公安部十一局七处副处长范春玲
网络安全等级保护制度自2007年全国范围内推进实施以来,积累了众多经验。随着网络强国战略的提出,等级保护制度在新的时期、新的形势下不断完善。
公安部网络安全保卫局,或者公安机关的网安部门一直在不断推进网络安全等级保护制度的落实实施。按照中央最新的要求,我们公安部按照中央确定的,在网络空间的职责,主要有几个方面,这是我们新的时期,我们在网络空间领域发挥主力军作用主要体现在以下几个方面。
第一,建立实施关键信息基础设施保护制度
不断加强能源、金融、通信、交通等重要领域关键信息基础设施安全保护(双牵头),深入组织实施网络安全等级保护制度, 监督检查指导等级保护工作(三定),健全完善国家网络安全信息通报机制,提高通报预警能力。监督、检查、指导网络安全保护工作。开展情报侦察,保卫网络空间安全。防范打击危害网络安全的违法犯罪活动,开展网络攻防实战演习(护网行动),组织开展网络安全专项行动,构建“打防管控”一体化综合防御体系。
第二,新时期等保新要求
立法
2017年6月1日正式实施的《网络安全法》明确规定:
国家实行网络安全等级保护制度,关键信息基础设施是在网络安全等级保护制度的基础上,实行重点保护。习近平总书记等中央领导同志关于网络安全等级保护立法工作的一系列批示指示。公安部将《网络安全等级保护条例》列为重点立法计划。
定位
等级保护制度是国家网络安全工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。等级保护是我国多年来网络安全工作实践和经验的总结。重点保护关键信息基础设施和大数据安全,这是一项事关国家安全、社会稳定、国家利益的重要任务。
指导思想
指导构建新的等级保护制度体系,以最强网络攻击能力为标尺,依法开展网络安全保卫、保护、保障。构建“打防管控”一体化网络安全综合防控体系。以网络安全案(事)件为主线,问题导向,注重攻防兼备。
网络安全等级保护制度的适用范围扩展:
将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。
将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。
定级流程严谨:
对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。
跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。
备案管辖调整:
第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
隶属于中央的在京单位,其跨省或全国联网的网络系统,由主管部门向公安部备案,其他网络系统向北京市公安局备案。
明确网络运营者一般性安全保护义务
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。
网络运营者重要安全保护义务
第三级以上网络的运营者应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。
特殊安全保护义务
互联网信息服务提供者和互联网接入服务提供者,应落实下列安全保护义务:
(一)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(二)落实联网备案和用户真实身份查验等责任;
(三)法律和行政法规规定的其他网络安全保护义务。
安全测评
第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
新建的第三级以上网络应当通过等级测评后投入运行。
网络服务机构要求
为第三级以上网络提供网络建设、运行维护、安全监测、数据分析等网络服务,应当符合国家有关法律法规和技术标准的要求。
应当保守服务过程中知悉的国家秘密、个人信息和重要数据。
不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。
技术维护要求
第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。
因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。
实施技术维护,应当记录并留存技术维护日志,并在公安机关等有关部门依法检查时如实提供。
数据和信息安全保护
网络运营者应当建立并落实重要数据和个人信息安全保护制度。采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全。依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用。
应急处置要求
第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。
网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。
发生重大网络安全事件时,有关部门应当按照网络安全应急预案要求联合开展应急处置。电信业务经营者、互联网服务提供者应当为重大网络安全事件处置和恢复提供支持和协助。
审批要求
网络运营者建设、运营、维护和使用网络,向社会公众提供需取得行政许可的经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。
等保新的形势下有了新的规定,新的要求,我们应着网络安全法的要求,我们公安部会同相关部门已经制定起草了网络安全等级保护条例,去年通过几个相关的渠道向社会公开征求意见,征求了来自各个方向的一些意见和建议。
1、总体要求
国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。
各级人民政府和行业主管部门应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。
2、标准制定
国家建立完善等级保护标准体系。标准化部门和公安、保密、密码部门根据各自职责,组织制定等级保护国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全等级保护国家标准、行业标准的制定。
3、投入和保障
各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。
4、技术支持
国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。
5、绩效考核
行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。
6、宣传教育培训
各级人民政府及其有关部门应当加强网络安全等级保护制度的宣传教育,提升社会公众的网络安全防范意识。
国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。
7、鼓励创新
国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。
(本文根据公安部十一局七处副处长范春玲在2019第四届中国网络信息安全峰会上的演讲内容整理,未经本人确认。)