2.0在“通用要求”、“安全计算环境”的安全控制点中新增了“个人信息保护”的内容,但仅仅提出了原则性的管理要求。比如,对于第二级的网络仅要求“应仅采集和保存业务必须的用户个人信息;禁止未授权访问和非法使用用户个人信息”。实践中,企业仍需遵守《网安法》的相关规定,并可参照《互联网个人信息安全保护指南》、《GB/T 35273—2017 信息安全技术 个人信息安全规范》等落实个人信息保护安全管理义务。
还有问题?(敲黑板划重点)那赶快扫描下方二维码报名参加5月23日的《2019金杜网络安全与数据合规年系列活动》第五场吧!现场聊聊“等保2.0时代的公安机关网络安全与数据保护执法”,有什么不明白的、不知道如何下手的合规问题,专家在这里等着你。
时间:5月23日 11:30-14:00
地点:金杜律师事务所北京办公室(东三环中路1号环球金融中心东塔18层)
会议日程
11:30 - 12:00 简餐
12:00 - 12:05 研讨会致辞
宁宣凤 金杜合规业务部负责合伙人
12:05 - 13:00 “等保2.0”分享
毕马宁 公安部信息安全等级保护评估中心副主任
13:00 - 13:50 《互联网个人信息安全保护指南》解读
宁宣凤 金杜合规业务部负责合伙人
吴涵 金杜合规业务部合伙人
13:50 - 14:00 问答与交流
报名:请扫描二维码,经审核成功后,将以邮件通知。
联系人:焦阳
jiaoyang1@cn.kwm.com
[1] “推动全球网络空间治理体系变革”,具体参见 http://www.xinhuanet.com/politics/2018-07/07/c_1123091116.htm (访问日期:2019年5月17日)。
[2] “推动全球网络空间治理体系变革”,具体参见 http://www.xinhuanet.com/politics/2018-07/07/c_1123091116.htm (访问日期:2019年5月17日)。
[3] “公安部召开‘净网2018’专项行动总结暨‘净网2019’专项行动部署会 林锐出席并讲话”,具体参见 http://www.mps.gov.cn/n2253534/n2253535/c6372997/content.html (访问日期:2019年5月17日)。
[4] “各地深入开展‘净网2019”专项行动’,具体参加 http://www.mps.gov.cn/n2255079/n4242954/n4841045/n4841055/c6470655/content.html(访问日期:2019年5月17日)。
[5] 据报道,2019年2月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。南京、无锡警方依据《网络安全法》第21条、第59条规定,对上述单位分别予以5万元罚款,对相关责任人予以5千元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。“江苏网警发布‘净网2019’专项行动行政执法典型案例”,具体参见 https://www.secrss.com/articles/9157 (访问日期:2019年5月17日)。
[6] 《网络等保条例(征求意见稿)》第二条。
[7] 《网络等保条例(征求意见稿)》第四条。
[8] “关于重要信息系统安全等级保护定级的几点意见”,具体参见http://www.djbh.net/webdev/web/SafeProductAction.do?p=getBzgfZxbz&id=8a8182565deefd0d015e6ee9603d0078 (访问日期:2019年5月17日)。
[9] “关于重要信息系统安全等级保护定级的几点意见”,具体参见http://www.djbh.net/webdev/web/SafeProductAction.do?p=getBzgfZxbz&id=8a8182565deefd0d015e6ee9603d0078 (访问日期:2019年5月17日)。
感谢关注金杜研究院