為深入貫徹黨中央有關(guān)文件精神和《網(wǎng)絡(luò)安全法》,指導(dǎo)重點行業(yè)、部門全面落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度,近日,公安部制定出臺了《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》,進一步健全完善國家網(wǎng)絡(luò)安全綜合防控體系,有效防范網(wǎng)絡(luò)安全威脅,有力處置重大網(wǎng)絡(luò)安全事件,切實保障關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和數(shù)據(jù)安全。
網(wǎng)絡(luò)安全等級保護制度
01?法律政策依據(jù)
1994年,國家規(guī)定對計算機信息系統(tǒng)實行安全等級保護
1994年2月18日,中華人民共和國國務(wù)院令第147號發(fā)布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》,其中第六條規(guī)定:“公安部主管全國計算機信息系統(tǒng)安全保護工作”;第九條規(guī)定:“計算機信息系統(tǒng)實行安全等級保護,安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法,由公安部會同有關(guān)部門制定”。
2007年,信息安全等級保護制度正式開始實施
2007年6月22日,公安部、國家保密局、國家密碼管理局、原國務(wù)院信息化工作辦公室聯(lián)合印發(fā)了《信息安全等級保護管理辦法》(公通字〔2007〕43號),標(biāo)志著等級保護制度正式開始實施。
2017年,網(wǎng)絡(luò)安全等級保護制度成為網(wǎng)絡(luò)安全的基本制度
2017年6月1日,《網(wǎng)絡(luò)安全法》正式實施。第二十一條規(guī)定,國家實行網(wǎng)絡(luò)安全等級保護制度,網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,履行安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
02?基本內(nèi)容
簡單來說,網(wǎng)絡(luò)安全等級保護是對網(wǎng)絡(luò)進行分等級保護、分等級監(jiān)管。有以下幾個關(guān)鍵詞:
定級。網(wǎng)絡(luò)運營者對信息網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)絡(luò)上的數(shù)據(jù)和信息,按照重要性和遭受損壞后的危害性分成五個安全保護等級,從第一級到第五級,逐級增高。
備案。等級確定后,第二級(含)以上網(wǎng)絡(luò)到公安機關(guān)備案,公安機關(guān)對備案材料和定級準(zhǔn)確性進行審核,審核合格后頒發(fā)備案證明。
建設(shè)。備案單位根據(jù)網(wǎng)絡(luò)的安全等級,安全國家標(biāo)準(zhǔn)開展安全建設(shè)整改,建設(shè)安全設(shè)施、落實安全責(zé)任、建立和落實網(wǎng)絡(luò)安全管理制度。
測評。備案單位選擇符合國家要求的測評機構(gòu)開展等級測評。
監(jiān)督。公安機關(guān)對第二級網(wǎng)絡(luò)進行指導(dǎo),對第三級、第四級網(wǎng)絡(luò)定期開展監(jiān)督、檢查。
03?網(wǎng)絡(luò)安全等級保護制度2.0新特征
國家網(wǎng)絡(luò)安全等級保護制度實施以來,已經(jīng)成為國家網(wǎng)絡(luò)安全的基本制度和基本國策。隨著經(jīng)濟社會發(fā)展和技術(shù)進步,等級保護制度已進入2.0時代。
網(wǎng)絡(luò)安全等級保護制度2.0在1.0的基礎(chǔ)上,實現(xiàn)對新技術(shù)、新應(yīng)用安全保護對象和安全保護領(lǐng)域的全覆蓋,更加突出技術(shù)思維和立體防范,注重全方位主動防御、動態(tài)防御、整體防護和精準(zhǔn)防護,強化“一個中心,三重防護”的安全保護體系,把云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等相關(guān)新技術(shù)新應(yīng)用全部納入保護范疇。
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度
《網(wǎng)絡(luò)安全法》第三十一條規(guī)定,國家對公共通信和信息服務(wù)、能源、交通、水利、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護。
習(xí)近平總書記強調(diào),“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點攻擊的目標(biāo)。”從世界范圍來看,各個國家網(wǎng)絡(luò)安全立法的核心就是保護關(guān)鍵信息基礎(chǔ)設(shè)施。加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,既是我國網(wǎng)絡(luò)安全嚴(yán)峻形勢的迫切需要,也是切實貫徹國家安全的必然要求。
根據(jù)《網(wǎng)絡(luò)安全法》和中央文件精神,公安機關(guān)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。我部正建立完善并實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度,指導(dǎo)各單位、各部門加強關(guān)鍵信息基礎(chǔ)設(shè)施安全的法律體系、政策體系、標(biāo)準(zhǔn)體系、保護體系、保衛(wèi)體系和保障體系建設(shè),在落實網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上,突出保護重點,強化保護措施,切實維護關(guān)鍵信息基礎(chǔ)設(shè)施安全,全力提升關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力。
《指導(dǎo)意見》主要內(nèi)容介紹
01?確定了指導(dǎo)思想、基本原則和工作目標(biāo)
《指導(dǎo)意見》以習(xí)近平新時代中國特色社會主義思想為指導(dǎo),以總體國家安全觀為統(tǒng)領(lǐng),認(rèn)真貫徹實施網(wǎng)絡(luò)強國戰(zhàn)略,全力保護關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和數(shù)據(jù)安全。
《指導(dǎo)意見》的三大原則。堅持分等級保護、突出重點;堅持積極防御、綜合防護;堅持依法保護、形成合力。
《指導(dǎo)意見》的四大工作目標(biāo)。確保網(wǎng)絡(luò)安全等級保護制度深入貫徹實施,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度建立實施,網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力顯著提升,網(wǎng)絡(luò)安全綜合防控體系基本形成。
02?深入貫徹實施國家網(wǎng)絡(luò)安全等級保護制度
深化網(wǎng)絡(luò)定級備案工作。全面梳理包括云計算、物聯(lián)網(wǎng)、新型互聯(lián)網(wǎng)、大數(shù)據(jù)、智能制造等新技術(shù)應(yīng)用在內(nèi)的運營者全部網(wǎng)絡(luò)情況,科學(xué)確定保護等級,依法向公安機關(guān)備案。行業(yè)主管部門依據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》國家標(biāo)準(zhǔn),結(jié)合行業(yè)特點制定行業(yè)網(wǎng)絡(luò)安全等級保護定級指導(dǎo)意見。
定期開展網(wǎng)絡(luò)安全等級測評。對已定級備案網(wǎng)絡(luò)的安全性進行檢測評估,第三級以上網(wǎng)絡(luò)運營者委托符合國家有關(guān)規(guī)定的等級測評機構(gòu)每年開展網(wǎng)絡(luò)安全等級測評。公安機關(guān)加強對本地等級測評機構(gòu)的監(jiān)督管理,確保等級測評過程客觀、公正、安全。
科學(xué)開展安全建設(shè)整改。運營者在網(wǎng)絡(luò)建設(shè)和運營過程中應(yīng)同步規(guī)劃、同步建設(shè)、同步使用網(wǎng)絡(luò)安全保護措施,可通過網(wǎng)絡(luò)遷移上云或網(wǎng)絡(luò)安全服務(wù)外包方式充分利用網(wǎng)絡(luò)安全服務(wù)商提升網(wǎng)絡(luò)安全保護能力。
強化安全責(zé)任落實。按照“誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)”的原則,厘清網(wǎng)絡(luò)安全保護邊界,建立網(wǎng)絡(luò)安全等級保護工作責(zé)任制。
加強供應(yīng)鏈安全管理。加強網(wǎng)絡(luò)關(guān)鍵人員的安全管理,采購、使用符合國家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品及服務(wù)。
落實密碼安全防護要求。第三級以上網(wǎng)絡(luò)運營者在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運行階段,按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn),在網(wǎng)絡(luò)安全等級測評中同步開展密碼應(yīng)用安全性評估
03?建立并實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度
組織認(rèn)定。組織公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)部門和主管、監(jiān)管部門制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則并報公安部備案。組織認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施,及時將認(rèn)定結(jié)果通知相關(guān)設(shè)施運營者并報公安部。符合認(rèn)定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等重點保護對象均應(yīng)納入關(guān)鍵信息基礎(chǔ)設(shè)施。
明確職能分工。公安部負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的頂層設(shè)計和規(guī)劃部署,保護工作部門負(fù)責(zé)對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的組織領(lǐng)導(dǎo)。
重點措施。關(guān)鍵信息基礎(chǔ)設(shè)施運營者組織開展具體工作,開展安全建設(shè)和等級測評,梳理網(wǎng)絡(luò)資產(chǎn),建立資產(chǎn)檔案,強化核心崗位人員管理、整體防護、監(jiān)測預(yù)警、應(yīng)急處置、數(shù)據(jù)保護等重點保護措施,積極利用新技術(shù)開展網(wǎng)絡(luò)安全保護。
數(shù)據(jù)和個人信息保護。加強重要數(shù)據(jù)和個人信息保護,在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)在境內(nèi)存儲。
核心崗位人員和產(chǎn)品服務(wù)。強化核心崗位人員和產(chǎn)品服務(wù)的安全管理,采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),采購產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)按照國家有關(guān)規(guī)定通過安全審查,確保供應(yīng)鏈安全。
04?加強網(wǎng)絡(luò)安全保護工作協(xié)作配合
行業(yè)主管部門、網(wǎng)絡(luò)運營者與公安機關(guān)密切協(xié)同。
加強網(wǎng)絡(luò)安全立體化監(jiān)測體系建設(shè),對關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)等開展實時監(jiān)測。加強網(wǎng)絡(luò)新技術(shù)研究和應(yīng)用,研究繪制網(wǎng)絡(luò)空間地理信息圖譜(網(wǎng)絡(luò)地圖)。行業(yè)主管部門、網(wǎng)絡(luò)運營建設(shè)本行業(yè)、本單位的網(wǎng)絡(luò)安全保護業(yè)務(wù)平臺,建設(shè)平臺智慧大腦,與公安機關(guān)平臺對接,形成條塊結(jié)合、縱橫聯(lián)通、協(xié)同聯(lián)動的綜合防控大格局。重點行業(yè)、網(wǎng)絡(luò)運營者和公安機關(guān)建設(shè)網(wǎng)絡(luò)安全監(jiān)控指揮中心,建立常態(tài)化、實戰(zhàn)化的網(wǎng)絡(luò)安全工作機制。
加強網(wǎng)絡(luò)安全信息共享和通報預(yù)警。依托國家網(wǎng)絡(luò)與信息安全信息通報機制,加強各行業(yè)、各部門網(wǎng)絡(luò)安全信息通報能力建設(shè)。
加強網(wǎng)絡(luò)安全應(yīng)急處置機制建設(shè),定期開展應(yīng)急演練,配合公安機關(guān)每年組織開展的網(wǎng)絡(luò)安全監(jiān)督檢查、比武演習(xí)等工作。
加強網(wǎng)絡(luò)安全事件處置和案件偵辦和行政執(zhí)法,公安機關(guān)建立掛牌督辦制度,針對網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全工作不力、發(fā)生重大網(wǎng)絡(luò)安全案事件的掛牌督辦。
05?加強網(wǎng)絡(luò)安全工作各項保障
加強組織領(lǐng)導(dǎo),將網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作列入各部門重要議事日程,研究解決網(wǎng)絡(luò)安全機構(gòu)、人員、經(jīng)費、建設(shè)等重大問題,明確本單位主要負(fù)責(zé)人是網(wǎng)絡(luò)安全的第一責(zé)任人,成立網(wǎng)絡(luò)安全專門機構(gòu)抓落實。
扶持重點網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目,支持網(wǎng)絡(luò)安全技術(shù)研究開發(fā)和創(chuàng)新應(yīng)用,推動網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展。
健全完善網(wǎng)絡(luò)安全考核評價制度,將網(wǎng)絡(luò)安全工作納入考核評價體系。
加強技術(shù)攻關(guān),調(diào)動網(wǎng)絡(luò)安全企業(yè)、科研機構(gòu)、專家等社會力量積極參與網(wǎng)絡(luò)安全核心技術(shù)攻關(guān)。加強網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標(biāo)準(zhǔn)制定工作,加強標(biāo)準(zhǔn)宣貫和應(yīng)用實施,建設(shè)試點示范基地,促進我國網(wǎng)絡(luò)安全產(chǎn)業(yè)和企業(yè)的健康發(fā)展。
加強人才培養(yǎng),通過組織開展比武競賽等形式,發(fā)現(xiàn)選拔高精尖技術(shù)人才,建設(shè)人才庫,建立健全人才發(fā)現(xiàn)、培養(yǎng)、選拔和使用機制,為做好網(wǎng)絡(luò)安全工作提供人才保障。