引言:2020年7月,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》(以下简称“《草案》”)初次进行审议并对外发布。历经一年时间三次审议,2021年6月10日,《中华人民共和国数据安全法》(下简称《数据安全法》)经十三届全国人大常委会第二十九次会议表决通过。
相比此前的草案,《数据安全法》有了新变化:明确建立了国家数据安全工作协调机制,加强对数据安全工作的统筹;明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度;同时,进一步完善保障政务数据安全方面的规定,并加大对违法行为的处罚力度。
但不变的是,继续强调“网络安全等级保护”制度的重要性,并要求以此为基础开展数据安全保护。《数据安全法》第二十七条第一款规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。”
网络安全等级保护,企业究竟该怎么做?
(一)确定定级对象
当企业作为网络运营者开展网络定级之前,首先需要梳理信息系统的信息,包括识别系统的数量、边界和范围等。主要可以分为三类,一是各类业务系统,主要用于生产、调度、管理、作业、指挥、办公、邮件等目的;二是各类网站(如门户网站,OA管理网站,电子商务网站等),另外安全级别高的网站后台管理系统,也应作为独立的定级对象;三是云计算平台,物联网信息系统也需作为独立的定级对象来进行备案。
(二)自主评估定级
在确定本企业的定级对象后,应从业务信息安全和系统信息安全两个方面,根据定级对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏,丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,对定级对象的安全保护等级进行自主评估,并最终以业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。例如,若业务信息安全评级为第二级,系统信息安全评级为第三级,那么最终等级保护级别应为第三级。
需要注意的是,2020年11月11日,中国人民银行对金融行业发布了《金融行业网络安全等级保护实施指引》(JR/T 0071—2020)和《金融行业网络安全等级保护测评指南》(JR/T 0072—2020)的行业等级保护标准,因此,金融行业在履行等级保护义务,进行测评、自查和评估时,应当严格遵照上述文件的特别要求。
(三)专家评审与主管部门核准
对于安全保护等级初步确定为第一级的等级保护对象,企业无需进行专家评审、主管部门核准和备案审核。
对于安全保护等级初步确定为第二级及以上的等级保护对象,企业应组织专家进行评审。至于究竟哪些人属于评审专家,相关法律法规中暂未有规定,实际操作中也各行其是。因此,我们建议企业应首先与当地公安机关进行沟通,确定该地是否对专家组成人员有特殊要求,在没有具体要求的情况下,企业可以优先考虑以下人员:
第一,公安网安主管部门工作人员。他们每年对大量新系统进行了定级审核,对等保定级工作自然十分了解,具备专家能力。第二,测评机构持证工作人员。他们长年在一线进行等保工作,对系统及标准的情况比较熟悉,工作经验相对丰富。第三,相关网络安全专家。如各个单位信息中心或者网络安全的负责人,行业主管部门负责网络安全的人员,高校负责网络安全、计算机等教学人员,他们长年从事信息化特别是网络安全工作,经验也较为丰富。
另外,有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。
(四)公安机关备案
对于安全保护等级确定为第二级及以上的等级保护对象,企业应当将初步定级结果于10日内提交其所在地县级以上公安机关进行备案审核。备案所需材料主要是《系统安全等级保护备案表》、《结构化定级报告》、单位资质证明、营业执照等,不同级别的信息系统需要的备案材料有所差异,具体材料以当地要求为准。公安机关在接到备案材料及电子数据文件后,于10个工作日内完成材料审查,并对系统安全等级进行初步审核,并出具网络安全等级保护备案证明。若审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
(五)自行建设整改
企业应按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
对于技术整改,企业可以重点从以下几个方面入手:
1.需采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
2.需采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
3.企业需采取数据分类、重要数据备份和加密等措施;
4.需采取技术措施和其他必要措施,确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
对于管理整改,企业应当重点关注:
1.应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2.应当建立健全用户信息保护制度,并对收集的用户信息严格保密;
3.应当加强对用户发布的信息进行管理的制度;
4.应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报;
5.应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
等级保护整改实施主体暂无资质要求,但由于通常而言企业相对缺乏专业的网络安全人才,故很多时候都需要寻找专业的网络安全服务公司来进行整改。
(六)系统测评
信息系统建设完成后,运营、使用单位或者其主管部门应当选择经公安部认证的具有资质的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。企业可登录国家网络安全等级保护网(http://djbh.net)查询最新的《全国网络安全等级保护测评机构推荐目录》,以寻找合格合适的测评机构。
以上海为例,备案材料经审核合格后,由公安机关统一将材料上报到上海网安总队申请“备案号”,审核通过后,由上海市网安总队发放备案号。企业得到“备案号”后,联系测评机构进行测评。目前上海公安部门仅接受国家网络与信息系统安全产品质量监督检验中心(公安部第三研究所)、上海市信息安全测评认证中心、上海交通大学(信息安全服务技术研究实验室)、上海计算机软件技术开发中心、上海市网络技术综合应用研究所出具的测评报告。测评报告由测评机构提交市网安总队进行审核,审核通过后,由上海市网安总队发放“备案证明”。
同时,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
(七)监督管理
历经备案、整改、测评,并不代表可以“万事大吉”,企业还应积极配合并接受有关部门依法实施的监督检查工作,并对不符合法律法规要求之处及时进行整改。
(八)等级变更
当然,若企业的等级保护对象所处理的业务信息和系统服务安全发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,应根据《网络安全等级保护定级指南》重新确定定级对象和安全保护等级。
结语:根据《网络安全法》的相关规定,网络运营者不履行网络安全保护义务的,最高可处10万元的罚款,其中属于关键信息基础设施的,更是最高可处高达100万元的罚款。而企业的不合规行为,除了要面临上述高额罚款外,还可能因网络安全漏洞而给企业本身带来不可弥补的损失。
因此,与其置身事外,放任网络安全漏洞可能带来的人财两空的局面,企业的明智之举应是主动出击,落实等级保护合规义务。
相关法律法规:
《数据安全法》中华人民共和国主席令第84号
《网络安全法》 中华人民共和国主席令第53号
《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》
《信息安全等级保护管理办法》公通字[2007]43号
作者:虞杨、洪璐