《網(wǎng)絡(luò)安全等級保護(hù)條例》深度解析
網(wǎng)絡(luò)安全等級保護(hù)是落實“分等級保護(hù)、突出重點、積極防御、綜合防護(hù)”的總體要求,建立“打防管控”一體化的網(wǎng)絡(luò)安全綜合防御體系,提升國家網(wǎng)絡(luò)安全整體防御能力,變被動防護(hù)為主動防護(hù),變靜態(tài)防護(hù)為動態(tài)防護(hù),變單點防護(hù)為整體防護(hù),變粗放防護(hù)為精準(zhǔn)防護(hù)。
第一條【立法宗旨與依據(jù)】為加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù)工作,提高網(wǎng)絡(luò)安全防范能力和水平,維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展,依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國保守國家秘密法》等法律,制定本條例。
第二條【適用范圍】在中華人民共和國境內(nèi)建設(shè)、運營、維護(hù)、使用網(wǎng)絡(luò),開展網(wǎng)絡(luò)安全等級保護(hù)工作以及監(jiān)督管理,適用本條例。個人及家庭自建自用的網(wǎng)絡(luò)除外。
第三條【確立制度】國家實行網(wǎng)絡(luò)安全等級保護(hù)制度,對網(wǎng)絡(luò)實施分等級保護(hù)、分等級監(jiān)管。前款所稱“網(wǎng)絡(luò)”是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。
第四條【工作原則】網(wǎng)絡(luò)安全等級保護(hù)工作應(yīng)當(dāng)按照突出重點、主動防御、綜合防控的原則,建立健全網(wǎng)絡(luò)安全防護(hù)體系,重點保護(hù)涉及國家安全、國計民生、社會公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全、運行安全和數(shù)據(jù)安全。】
涉密網(wǎng)絡(luò)應(yīng)當(dāng)依據(jù)國家保密規(guī)定和標(biāo)準(zhǔn),結(jié)合系統(tǒng)實際進(jìn)行保密防護(hù)和保密監(jiān)管。
第五條【職責(zé)分工】中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全等級保護(hù)工作。國家網(wǎng)信部門負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作的統(tǒng)籌協(xié)調(diào)。
國家保密行政管理部門主管涉密網(wǎng)絡(luò)分級保護(hù)工作,負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作中有關(guān)保密工作的監(jiān)督管理。
國務(wù)院其他有關(guān)部門依照有關(guān)法律法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)開展網(wǎng)絡(luò)安全等級保護(hù)相關(guān)工作。
解析:這一條明確了,中央網(wǎng)信機(jī)構(gòu)領(lǐng)導(dǎo)網(wǎng)絡(luò)安全等級保護(hù)工作,公安部門主管網(wǎng)絡(luò)安全等級保護(hù)工作,國家網(wǎng)信部門負(fù)責(zé)等保工作的統(tǒng)籌協(xié)調(diào)。保密局,密碼局負(fù)責(zé)各自領(lǐng)域的監(jiān)督管理。也就是說密碼局和保密局的分級保護(hù)(簡稱分保)也是等保工作的一部分??h級以上公安機(jī)關(guān)(包括縣區(qū)一級),等保工作第一次下放到縣區(qū)一級。未來等保監(jiān)督、執(zhí)法檢查、備案等工作,縣區(qū)一級公安機(jī)關(guān)也要參與。
解析:根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的解釋網(wǎng)絡(luò)運營者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。網(wǎng)絡(luò)運營者應(yīng)當(dāng)依法開展網(wǎng)絡(luò)定級備案,意味著網(wǎng)絡(luò)運營者必須對自己擁有的系統(tǒng)不管是一級系統(tǒng)還是一級以上的系統(tǒng)都要進(jìn)行定級工作。在《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》中對于一級系統(tǒng)這么要求的:應(yīng)以書面的形式說明保護(hù)對象的安全保護(hù)等級及確定等級的方法和理由。也就是說一級網(wǎng)絡(luò)可以不用到公安機(jī)關(guān)備案,但是必須要有記錄表單類文檔,來記錄保護(hù)對象的安全保護(hù)等級和確定等級的方法和理由。但是對于二級以上的系統(tǒng)要求必須到公安機(jī)關(guān)備案。對安全建設(shè)整改、等級測評和自查等工作,這里指的是對應(yīng)的等保標(biāo)準(zhǔn)里要履行的動作,比如三級系統(tǒng)每年必須測評一次,但標(biāo)準(zhǔn)里沒有要求二級系統(tǒng)必須測評,二級只是要求定期進(jìn)行等級測評,在發(fā)生重大變更或級別發(fā)生變化時進(jìn)行等級測評。根據(jù)各自系統(tǒng)的級別,查詢對應(yīng)級別的標(biāo)準(zhǔn)里的要求。至于后面的采取管理和技術(shù)措施,保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運行安全、數(shù)據(jù)安全和信息安全,有效應(yīng)對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動,1到5級系統(tǒng)標(biāo)準(zhǔn)都有要求。
解析:行業(yè)主管部門比如說教育局,衛(wèi)健委,銀保監(jiān)局,人民銀行等行業(yè)主管部門應(yīng)當(dāng)組織、指導(dǎo)本行業(yè)、本領(lǐng)域落實網(wǎng)絡(luò)安全等級保護(hù)制度。對于下級單位的定級問題,應(yīng)該出具主管部門的審批意見。具體的行業(yè)主管部門怎么定義,什么單位算行業(yè)主管部門,有具體文件要求。
第八條【總體保障】國家建立健全網(wǎng)絡(luò)安全等級保護(hù)制度的組織領(lǐng)導(dǎo)體系、技術(shù)支持體系和保障體系。
解析:各級政府和行業(yè)主管部門必須將網(wǎng)絡(luò)安全等級保護(hù)制度納入信息化工作的總體規(guī)劃之中,之前很多部門,每年信息化工作可能會投入很多錢,但是經(jīng)常忽略安全的建設(shè),只重建設(shè),不重安全,忽略網(wǎng)絡(luò)安全的重要性,這一條明確要求納入總體規(guī)劃。
國家支持企業(yè)、研究機(jī)構(gòu)、高等學(xué)校、網(wǎng)絡(luò)相關(guān)行業(yè)組織參與網(wǎng)絡(luò)安全等級保護(hù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定。
第十條【投入和保障】各級人民政府鼓勵扶持網(wǎng)絡(luò)安全等級保護(hù)重點工程和項目,支持網(wǎng)絡(luò)安全等級保護(hù)技術(shù)的研究開發(fā)和應(yīng)用,推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
第十一條【技術(shù)支持】國家建設(shè)網(wǎng)絡(luò)安全等級保護(hù)專家隊伍和等級測評、安全建設(shè)、應(yīng)急處置等技術(shù)支持體系,為網(wǎng)絡(luò)安全等級保護(hù)制度提供支撐。
第十二條【績效考核】行業(yè)主管部門、各級人民政府應(yīng)當(dāng)將網(wǎng)絡(luò)安全等級保護(hù)工作納入績效考核評價、社會治安綜合治理考核等。
第十三條【宣傳教育培訓(xùn)】各級人民政府及其有關(guān)部門應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù)制度的宣傳教育,提升社會公眾的網(wǎng)絡(luò)安全防范意識。
解析:為了提升整個國家的網(wǎng)絡(luò)安全防護(hù)水平,鼓勵各級政府和相關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù)制度的宣傳教育,提升全民的網(wǎng)絡(luò)安全防范意識。也鼓勵事業(yè)單位、高校、研究機(jī)構(gòu)開展網(wǎng)絡(luò)安全等級保護(hù)制度的教育和培訓(xùn),培養(yǎng)網(wǎng)絡(luò)安全等級保護(hù)管理和技術(shù)人才?,F(xiàn)在網(wǎng)絡(luò)安全人才缺口非常大,也亟需網(wǎng)絡(luò)安全人才。當(dāng)前網(wǎng)絡(luò)安全防護(hù)水平相比十年前已經(jīng)得到了極大的提升,等級保護(hù)工作可以說功不可沒。
國家對網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的推廣,組織開展網(wǎng)絡(luò)安全風(fēng)險評估,防范網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的安全風(fēng)險。
一是保障用戶對數(shù)據(jù)可控,產(chǎn)品或服務(wù)提供者不應(yīng)該利用提供產(chǎn)品或服務(wù)的便利條件非法獲取用戶重要數(shù)據(jù),損害用戶對自己數(shù)據(jù)的控制權(quán);
三是保障用戶的選擇權(quán),產(chǎn)品和服務(wù)提供者不應(yīng)利用用戶對其產(chǎn)品和服務(wù)的依賴性,限制用戶選擇使用其他產(chǎn)品和服務(wù),或停止提供合理的安全技術(shù)支持,迫使用戶更新?lián)Q代,損害用戶的網(wǎng)絡(luò)安全和利益。
第三章網(wǎng)絡(luò)的安全保護(hù)
(一)第一級,一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害,但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡(luò)。
(三)第三級,一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害,或者會對社會秩序和社會公共利益造成嚴(yán)重危害,或者對國家安全造成危害的重要網(wǎng)絡(luò)。
(五)第五級,一旦受到破壞后會對國家安全造成特別嚴(yán)重危害的極其重要網(wǎng)絡(luò)。
不同級別的等級保護(hù)對象應(yīng)具備的基本安全保護(hù)能力如下:
第二級安全保護(hù)能力:應(yīng)能夠防護(hù)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難,以及其他相當(dāng)危害程度的威脅所造成的重要資源損害,能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件,在自身遭到損害后,能夠在一段時間內(nèi)恢復(fù)部分功能。
第四級安全保護(hù)能力:應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難,以及其他相當(dāng)危害程度的威脅所造成的資源損害,能夠及時發(fā)現(xiàn)、監(jiān)測發(fā)現(xiàn)攻擊行為和安全事件,在自身遭到損害后,能夠迅速恢復(fù)所有功能。
當(dāng)網(wǎng)絡(luò)功能、服務(wù)范圍、服務(wù)對象和處理的數(shù)據(jù)等發(fā)生重大變化時,網(wǎng)絡(luò)運營者應(yīng)當(dāng)依法變更網(wǎng)絡(luò)的安全保護(hù)等級。
網(wǎng)絡(luò)運營者不履行本條規(guī)定,由公安機(jī)關(guān)責(zé)令改正,依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定處罰。即:由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的網(wǎng)絡(luò)由行業(yè)主管部門統(tǒng)一擬定安全保護(hù)等級,統(tǒng)一組織定級評審。
解析:業(yè)務(wù)系統(tǒng)應(yīng)該定為二級的或者二級以上的,網(wǎng)絡(luò)運營者要組織專家進(jìn)行評審,有行業(yè)主管部門的,應(yīng)當(dāng)在評審后報請主管部門核準(zhǔn)。定級備案的流程是確定定級對象—》擬定二級的系統(tǒng)—》進(jìn)行專家評審—》行業(yè)主管部門審批定級是否合理—》公安機(jī)關(guān)終審定級是否準(zhǔn)確—》符合發(fā)備案證明—》否則退回重新定級。
網(wǎng)絡(luò)運營者不履行本條第一款規(guī)定,由公安機(jī)關(guān)責(zé)令改正,依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定處罰。即:由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。
因網(wǎng)絡(luò)撤銷或變更調(diào)整安全保護(hù)等級的,應(yīng)當(dāng)在10個工作日內(nèi)向原受理備案公安機(jī)關(guān)辦理備案撤銷或變更手續(xù)。
解析:第二級以上網(wǎng)絡(luò)運營者應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級確定后10個工作日內(nèi),到縣級以上公安機(jī)關(guān)備案。這里強(qiáng)調(diào)的是等級確定后的10個工作日內(nèi),而不是網(wǎng)絡(luò)建成后的10個工作日。如果網(wǎng)絡(luò)撤銷、廢棄,不再使用或者需要調(diào)整安全保護(hù)等級,在10個工作日內(nèi)也要去受理備案的公安機(jī)關(guān)備案撤銷,或者變更。備案的具體辦法由公安部門制定,當(dāng)前的公安機(jī)關(guān)的備案表也會很快發(fā)生變化,因為當(dāng)前公安機(jī)關(guān)的備案表中的表三確定系統(tǒng)服務(wù)安全保護(hù)等級和業(yè)務(wù)信息安全保護(hù)等級中根本就沒有一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害這一項描述。
第十九條【備案審核】公安機(jī)關(guān)應(yīng)當(dāng)對網(wǎng)絡(luò)運營者提交的備案材料進(jìn)行審核。對定級準(zhǔn)確、備案材料符合要求的,應(yīng)在10個工作日內(nèi)出具網(wǎng)絡(luò)安全等級保護(hù)備案證明。