《中华人民共和国网络安全法》已颁布一周年有余(以下简称“网安法”),作为国家网络安全的顶层设计,为国家今后的网络安全指明方向。与此同时,相应的配套法律已陆续在酝酿当中,而由公安部主导的《网络安全等级保护条例》这个配套法律目前已经在征求各方意见。
如果说网安法布置了国家网络安全的大战略方向,则《网络安全等级保护条例》是对网安法第二十一条的战术布置。
“国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求……”,网安法首次将等级保护标准提升为等级保护制度。
自此,确立等级保护制度作为国家对企业安全的主要判断依据,《网络安全等级保护条例》将其制度的强制性灌入等保体系中并加以完善。
笔者仔细阅读过《网络安全等级保护条例》的征求意见稿,想在这里针对保护条例的一些关键点进行浅显的解读。
《网络安全等级保护条例》第五条
确立了多个监管结构协同执行等级保护条例的基础,如下表:
解读:《网络安全等级保护条例》指出,今后对于网络安全的执法将会进行每年一次或多次的网络安全保卫专项行动,并且执法行动是网信部门和公安部门双牵头,多部门介入的模式。
对于企业来说,等保制度体系的安全工作可能会面临一个制度,双线汇报的情况,需要提前安排足够的资源配合双牵头,多部门介入的联合执法。
《网络安全等级保护条例》第六条
“网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作……”
解读:再次强调了遵守等级保护制度是企业的责任也是义务,如果自身网络或系统未进行备案-测评-整改,则视为违法,公安部门有权予以处罚。
《网络安全等级保护条例》第十五条
第三项“第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。”
解读:此项对网络定级的规则进行了修改,条例缩小了等保二级的范围,扩大了等保三级的定级范围。
解读:何为“对公司,法人和其他组织的合法利益受到特别严重损害”呢?
简单来说,就是系统的数据被泄露,被篡改或者系统瘫痪,你的老板或合作伙伴将遭受巨额的损失,因系统的损坏不涉及国家利益,社会秩序和公共利益,按照新颁布的制度条例,需被定义为三级系统。
换句话说,此番改动,彻底抹掉了之前二三级之间的“灰色地带”。对于企业的系统来说,只要是主营业务,不管受众群体的范围,都应被规划为三级系统。
《网络安全等级保护条例》第十九条
“公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。”
解读:此项明确规定备案定级由公安部门审核,侧面否定了企业原有的自主定级权,企业可以自主定级,但没有最终定级审批权。
《网络安全等级保护条例》第二十一条
“依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;”
解读:此项明确了个人信息的保护正式纳入等保的检查范围,如果在检查过程中发现企业违反条例的第二十一条和第三十一条,笔者认为惩罚力度足够大(处罚违法所得1-10倍罚款,100万以下罚款,直接负责人1-10万元,情节严重的可勒令停业整顿、吊销执照)。
对于企业来说,应当首先对个人信息的使用场景进行梳理,并梳理个人数据在本公司的生命周期并检查现有的保护措施是否等保要求。
但是,基于个人信息在企业中复杂的使用场景以及模糊的个人信息边界,如何梳理?如何防护?如何检查?这些问题绝非一朝一夕能够解决,无论对于审核人员和安全管理者都是一个任重而道远的任务。
《网络安全等级保护条例》第三十一条
第一款:“网络运营者应当建立并落实重要数据和个人信息安全保护制度……,保障重要数据的完整性、保密性和可用性。”和第三十条第二款:“未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。”
解读:此条例,再次强调了企业对于个人信息保护的责任并重申了个人信息从收集,存储,使用和处理的法律约束。
就像笔者上文中提到的,企业中个人信息保护是一个“任重而道远”的任务。
但至少,企业目前应当满足法律法规的最低标准,从而避免处罚。至少,应当有隐私政策的展示;至少,不能非法爬取个人数据;至少,用户的密码,银行卡号,手机号应当加密传输和存储;至少,不能将个人数据擅自泄露给第三方,等等。
这些,笔者看来,这些“最低标准”不应当来自法律法规,应该是企业本身的社会责任。
《网络安全等级保护条例》第二十二条
第一款“新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。”第二款“新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。”
解读:此条明确了新建三级以上系统上线前优先进行等保测评,通过等级测评后方可投入运行。
对于企业来说,新上线的主营系统建议不要抱有侥幸心理,因为第二十二条配有处罚措施,而且是“从重处罚”。换句话说,之前的系统可以后补等保测评,因为没有对应的惩罚措施。
现在的保护条例中,明确了如果没有等保的手续,如果被发现很有可能面临处罚。(企业罚款10-100万,直接负责人罚款1-10万)
《网络安全等级保护条例》第二十五条
“网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。”
解读:此项条例要求企业每年进行一次自查,并向备案的公安机关报告。三级网络每年做测评可以看做一次自查。对二级网络来说,可能会每年要向公安机关提交一份自查报告,实际上是对二级网络要求进行了补充增强。
结语
笔者只解读了《网络安全等级保护条例》中企业应当重点关注的一小部分,条例的内容还包括分级保护,密码管理,监督管理等其他方面,在强化企业安全的责任和义务的同时,也同样规定了行业主管部门和各级人民政府的责任,例如“将网络安全等级保护工作纳入绩效考核评价”。
《中华人民共和国网络安全法》体现了国家意志,不以任何个人和公司为转移,而相关配套的法律的相继颁布,预示着外部监管将会越来越强,越来越深入企业内部。
作为企业的安全管理者,除了安排足够的合规资源,更要通过外部压力转化为内部的安全动力,提升自身的硬实力,才是一个双赢的新局面。
点击阅读《网络安全等级保护条例》