《網(wǎng)絡(luò)安全等級保護條例》與《信息安全等級保護管理辦法》
2018年6月27日,公安部發(fā)布《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》(以下簡稱“《征求意見稿》”),向社會公開征求意見?!墩髑笠庖姼濉钒倓t、支持與保障、網(wǎng)絡(luò)的安全保護、涉密網(wǎng)絡(luò)的安全保護、密碼管理、監(jiān)督管理、法律責(zé)任和附則等八章,共七十三條。
《征求意見稿》對于網(wǎng)絡(luò)安全等級保護的各項要求、工作流程、涉密網(wǎng)絡(luò)、密碼管理等方面做出了非常細致的規(guī)定。對比《網(wǎng)絡(luò)安全法》頒布之前的《信息安全等級保護管理辦法》及其配套的相關(guān)規(guī)范、標準(以下簡稱“等保1.0”),《網(wǎng)絡(luò)安全法》頒布之后的網(wǎng)絡(luò)安全等級保護制度(以下簡稱“等保2.0”)結(jié)合新時期的網(wǎng)絡(luò)安全新形勢、新變化以及新技術(shù)、新應(yīng)用的發(fā)展提出了更高的要求,網(wǎng)絡(luò)安全等級保護制度成為一個全新的國家網(wǎng)絡(luò)安全基本制度體系。
我們昨天推出《從<網(wǎng)絡(luò)安全等級保護條例(征求意見稿)>看等保1.0到等保2.0的重要變化》,以《征求意見稿》為抓手,從法律依據(jù)的效力位階、領(lǐng)導(dǎo)機構(gòu)和主管部門、保護對象和適用范圍、等級分類界定、法律責(zé)任五個角度,對等保1.0到等保2.0所發(fā)生的重要變化進行分析。
本文為《從<網(wǎng)絡(luò)安全等級保護條例(征求意見稿)>看等保1.0到等保2.0的重要變化》中提到的《征求意見稿》與《管理辦法》的條款比對,讀者可通過本文對等保1.0到等保2.0的變化做更深入的了解。
下列對比中,前為等保2.0《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》,后為等保1.0《信息安全等級保護管理辦法》。
宗旨
加強網(wǎng)絡(luò)安全等級保護工作,提高網(wǎng)絡(luò)安全防范能力和水平,維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益,保護公民、法人和其他組織的合法權(quán)益,促進經(jīng)濟社會信息化健康發(fā)展
規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè)
立法依據(jù)
《網(wǎng)絡(luò)安全法》、《保守國家秘密法》等
《計算機信息系統(tǒng)安全保護條例》等
定義
網(wǎng)絡(luò):由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)。
信息系統(tǒng):由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的,按照一定的應(yīng)用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)。
(來源:《關(guān)于信息安全等級保護工作的實施意見》第3條第2款)
工作原則
突出重點、主動防御、綜合防控,重點保護涉及國家安全、國計民生、社會公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全、運行安全和數(shù)據(jù)安全。
明確責(zé)任,共同保護;依照標準,自行保護;同步建設(shè),動態(tài)調(diào)整;指導(dǎo)監(jiān)督,重點保護。國家重點保護涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)。
(來源:《關(guān)于信息安全等級保護工作的實施意見》第2條)
職責(zé)分工
中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機構(gòu)統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全等級保護工作;國家網(wǎng)信部門負責(zé)網(wǎng)絡(luò)安全等級保護工作的統(tǒng)籌協(xié)調(diào);
國務(wù)院公安部門主管網(wǎng)絡(luò)安全等級保護工作;國家保密行政管理部門主管涉密網(wǎng)絡(luò)分級保護工作;國家密碼管理部門負責(zé)網(wǎng)絡(luò)安全等級保護工作中有關(guān)密碼管理工作的監(jiān)督管理。
公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作的部門間協(xié)調(diào)。
責(zé)任義務(wù)
網(wǎng)絡(luò)運營者應(yīng)當(dāng)依法開展網(wǎng)絡(luò)定級備案、安全建設(shè)整改、等級測評和自查等工作,采取管理和技術(shù)措施,保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運行安全、數(shù)據(jù)安全和信息安全,有效應(yīng)對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動。
信息系統(tǒng)運營、使用單位依據(jù)該管理辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護。
支持保障
建立健全網(wǎng)絡(luò)安全等級保護制度的組織領(lǐng)導(dǎo)體系、技術(shù)支持體系和保障體系。其中,行業(yè)主管部門、各級人民政府應(yīng)當(dāng)將網(wǎng)絡(luò)安全等級保護工作納入績效考核評價、社會治安綜合治理考核等。
等級分類
分類依據(jù):網(wǎng)絡(luò)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素。
分類依據(jù):信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素。
網(wǎng)絡(luò)等級:五級
信息系統(tǒng)安全保護等級:五級
第一級,一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害,但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡(luò)。
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴重損害,或者對社會秩序和公共利益造成危害,但不危害國家安全的一般網(wǎng)絡(luò)。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成特別嚴重損害,或者會對社會秩序和社會公共利益造成嚴重危害,或者對國家安全造成危害的重要網(wǎng)絡(luò)。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害的特別重要網(wǎng)絡(luò)。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,一旦受到破壞后會對國家安全造成特別嚴重危害的極其重要網(wǎng)絡(luò)。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。
網(wǎng)絡(luò)定級
網(wǎng)絡(luò)運營者應(yīng)當(dāng)在規(guī)劃設(shè)計階段確定網(wǎng)絡(luò)的安全保護等級。當(dāng)網(wǎng)絡(luò)功能、服務(wù)范圍、服務(wù)對象和處理的數(shù)據(jù)等發(fā)生重大變化時,網(wǎng)絡(luò)運營者應(yīng)當(dāng)依法變更網(wǎng)絡(luò)的安全保護等級。
自主定級、自主保護。
定級評審
對擬定為第二級以上的網(wǎng)絡(luò),其運營者應(yīng)當(dāng)組織專家評審;有行業(yè)主管部門的,應(yīng)當(dāng)在評審后報請主管部門核準。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的網(wǎng)絡(luò)由行業(yè)主管部門統(tǒng)一擬定安全保護等級,統(tǒng)一組織定級評審;
行業(yè)主管部門可以依據(jù)國家標準規(guī)范,結(jié)合本行業(yè)網(wǎng)絡(luò)特點制定行業(yè)網(wǎng)絡(luò)安全等級保護定級指導(dǎo)意見。
信息系統(tǒng)運營、使用單位確定信息系統(tǒng)的安全保護等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準;
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級;
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審。
定級備案
第二級以上網(wǎng)絡(luò)運營者應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護等級確定后10個工作日內(nèi),到縣級以上公安機關(guān)備案;
因網(wǎng)絡(luò)撤銷或變更調(diào)整安全保護等級的,應(yīng)當(dāng)在10個工作日內(nèi)向原受理備案公安機關(guān)辦理備案撤銷或變更手續(xù);
公安機關(guān)應(yīng)當(dāng)對網(wǎng)絡(luò)運營者提交的備案材料進行審核。對定級準確、備案材料符合要求的,應(yīng)在10個工作日內(nèi)出具網(wǎng)絡(luò)安全等級保護備案證明。
已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù);
新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。
信息系統(tǒng)備案后,公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合《信息安全等級保護管理辦法》及有關(guān)標準的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。
安全保護義務(wù)
網(wǎng)絡(luò)運營者的一般安全保護義務(wù),及第三級以上網(wǎng)絡(luò)運營者的特殊安全保護義務(wù)(詳見《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》第20條及第21條)
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。
上線檢測
新建的第二級網(wǎng)絡(luò)上線運行前應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護有關(guān)標準規(guī)范,對網(wǎng)絡(luò)的安全性進行測試。
新建的第三級以上網(wǎng)絡(luò)上線運行前應(yīng)當(dāng)委托網(wǎng)絡(luò)安全等級測評機構(gòu)按照網(wǎng)絡(luò)安全等級保護有關(guān)標準規(guī)范進行等級測評,通過等級測評后方可投入運行。
等級測評
第三級以上網(wǎng)絡(luò)的運營者應(yīng)當(dāng)每年開展一次網(wǎng)絡(luò)安全等級測評,發(fā)現(xiàn)并整改安全風(fēng)險隱患,并每年將開展網(wǎng)絡(luò)安全等級測評的工作情況及測評結(jié)果向備案的公安機關(guān)報告。
信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合該管理辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。
安全整改
網(wǎng)絡(luò)運營者應(yīng)當(dāng)對等級測評中發(fā)現(xiàn)的安全風(fēng)險隱患,制定整改方案,落實整改措施,消除風(fēng)險隱患。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應(yīng)當(dāng)制定方案進行整改。
自查
網(wǎng)絡(luò)運營者應(yīng)當(dāng)每年對本單位落實網(wǎng)絡(luò)安全等級保護制度情況和網(wǎng)絡(luò)安全狀況至少開展一次自查,發(fā)現(xiàn)安全風(fēng)險隱患及時整改,并向備案的公安機關(guān)報告。
信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。
測評機構(gòu)、網(wǎng)絡(luò)服務(wù)機構(gòu)要求
網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)當(dāng)為網(wǎng)絡(luò)運營者提供安全、客觀、公正的等級測評服務(wù)。
網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)當(dāng)與網(wǎng)絡(luò)運營者簽署服務(wù)協(xié)議,并對測評人員進行安全保密教育,與其簽訂安全保密責(zé)任書,明確測評人員的安全保密義務(wù)和法律責(zé)任,組織測評人員參加專業(yè)培訓(xùn)。
從事信息系統(tǒng)安全等級測評的機構(gòu),應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標準,提供安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風(fēng)險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責(zé)任書,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負責(zé)檢查落實。
網(wǎng)絡(luò)服務(wù)提供者為第三級以上網(wǎng)絡(luò)提供網(wǎng)絡(luò)建設(shè)、運行維護、安全監(jiān)測、數(shù)據(jù)分析等網(wǎng)絡(luò)服務(wù),應(yīng)當(dāng)符合國家有關(guān)法律法規(guī)和技術(shù)標準的要求。
網(wǎng)絡(luò)安全等級測評機構(gòu)等網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)保守服務(wù)過程中知悉的國家秘密、個人信息和重要數(shù)據(jù)。不得非法使用或擅自發(fā)布、披露在提供服務(wù)中收集掌握的數(shù)據(jù)信息和系統(tǒng)漏洞、惡意代碼、網(wǎng)絡(luò)入侵攻擊等網(wǎng)絡(luò)安全信息。
產(chǎn)品服務(wù)采購使用安全要求
第三級以上網(wǎng)絡(luò)運營者應(yīng)當(dāng)采用與其安全保護等級相適應(yīng)的網(wǎng)絡(luò)產(chǎn)品和服務(wù);對重要部位使用的網(wǎng)絡(luò)產(chǎn)品,應(yīng)當(dāng)委托專業(yè)測評機構(gòu)進行專項測試,根據(jù)測試結(jié)果選擇符合要求的網(wǎng)絡(luò)產(chǎn)品;采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。
第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;
(六)對已列入信息安全產(chǎn)品認證目錄的,應(yīng)當(dāng)取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。
技術(shù)維護要求
第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)在境內(nèi)實施技術(shù)維護,不得境外遠程技術(shù)維護。因業(yè)務(wù)需要,確需進行境外遠程技術(shù)維護的,應(yīng)當(dāng)進行網(wǎng)絡(luò)安全評估,并采取風(fēng)險管控措施。實施技術(shù)維護,應(yīng)當(dāng)記錄并留存技術(shù)維護日志,并在公安機關(guān)檢查時如實提供。
監(jiān)測預(yù)警和信息通報
第三級以上網(wǎng)絡(luò)運營者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度,按照規(guī)定向同級公安機關(guān)報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息,報告網(wǎng)絡(luò)安全事件。有行業(yè)主管部門的,同時向行業(yè)主管部門報送和報告。
數(shù)據(jù)和信息安全保護
網(wǎng)絡(luò)運營者應(yīng)當(dāng)建立并落實重要數(shù)據(jù)和個人信息安全保護制度;采取保護措施,保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全;建立異地備份恢復(fù)等技術(shù)措施,保障重要數(shù)據(jù)的完整性、保密性和可用性。
未經(jīng)允許或授權(quán),網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的數(shù)據(jù)和個人信息;不得違反法律、行政法規(guī)規(guī)定和雙方約定收集、使用和處理數(shù)據(jù)和個人信息;不得泄露、篡改、損毀其收集的數(shù)據(jù)和個人信息;不得非授權(quán)訪問、使用、提供數(shù)據(jù)和個人信息。
應(yīng)急處置
第三級以上網(wǎng)絡(luò)的運營者應(yīng)當(dāng)按照國家有關(guān)規(guī)定,制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案,定期開展網(wǎng)絡(luò)安全應(yīng)急演練。網(wǎng)絡(luò)運營者處置網(wǎng)絡(luò)安全事件應(yīng)當(dāng)保護現(xiàn)場,記錄并留存相關(guān)數(shù)據(jù)信息,并及時向公安機關(guān)和行業(yè)主管部門報告。
審計審核
網(wǎng)絡(luò)運營者建設(shè)、運營、維護和使用網(wǎng)絡(luò),向社會公眾提供需取得行政許可的經(jīng)營活動的,相關(guān)主管部門應(yīng)當(dāng)將網(wǎng)絡(luò)安全等級保護制度落實情況納入審計、審核范圍。
新技術(shù)新應(yīng)用風(fēng)險管控
網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求,采取措施,管控云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、工控系統(tǒng)和移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用帶來的安全風(fēng)險,消除安全隱患。
涉密分級
涉密網(wǎng)絡(luò)按照存儲、處理、傳輸國家秘密的最高密級分為絕密級、機密級和秘密級。
涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。
涉密網(wǎng)絡(luò)定級
涉密網(wǎng)絡(luò)運營者應(yīng)當(dāng)依法確定涉密網(wǎng)絡(luò)的密級,通過本單位保密委員會(領(lǐng)導(dǎo)小組)的審定,并向同級保密行政管理部門備案。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。
涉密網(wǎng)絡(luò)建設(shè)管理
涉密網(wǎng)絡(luò)運營者委托其他單位承擔(dān)涉密網(wǎng)絡(luò)建設(shè)的,應(yīng)當(dāng)選擇具有相應(yīng)涉密信息系統(tǒng)集成資質(zhì)的單位,并與建設(shè)單位簽訂保密協(xié)議,明確保密責(zé)任,采取保密措施。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標準,按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設(shè)計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。
涉密網(wǎng)絡(luò)信息設(shè)備、安全保密產(chǎn)品管理
涉密網(wǎng)絡(luò)中使用的信息設(shè)備,應(yīng)當(dāng)從國家有關(guān)主管部門發(fā)布的涉密專用信息設(shè)備名錄中選擇;未納入名錄的,應(yīng)選擇政府采購目錄中的產(chǎn)品。確需選用進口產(chǎn)品的,應(yīng)當(dāng)進行安全保密檢測。
涉密網(wǎng)絡(luò)運營者不得選用國家保密行政管理部門禁止使用或者政府采購主管部門禁止采購的產(chǎn)品。
涉密網(wǎng)絡(luò)中使用的安全保密產(chǎn)品,應(yīng)當(dāng)通過國家保密行政管理部門設(shè)立的檢測機構(gòu)檢測。計算機病毒防護產(chǎn)品應(yīng)當(dāng)選用取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的可靠產(chǎn)品,密碼產(chǎn)品應(yīng)當(dāng)選用國家密碼管理部門批準的產(chǎn)品。
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品,并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
涉密網(wǎng)絡(luò)測評審查和風(fēng)險評估
涉密網(wǎng)絡(luò)應(yīng)當(dāng)由國家保密行政管理部門設(shè)立或者授權(quán)的保密測評機構(gòu)進行檢測評估,并經(jīng)設(shè)區(qū)的市級以上保密行政管理部門審查合格,方可投入使用。
涉密網(wǎng)絡(luò)運營者在涉密網(wǎng)絡(luò)投入使用后,應(yīng)定期開展安全保密檢查和風(fēng)險自評估,并接受保密行政管理部門組織的安全保密風(fēng)險評估。絕密級網(wǎng)絡(luò)每年至少進行一次,機密級和秘密級網(wǎng)絡(luò)每兩年至少進行一次。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應(yīng)當(dāng)向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標準BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風(fēng)險評估,消除泄密隱患和漏洞。
涉密網(wǎng)絡(luò)使用管理總體要求
涉密網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定安全保密管理制度,組建相應(yīng)管理機構(gòu),設(shè)置安全保密管理人員,落實安全保密責(zé)任。
涉密網(wǎng)絡(luò)預(yù)警通報要求
涉密網(wǎng)絡(luò)運營者應(yīng)建立健全本單位涉密網(wǎng)絡(luò)安全保密監(jiān)測預(yù)警和信息通報制度,發(fā)現(xiàn)安全風(fēng)險隱患的,應(yīng)及時采取應(yīng)急處置措施,并向保密行政管理部門報告。
涉密網(wǎng)絡(luò)重大變化的處置
有下列情形之一的,涉密網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照國家保密規(guī)定及時向保密行政管理部門報告并采取相應(yīng)措施:
(一)密級發(fā)生變化的;
(二)連接范圍、終端數(shù)量超出審查通過的范圍、數(shù)量的;
(三)所處物理環(huán)境或者安全保密設(shè)施變化可能導(dǎo)致新的安全保密風(fēng)險的;
(四)新增應(yīng)用系統(tǒng)的,或者應(yīng)用系統(tǒng)變更、減少可能導(dǎo)致新的安全保密風(fēng)險的。
對前款所列情形,保密行政管理部門應(yīng)當(dāng)及時作出是否對涉密網(wǎng)絡(luò)重新進行檢測評估和審查的決定。
涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時,其建設(shè)使用單位應(yīng)當(dāng)及時向負責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況,決定是否對其重新進行測評和審批。
涉密網(wǎng)絡(luò)廢止
涉密網(wǎng)絡(luò)不再使用的,涉密網(wǎng)絡(luò)運營者應(yīng)當(dāng)及時向保密行政管理部門報告,并按照國家保密規(guī)定和標準對涉密信息設(shè)備、產(chǎn)品、涉密載體等進行處理。
確定密碼要求
國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護等級、涉密網(wǎng)絡(luò)的密級和保護等級,確定密碼的配備、使用、管理和應(yīng)用安全性評估要求,制定網(wǎng)絡(luò)安全等級保護密碼標準規(guī)范。
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準則。
信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴格執(zhí)行國家密碼管理的有關(guān)規(guī)定。
涉密網(wǎng)絡(luò)密碼保護
涉密網(wǎng)絡(luò)及傳輸?shù)膰颐孛苄畔?,?yīng)當(dāng)依法采用密碼保護。
密碼產(chǎn)品應(yīng)當(dāng)經(jīng)過密碼管理部門批準,采用密碼技術(shù)的軟件系統(tǒng)、硬件設(shè)備等產(chǎn)品,應(yīng)當(dāng)通過密碼檢測。
密碼的檢測、裝備、采購和使用等,由密碼管理部門統(tǒng)一管理;系統(tǒng)設(shè)計、運行維護、日常管理和密碼評估,應(yīng)當(dāng)按照國家密碼管理相關(guān)法規(guī)和標準執(zhí)行。
采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應(yīng)報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護和日常管理等,應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標準執(zhí)行。
非涉密網(wǎng)絡(luò)密碼保護
非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標準的要求,使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護,并使用國家密碼管理部門認可的密碼技術(shù)、產(chǎn)品和服務(wù)。
第三級以上網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運行階段,按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標準,委托密碼應(yīng)用安全性測評機構(gòu)開展密碼應(yīng)用安全性評估。網(wǎng)絡(luò)通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。密碼應(yīng)用安全性評估結(jié)果應(yīng)當(dāng)報受理備案的公安機關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案。
采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標準,其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。
密碼安全管理責(zé)任
網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照國家密碼管理法規(guī)和相關(guān)管理要求,履行密碼安全管理職責(zé),加強密碼安全制度建設(shè),完善密碼安全管理措施,規(guī)范密碼使用行為。
任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動,或者從事其他違法犯罪活動。
密碼產(chǎn)品使用
運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。
密碼及密碼設(shè)備測評
信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔(dān),其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。
密碼配備、使用和管理檢查和測評
各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標準要求的,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進行處置。
監(jiān)督管理
公安機關(guān):負責(zé)安全監(jiān)督管理,對第三級以上網(wǎng)絡(luò)運營者按照網(wǎng)絡(luò)安全等級保護制度落實網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運行安全和數(shù)據(jù)安全保護責(zé)任義務(wù),實行重點監(jiān)督管理。(第49條)
保密行政管理部門:負責(zé)保密監(jiān)督管理。(第57條)
密碼管理部門:負責(zé)密碼監(jiān)督管理,重要涉密信息系統(tǒng)每兩年至少開展一次監(jiān)督檢查。(第58條)
行業(yè)主管部門:負責(zé)行業(yè)監(jiān)督管理。(第59條)
公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo);
國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理。
安全檢查
縣級以上公安機關(guān)對網(wǎng)絡(luò)運營者開展下列網(wǎng)絡(luò)安全工作情況進行監(jiān)督檢查:
(一)日常網(wǎng)絡(luò)安全防范工作;
(二)重大網(wǎng)絡(luò)安全風(fēng)險隱患整改情況;
(三)重大網(wǎng)絡(luò)安全事件應(yīng)急處置和恢復(fù)工作;
(四)重大活動網(wǎng)絡(luò)安全保護工作落實情況;
(五)其他網(wǎng)絡(luò)安全保護工作情況。
受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。
公安機關(guān)對第三級以上網(wǎng)絡(luò)運營者每年至少開展一次安全檢查。涉及相關(guān)行業(yè)的可以會同其行業(yè)主管部門開展安全檢查。必要時,公安機關(guān)可以委托社會力量提供技術(shù)支持。
對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會同其主管部門進行。對第五級信息系統(tǒng),應(yīng)當(dāng)由國家指定的專門部門進行檢查。
公安機關(guān)依法實施監(jiān)督檢查,網(wǎng)絡(luò)運營者應(yīng)當(dāng)協(xié)助、配合,并按照公安機關(guān)要求如實提供相關(guān)數(shù)據(jù)信息。
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實向公安機關(guān)、國家指定的專門部門提供有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件。
公安機關(guān)在監(jiān)督檢查中發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患的,應(yīng)當(dāng)責(zé)令網(wǎng)絡(luò)運營者采取措施立即消除;不能立即消除的,應(yīng)當(dāng)責(zé)令其限期整改。
公安機關(guān)發(fā)現(xiàn)第三級以上網(wǎng)絡(luò)存在重大安全風(fēng)險隱患的,應(yīng)當(dāng)及時通報行業(yè)主管部門,并向同級網(wǎng)信部門通報。
公安機關(guān)在監(jiān)督檢查中發(fā)現(xiàn)重要行業(yè)或本地區(qū)存在嚴重威脅國家安全、公共安全和社會公共利益的重大網(wǎng)絡(luò)安全風(fēng)險隱患的,應(yīng)報告同級人民政府、網(wǎng)信部門和上級公安機關(guān)。
公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的,應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標準進行整改。整改完成后,應(yīng)當(dāng)將整改報告向公安機關(guān)備案。必要時,公安機關(guān)可以對整改情況組織檢查。
對測評機構(gòu)和安全建設(shè)機構(gòu)的監(jiān)管
國家對網(wǎng)絡(luò)安全等級測評機構(gòu)和安全建設(shè)機構(gòu)實行推薦目錄管理,指導(dǎo)網(wǎng)絡(luò)安全等級測評機構(gòu)和安全建設(shè)機構(gòu)建立行業(yè)自律組織,制定行業(yè)自律規(guī)范,加強自律管理。
非涉密網(wǎng)絡(luò)安全等級測評機構(gòu)和安全建設(shè)機構(gòu)具體管理辦法,由國務(wù)院公安部門制定。保密科技測評機構(gòu)管理辦法由國家保密行政管理部門制定。
關(guān)鍵人員管理
第三級以上網(wǎng)絡(luò)運營者的關(guān)鍵崗位人員以及為第三級以上網(wǎng)絡(luò)提供安全服務(wù)的人員,不得擅自參加境外組織的網(wǎng)絡(luò)攻防活動。
事件調(diào)查
公安機關(guān)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定處置網(wǎng)絡(luò)安全事件,開展事件調(diào)查,認定事件責(zé)任,依法查處危害網(wǎng)絡(luò)安全的違法犯罪活動。必要時,可以責(zé)令網(wǎng)絡(luò)運營者采取阻斷信息傳輸、暫停網(wǎng)絡(luò)運行、備份相關(guān)數(shù)據(jù)等緊急措施
緊急情況斷網(wǎng)措施
網(wǎng)絡(luò)存在的安全風(fēng)險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關(guān)可以責(zé)令其停止聯(lián)網(wǎng)、停機整頓。
網(wǎng)絡(luò)安全約談制度
省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網(wǎng)絡(luò)安全等級保護監(jiān)督管理職責(zé)中,發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險隱患或者發(fā)生安全事件的,可以約談網(wǎng)絡(luò)運營者的法定代表人、主要負責(zé)人及其行業(yè)主管部門。
法律責(zé)任
違反安全保護義務(wù):由公安機關(guān)責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。
第三級以上信息系統(tǒng)運營、使用單位違反《信息安全等級保護管理辦法》規(guī)定,由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時反饋處理結(jié)果。
違反技術(shù)維護要求:由公安機關(guān)和相關(guān)行業(yè)主管部門依據(jù)各自職責(zé)責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。
違反數(shù)據(jù)安全和個人信息保護要求:由網(wǎng)信部門、公安機關(guān)依據(jù)各自職責(zé)責(zé)令改正,可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款;情節(jié)嚴重的,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
違反網(wǎng)絡(luò)安全服務(wù)責(zé)任:由公安機關(guān)責(zé)令改正,可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款;情節(jié)嚴重的,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓,直至通知發(fā)證機關(guān)吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
泄露、非法出售或者向他人提供個人信息的,尚不構(gòu)成犯罪的,由公安機關(guān)沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。
違反執(zhí)法協(xié)助義務(wù):由公安機關(guān)、保密行政管理部門、密碼管理部門、行業(yè)主管部門和有關(guān)部門依據(jù)各自職責(zé)責(zé)令改正;拒不改正或者情節(jié)嚴重的,處五萬元以上五十萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員,處一萬元以上十萬元以下罰款。
違反保密和密碼管理責(zé)任:由保密行政管理部門或者密碼管理部門按照各自職責(zé)分工責(zé)令改正,拒不改正的,給予警告,并通報向其上級主管部門,建議對其主管人員和其他直接責(zé)任人員依法給予處分。
監(jiān)管部門瀆職責(zé)任
網(wǎng)信部門、公安機關(guān)、國家保密行政管理部門、密碼管理部門以及有關(guān)行業(yè)主管部門及其工作人員有下列行為之一,對直接負責(zé)的主管人員和其他直接責(zé)任人員,或者有關(guān)工作人員依法給予處分:
(一)玩忽職守、濫用職權(quán)、徇私舞弊的;
(二)泄露、出售、非法提供在履行網(wǎng)絡(luò)安全等級保護監(jiān)管職責(zé)中獲悉的國家秘密、個人信息和重要數(shù)據(jù);或者將獲取其他信息,用于其他用途的。
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
法律競合處理
違反《網(wǎng)絡(luò)安全等級保護條例規(guī)定》,構(gòu)成違反治安管理行為的,由公安機關(guān)依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。