7月22日�,公安部向中央和國家機關各部委���、國務院各直屬機構�����、辦事機構���、事業單位��、各中央企業印發了《貫徹落實網絡安全等級保護製度和關鍵信息基礎設施安全保護製度的指導意見》(以下稱《指導意見》)。9月2日���,由公安部網絡安全保衛局指導����,在北京舉辦了網絡安全等級保護和關鍵信息基礎設施安全保護工作宣貫會。會議對《指導意見》進行了宣貫��,並且明確指出《指導意見》是引領重要行業及全社會落實“網絡安全等級保護製度和關鍵信息基礎設施安全保護製度”的綱領性文件。
網絡安全等級保護(以下稱“等保”)製度和關鍵信息基礎設施安全保護(以下稱“關保”)製度(以下統稱“兩個製度”)作為國家推進網絡安全工作�����、提升國家網絡安全防禦能力的兩個重要的製度�����,強化對於落實兩個製度的工作要求�,標誌著網絡安全保護領域“雙保時代”的到來。
一����、兩個製度的前世今生
(1)等保製度
在我國等保的要求最早是1994年頒布實施的《計算機信息係統安全保護條例》中提出的。該條例第九條規定計算機信息係統實行安全等級保護。2007年����,公安部等部門聯合發布的《信息係統等級保護管理辦法》是等保1.0時代的核心法律規範。隨後公安部��、工信部等各部門又陸續製定了《信息係統等級保護備案實施細則》及一係列配套的國家標準以保障等保製度的實施與推進。但在等保1.0時期����,各行業對等保製度的理解尚未深入���,涉及領域有限�,執法力度及範圍也未達到理想效果。
2017年正式實施的《網絡安全法》在第二十一條明確了國家實行等保製度�,隨後我國在網絡安全立法方麵進入了快車道。2018年公安部起草���、發布《網絡安全等級保護條例(征求意見稿)》(以下稱“《等保條例》”)正式標誌著等保2.0時代的啟動����,雖然《等保條例》由於種種原因目前仍未公布正式版和實施�,但此後各部門迅速更新了配套的相關國家標準�,《等保條例》中的相當內容也已經融入到相關國家標準的內容當中。隨著2020年新版定級指南的生效����,等保2.0體係已全麵落地。自此我國已基本建立起從定級建設����、測評整改�����、到備案��、監督�、執法全周期的等保製度體係。
(2)關保製度
2017年實施的《網絡安全法》首次以法律形式明確規定了關保製度的要求。作為關保製度具體實施的核心法規《關鍵信息基礎設施安全保護條例(征求意見稿)》(以下稱“《關保條例》”)早在2017年7月已經發布��,但同樣由於關鍵信息基礎設施認定�����、邊界確定等諸多問題���,時至今日尚未公布正式版本。隨著網絡安全的重要性不斷提升��,與國家安全���、國計民生��、公共利益密切相關的關鍵信息基礎設施保護工作的開展與落實已經迫在眉睫。2020年6月���,國務院辦公廳發布《國務院辦公廳關於印發國務院2020年立法工作計劃的通知》�����,將《關鍵信息基礎設施安全保護條例》納入國務院2020年立法工作計劃。此外��,與關保製度相關的配套法規�、國家標準等也一直在緊鑼密鼓的製定當中。近期��,有關部門又發布了《信息安全技術 關鍵信息基礎設施邊界確定方法(征求意見稿)》����、《信息安全技術 關鍵信息基礎設施安全防護能力評價方法(征求意見稿)》等重要標準。可以預見�����,關保製度的正式實施推進已經蓄勢待發。
二����、《指導意見》中重點內容的解讀
(1)明確了兩個製度的重要地位
《指導意見》開宗明義地指出等保製度和關保製度是“黨中央有關文件和《網絡安全法》確立的基本製度”�����,在指導思想和基本原則中明確了網絡安全工作“以貫徹落實網絡安全等級保護製度和關鍵信息基礎設施安全保護製度為基礎�����,以保護關鍵信息基礎設施�����、重要網絡和數據安全為重點”����,強調了“實施分等級保護�����、分等級監管�����,重點保障關鍵信息基礎設施和第三級以上網絡的安全”。從而進一步確立了兩個製度在網絡安全領域從製度規範���、工作實施���、監管以及保障目標等各個層麵的基礎核心地位。
(2)梳理了等保和關保的關係
《指導意見》明確了等保是關保的基礎���,實施關保製度要在落實等保製度的基礎上����,突出保護重點��;關保是以特定行業��、領域的重點保護對象為目標��,關保對象與等保的重點保護對象相一致。《指導意見》確立的“堅持分等級保護�、突出重點”的原則�,是實施等保和關保的共同基本出發點。
(3)明確了等保的基本工作內容和要求
①對等保的定級���、備案�����、等級測評以及安全建設整改等基本工作流程的重點內容進行了規定����,解決了前述《等保條例》等正式實施前�����,網絡安全等保缺乏明確法律依據的現實困境��,同時與等保2.0的國家標準中的要求進行了銜接����,例如���,提出“一個中心(安全管理中心)��、三重防護(安全通信網絡����、安全區域邊界�����、安全計算環境)”���,為等保工作的實施和要求提供了執行依據。
② 規定“新建網絡���,應在規劃設計階段確定安全保護等級”��,“新建第三級以上網絡應在通過等級測評後投入運行”����,明確將等保工作納入前置程序。同時規定��,“誰主管誰負責���、誰運營誰負責”��,強(qiang)化(hua)安(an)全(quan)責(ze)任(ren)落(luo)實(shi)���,並(bing)且(qie)要(yao)求(qiu)網(wang)絡(luo)運(yun)營(ying)者(zhe)要(yao)定(ding)期(qi)開(kai)展(zhan)網(wang)絡(luo)安(an)全(quan)自(zi)查(zha)和(he)檢(jian)測(ce)評(ping)估(gu)�����,行(xing)業(ye)主(zhu)管(guan)部(bu)門(men)要(yao)組(zu)織(zhi)風(feng)險(xian)評(ping)估(gu)�����,及(ji)時(shi)發(fa)現(xian)網(wang)絡(luo)安(an)全(quan)隱(yin)患(huan)和(he)薄(bo)弱(ruo)環(huan)節(jie)並(bing)予(yu)以(yi)整(zheng)改(gai)。
③要求加強供應鏈安全管理�����,包括對於網絡關鍵人員的安全管理�、對於提供設計���、建設�����、運維����、技術服務的機構和人員的評估及采取相應的管控措施(三級以上)�、互聯網遠程運維的評估論證和管控措施以及要求采購�、使用符合國家法律法規和有關標準規範要求的網絡產品和服務等。
④強化了密碼安全防護的要求。與《密碼法》及有關法律法規相銜接�����,明確要求第三級以上網絡采用密碼技術�,第三級以上網絡運營者應在網絡規劃��、建設和運行階段��,在網絡安全等級測評中同步開展密碼應用安全性評估。
(4)推動關保工作的實施
①關保工作的核心和起點在於對關鍵信息基礎設施的認定。《指導意見》規定由重要行業和領域的主管�����、監管部門製定認定規則�,按照規則組織認定��,並實施動態調整的組織機製��,同時規定認定規則�����、認定結果及調整結果應當報公安部備案。《指導意見》明確組織機製�,將有力推動關鍵信息基礎設施的認定和關保工作的實施。
②《指導意見》就落實關鍵信息基礎設施重點防護措施��、加強重要數據和個人信息保護以及強化核心崗位人員和產品服務的安全管理的具體內容和要求進行規定�,如同等保製度一樣����,在《關保條例》等相關法規正式出台前�����,《指導意見》為關保實施提供了法律製度層麵的支持和依據。
(5)突出兩個製度的主管部門和協作機製
①《指導意見》確立了公安機關是兩個製度的主管部門。公安機關依法履行網絡安全保衛和監督管理職責����,各單位���、gebumenyingzaigonganjiguanzhidaojianduxiakaizhandengbaogongzuo����,tongshishoucimingquegonganbufuzeguanbaodedingcengshejiheguihuabushu。gonganjiguanjianliguapaidubanzhidu��,duiyuwangluoanquanwentikeyihuitongxingyezhuguanbumenduixiangguanfuzerenjinxingyuetan�、掛牌督辦��、監督檢查����、行政執法和行政處罰。
②《指導意見》同時確立網絡安全行業主管部門(含監管部門)負責本行業網絡安全主管�����、監管責任。行業主管部門應當在加強網絡安全立體化監測體係建設�、加強網絡安全信息共享和通報預警����、加強網絡安全應急處置機製建設����、加強網絡安全事件處置和案件偵辦等網絡安全保護工作方麵����,與公安機關密切協同。
三�、監管動向及實務建議
(1)兩個製度相關立法工作可能加速
隨著5G��、大數據��、雲計算��、人工智能����、工業互聯網��、物聯網等新一代信息技術的發展�,網絡空間已經成為繼“陸海空天”之後的第五大戰略空間。在公安部印發《指導意見》的函件中已經將兩個製度的落實與建立完善國家網絡安全綜合防控體係��、防範網絡安全威脅����、處置重大網絡安全事件���、打擊危害網絡安全的違法犯罪活動�、保護關鍵基礎信息設施��、重要網絡和數據安全等一係列重要任務和目標關聯起來。隨著《指導意見》的推行以及兩個製度實施��、實踐的積累����,我們預測《等保條例》《關保條例》及兩個製度相關的規範性文件等將加速出台。而這也必將促進兩個製度在實施��、執法等層麵的進一步規範化和強製化。
(2)兩個製度執法監管工作將進一步強化
關guan保bao製zhi度du由you於yu關guan鍵jian信xin息xi基ji礎chu設she施shi認ren定ding的de問wen題ti���,雖sui然ran在zai部bu分fen重zhong點dian行xing業ye中zhong也ye一yi直zhi在zai進jin行xing相xiang關guan研yan究jiu��,但dan截jie至zhi目mu前qian尚shang未wei廣guang泛fan實shi施shi。與yu此ci相xiang對dui�,等deng保bao工gong作zuo由you來lai已yi久jiu���,自zi《網絡安全法》的實施���、等保2.0標準確立以來相關執法監管工作也一直保持趨嚴的態勢。《網絡安全法》明確等保作為法定義務之後�����,每年因未履行網絡安全等級保護製度����、未依法完成等級保護測評工作���、未完成法定網絡安全等級保護義務等原因被依法處罰的案例並不少見。2020年4月14日(ri)����,瀘(lu)水(shui)市(shi)某(mou)公(gong)司(si)係(xi)統(tong)被(bei)黑(hei)客(ke)攻(gong)擊(ji)����,本(ben)地(di)數(shu)據(ju)庫(ku)所(suo)有(you)數(shu)據(ju)丟(diu)失(shi)。雖(sui)然(ran)該(gai)公(gong)司(si)新(xin)建(jian)了(le)數(shu)據(ju)庫(ku)�,但(dan)經(jing)公(gong)安(an)機(ji)關(guan)和(he)網(wang)安(an)部(bu)門(men)調(tiao)查(zha)�,該(gai)公(gong)司(si)因(yin)其(qi)未(wei)按(an)照(zhao)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)製(zhi)度(du)的(de)要(yao)求(qiu)履(lv)行(xing)定(ding)級(ji)�����、備案�、等級測評����、安全建設整改�、安(an)全(quan)自(zi)查(zha)等(deng)安(an)全(quan)保(bao)護(hu)義(yi)務(wu)��,最(zui)終(zhong)被(bei)認(ren)定(ding)未(wei)按(an)規(gui)定(ding)履(lv)行(xing)網(wang)絡(luo)安(an)全(quan)保(bao)護(hu)義(yi)務(wu)導(dao)致(zhi)危(wei)害(hai)網(wang)絡(luo)安(an)全(quan)的(de)不(bu)良(liang)後(hou)果(guo)����,且(qie)未(wei)及(ji)時(shi)整(zheng)改(gai)。瀘(lu)水(shui)市(shi)公(gong)安(an)局(ju)依(yi)法(fa)給(gei)予(yu)該(gai)公(gong)司(si)罰(fa)款(kuan)15000元��,公司主要負責人罰款5000元yuan的de行xing政zheng處chu罰fa���,並bing責ze令ling該gai公gong司si立li即ji整zheng改gai到dao位wei。這zhe也ye是shi網wang安an法fa實shi施shi後hou開kai出chu的de首shou張zhang罰fa單dan。雖sui然ran處chu罰fa金jin額e有you限xian�����,但dan是shi具ju有you重zhong大da的de示shi範fan警jing戒jie效xiao應ying。而er且qie如ru果guo發fa生sheng類lei似si情qing況kuang並bing造zao成cheng嚴yan重zhong後hou果guo��,還hai有you可ke能neng構gou成cheng拒ju不bu履lv行xing信xin息xi網wang絡luo安an全quan管guan理li義yi務wu罪zui等deng被bei追zhui究jiu刑xing事shi責ze任ren。《指導意見》發布後�,進一步明確了兩個製度落實的要求以及主管部門及其職責�,相信圍繞兩個製度落實的執法監督活動將進一步強化。
(3)對企業的工作建議
首先���,作為《指導意見》印發對象的單位�、企業�����,毋庸置疑地必須按照《指導意見》的規定和有關精神落實兩個製度。據我們了解����,已經有重點行業�����、領域的企業以及央企���、國企對集團內包括3級�����、4級下屬子公司下發通知��,要求限期落實兩個製度�����,特別是等保製度。
其次��,對於非重點行業��、領域的企業��,雖然被認定為關鍵信息基礎設施的可能性較小�,但等保以及《指導意見》中“分等級保護�、突出重點”等原則和要求����,同樣適用於全體企業。隨著上述兩個製度立法的推進和執法監督的強化��,對於非關鍵信息基礎設施企業���,包括民企���、外wai企qi等deng所suo有you性xing質zhi企qi業ye在zai內nei����,等deng保bao製zhi度du會hui成cheng為wei常chang態tai化hua的de合he規gui問wen題ti�����,等deng保bao製zhi度du落luo實shi情qing況kuang的de監jian督du檢jian查zha必bi將jiang愈yu來lai愈yu嚴yan格ge。據ju我wo們men了le解jie����,今jin年nian以yi來lai已yi經jing有you部bu分fen地di區qu的de公gong安an機ji關guan網wang安an部bu門men通tong過guo轄xia區qu內nei辦ban公gong樓lou宇yu向xiang入ru住zhu的de全quan體ti企qi業ye發fa布bu網wang絡luo安an全quan義yi務wu告gao知zhi書shu�����,並bing對dui各ge企qi業ye網wang站zhan和he信xin息xi係xi統tong情qing況kuang進jin行xing摸mo底di調tiao查zha。而er隨sui著zhe《指導意見》的落實推進�����,各地主管部門必將加強執法監督力度���,對轄區內企業可能采取進一步的檢查和監管措施。
最後�����,根據我們為客戶進行等保定級����、備案���、pingguhezhenggaidengxiangguangongzuotigongzixunfuwudeshijianjingyan����,jishiduiyuwangluoanquanguanlixiangduiguifanqiejuyouxiangduichengshuguanlijingyanheguanlixitongdegongsi���,zaiduibiaodengbao2.0的(de)基(ji)本(ben)要(yao)求(qiu)實(shi)施(shi)等(deng)保(bao)工(gong)作(zuo)的(de)過(guo)程(cheng)中(zhong)��,仍(reng)然(ran)需(xu)要(yao)對(dui)管(guan)理(li)製(zhi)度(du)和(he)技(ji)術(shu)設(she)備(bei)等(deng)進(jin)行(xing)相(xiang)應(ying)的(de)整(zheng)改(gai)�,才(cai)能(neng)滿(man)足(zu)等(deng)保(bao)包(bao)括(kuo)等(deng)保(bao)測(ce)評(ping)的(de)規(gui)範(fan)要(yao)求(qiu)。而(er)且(qie)要(yao)滿(man)足(zu)這(zhe)些(xie)等(deng)保(bao)製(zhi)度(du)的(de)法(fa)定(ding)要(yao)求(qiu)��,相(xiang)應(ying)評(ping)估(gu)�����、整改等過程一般需要花費大約2geyueyishangdeshijian。youyukaishizheshouhuozhengzaishishidengbaogongzuodeqiyezhujianzengduo�,wulunshigonganjiguanduiyubeiandeshenhe���,haishidengbaocepingdanweidecepinghebaogaochujudoukenengxuyaogengchangdeshijian。yinci�����,womenqiangliejianyiqiyejinzaoyuzhuanyerenshipeihezheshouzhunbeiyanjiuhekaizhanxiangguangongzuo。
四�、結語
綜zong上shang所suo述shu�,在zai進jin入ru雙shuang保bao時shi代dai的de今jin天tian�����,兩liang個ge製zhi度du的de落luo實shi已yi是shi企qi業ye明ming確que的de法fa定ding義yi務wu。對dui於yu企qi業ye而er言yan�����,履lv行xing法fa定ding義yi務wu既ji是shi合he規gui要yao求qiu�,同tong時shi也ye是shi企qi業ye自zi身shen網wang絡luo安an全quan保bao護hu的de有you效xiao保bao障zhang����,是shi企qi業ye對dui重zhong要yao數shu據ju和he個ge人ren信xin息xi等deng實shi施shi有you效xiao保bao護hu以yi及ji實shi現xian該gai過guo程cheng可ke視shi化hua�����,防fang範fan風feng險xian的de有you力li工gong具ju。“工欲善其事必先利其器”��,希望更多的企業積極行動起來�,通過落實兩個製度��,實現企業可持續的健康安全發展。
