浅谈关于网络安全等级保护定级制度的若干问题
· 欢迎大家踊跃留言,分享交流各自观点 ·
2017年是网络安全问题爆发年,酒店业巨头洲际酒店集团(IHG)确认旗下12家酒店的支付系统遭到入侵。58同城被曝简历数据泄露,爬虫软件利用移动端多个技术漏洞组合,采集全国简历信息。此外,国外巨头Dun&Bradstreet 52G数据库遭泄露,印度麦当劳220万用户数据遭泄露……我们不禁为日益复杂的网络环境担忧,也使得我们迫切需要相应的制度来保障公民、社会、国家的网络信息安全。
2017年6月1日起实施的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)将网络安全问题纳入到了法律层面,激活并且完善了原先已经存在但是长期没有切实执行的相关制度网络安全等级保护级别,比如网络安全等级保护定级制度。因此,本人将着重就“网络安全等级保护定级制度”做具体分析。
一、定级对象
(一)定级对象
网络安全等级保护定级对象顾名思义是网络安全,相关概念的提出是在1994年发布的《中华人民共和国计算机信息系统安全保护条例》(以下简称“《保护条例》”)之中,该条例将网络的概念囊括在计算机信息系统中。《保护条例》要求对计算机信息系统实行安全等级保护,其中就包含了网络安全等级保护。
(二)定级对象的范畴
根据2017年5月8日发布的《信息安全技术 | 网络安全等级保护定级指南》(以下简称“《指南》”)的确定,定级对象分为七类,主要包括:
1、基础信息网络。
基础信息网络是指为信息流通、信息系统运行等起基础支撑作用的信息网络,其中包括电信网、广播电视传输网、互联网、业务专网等网络设备设施。
2、工业控制系统。
工业控制系统即控制工业设备的系统,主要由生产管理层、现场设备层、现场控制层和过程监控层构成。
3、云计算平台。
云计算平台主要由以数据存储为主的存储型云平台、以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台三大类组成。
4、物联网。
物联网是指通过各种信息传感设备,实时采集任何需要监控、连接、互动的物体或过程等各种需要的信息,与互联网结合形成的网络。
5、采用移动互联技术的信息系统。
主要包含移动终端、移动应用、无线网络以及相关应用系统等。
6、其他信息系统。
其他信息系统作为定级对象应当具备以下特征:(1)具有确定的主要安全责任单位;(2)承载相对独立的业务应用;(3)具有信息系统的基本要素(即由相关和配套的设备、设施按照一定的应用目标和规则组合而成的多资源集合,单一设备不单独定级)。
7、大数据。
大数据是采用分布式储存和计算技术,提供大数据的访问、处理和储存,支持大数据应用安全高效运行的软硬件集合。
二、保护等级及定级标准
2007年公安部出台的《信息安全等级保护管理办法》(以下简称“《管理办法》”)将信息系统的安全保护等级分为五级,《指南》沿用了《管理办法》对于安全保护等级的划分标准。该种定级方式的主要依据的两个要素:一是受侵害的客体;二是对客体的侵害程度。两个定级要素的内容以及定级要素与安全保护等级的关系具体列表如下:
表1:受侵害的客体
公民、法人和其他组织的合法权益
法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益等
公共利益
(1)影响社会成员使用公共设施
(2)影响社会成员获取公开信息资源
(3)影响社会成员获取公开信息资源
(4)其他影响公共利益的事项
社会秩序
(1)影响国家机关社会管理和公共服务的工作秩序;
(2)影响各种类型的经济活动秩序
(3)影响各行业的科研、生产秩序
(4)影响公众在法律约束和道德规范下的正常生活秩序等
(5)其他影响社会秩序的事项
国家安全
(1)影响国家政权稳固和国防实力;
(2)影响国家统一、民族团结和社会安定;
(3)影响国家对外活动中的政治、经济利益;
(4)影响国家重要的安全保卫工作;
(5)影响国家经济竞争力和科技实力;
(6)其他影响国家安全的事项。
表2:对客体的侵害程度
一般损害
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,的出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害
工作职能受到严重影响网络安全等级保护级别,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现及其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
表3:定级要素与安全保护等级的关系
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第三级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
三、定级流程
网络安全等级保护定级流程主要包含以下步骤:
1、运营、使用单位自主确定定级对象
定级对象的运营、使用单位按照《指南》的要求从基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的信息系统、其他信息系统、大数据等七类中确定拟定级对象。
2、初步确定等级
定级对象的运营、使用单位按照定级要素与安全保护等级的关系拟确定安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的单位可以由主管部门统一确定安全保护等级。
3、专家评审
定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。
安全保护等级初步确定为第四级的等级保护对象,在开展专家评审工作时,其运营使用单位应当请国家信息安全等级保护专家评审委员会进行评审。
4、主管部门审核
定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。
5、公安机关备案审查
定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。
对于提交备案审查的期限,目前仅在《管理办法》第十五条有所规定:“已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。……”因此,以此时间为参考较为妥当。
6、最终确定等级
若公安机关审查不通过的,定级对象的运营、使用单位应组织重新定级;若审查通过,由公安机关最终确定定级对象的安全保护等级。
对于备案审查后确定等级的期限,亦当参照《管理办法》第十七条实施,即:“信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。……”
四、定级后管理
根据《管理办法》的相关规定,运营、使用单位应当制定并落实符合安全保护等级要求的安全管理制度,进行自查以外还应接受测评机构的等级测评。经测评或者自查发现安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
表4:自查与测评频率
安全等级
自查频率
测评频率
第三级
每年至少一次
每年至少一次
第四级
每半年至少一次
每半年至少一次
第五级
依据特殊安全需求进行
依据特殊安全需求进行
以上内容由51税知网整理,希望对大家有所帮助!与智慧同行,开启你的创业之路!