等保2.0国家标准颁布,看十大“硬核”变化
引言
”2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(“《等保基本要求》”)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)三个网络安全领域的国家标准,共同构筑新时代的网络安全等级保护制度,标志着等保2.0的正式到来。
一
等保1.0迈入等保2.0时代
等保1.0以1994年发布并于2011年修订的《中华人民共和国计算机系统安全保护条例》[1]为开端,广泛应用于各行业指导企业开展信息系统安全等级保护的建设整改、等级测评等工作。2016年6月1日正式实施的《中华人民共和国网络安全法》规定“国家实行网络安全等级保护制度”[2],明确了网络安全等级保护制度的法律地位,也拉开了等保2.0的序幕。相应地,2018年公安部发布《网络安全等级保护条例(征求意见稿)》,深入推进实施网络安全等级保护制度。而本次《等保基本要求》等三个国家标准的正式颁布,更是顺应当前加强网络安全的国家要求,结合云计算、移动互联、物联网、工业控制和大数据等新技术新应用开展综合治理、系统监管、主动防控的等保2.0时代。
网络安全等级保护制度法律框架
类别 | 等保1.0体系 | 等保2.0体系 |
法律 | 无 | 《中华人民共和国网络安全法》 《中华人民共和国保守国家秘密法》 |
行政 法规 | 《中华人民共和国计算机信息系统安全保护条例》 | 《网络安全等级保护条例(征求意见稿)》 |
部门 规章 | 《信息安全等级保护管理办法》(公通字[2007]43号) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) | / |
国家 标准 | 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010) 《信息安全技术 信息系统安全等级保护测评准则》 | 《计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准) 《信息安全技术 网络安全等级保护实施指南》(GB/T 25058)(正在修订) 《信息安全技术 网络安全等级保护定级指南》(GB/T 22240)(正在修订) 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019) 《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018) 《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018) |
通过以上对比可知,现行网络安全等级保护体系(即等保2.0体系)相较等保1.0顶层设计与法律位阶均有所提升,顺应了“没有网络安全就没有国家安全”[3]的新时期新网络安全形势。
变化一
等保对象及适用范围两个全覆盖
等保1.0 | 等保2.0 | 评析 | |
保护 对象 | 信息系统 | 基础信息网络 云计算平台/系统 大数据应用/平台/资源 物联网(IoT) 工业控制系统 采用移动互联技术的系统 | 适应新技术的发展,将云计算、移动互联、物联网、工业控制系统等新兴技术和应用场景纳入了等级保护范围,构成“安全通用要求+新型应用安全扩展要求”,覆盖所有保护对象。 |
适用 范围 | / | 各地区、各单位、各部门、各企业、各机构。 | 除个人及家庭自建自用的网络外,适用范围覆盖全社会。 |
变化二
主动防控的管控思路
等保2.0仍遵循五个安全保护等级的划分,基本沿用等保1.0对不同级别的安全保护能力的描述,但在二级以上的安全保护能力的表述上,增加了对安全事件的处置;在三级以上的安全保护能力的表述上,增加对攻击行为的监测,均体现了等保2.0进行主动防控的特点。有可能被定级为二级或三级以上的网络运营者,应加强对安全事件的处置管理,开展对攻击行为的监测。
安全保护能力等级 | 等保1.0 | 等保2.0 |
第一级 | 应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 | 除将等保1.0中的“系统”替换为“自身”外,无变化: “在自身遭到损害后,能够恢复部分功能。” |
第二级 | 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾害、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。 | 除将等保1.0中的“系统”替换为“自身”外,另增加“处置安全事件”的表述: “能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。” |
第三级 | 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 | 除将等保1.0中的“系统”替换为“自身”外,另增加“监测攻击行为和处置安全事件”的表述: “能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。” |
第四级 | 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。 | 除将等保1.0中的“系统”替换为“自身”外,另增加“监测攻击行为和处置安全事件”的表述: “能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。” |
第五级 | 略[4] | 略 |
变化三
优化安全通用要求
等保1.0中的安全通用要求共计10项,技术要求和管理要求各占5项。等保2.0较之于等保1.0,同样规定了10项安全通用要求,技术要求和管理要求依旧各占5项,但是在具体架构上进行了整合,并调整了相应名称,具体如下:
等保1.0 | 等保2.0 | 评析 | |
技术 要求 | 物理安全 | 安全物理环境 | 等保2.0在技术要求上进行架构的调整,将原“网络安全”的内容拆分为“安全通信网络”、“安全区域边界”的两个部分,并将“主机安全”、“应用安全”、“数据安全及备份恢复”整合到“安全计算环境”中,同时新增“安全管理中心”的要求。 此外,等保2.0管理要求架构上沿袭等保1.0的规定,仅对名称进行了微小调整。 |
网络安全 | 安全通信网络 | ||
安全区域边界 | |||
主机安全 | 安全计算环境 | ||
应用安全 | |||
数据安全及备份恢复 | |||
/ | 安全管理中心 | ||
管理 要求 | 安全管理制度 | 安全管理制度 | |
安全管理机构 | 安全管理机构 | ||
人员安全管理 | 安全管理人员 | ||
系统建设管理 | 安全建设管理 | ||
系统运维管理 | 安全运维管理 |
变化四
新增安全扩展要求
相较于征求意见稿,本次正式发布的等保2.0在整体框架上存在较大变化,不再将安全通用要求与针对云计算、移动互联、物联网、工业控制和大数据[5]等不同等保对象的安全扩展要求分列为六个单独的标准,而是按照不同等级要求分列各等级下各新技术新应用应当满足的控制点要求,作为新增的安全扩展要求进行规定。我们将各等保对象不同等级的安全扩展要求逐一作了对比,各控制点要求逐级增加[6],具体内容如下:
安全要 求等级 | 云计算 | 移动 互联 | 物联网 | 工业控 制系统 | 大数据 |
第一级 | 安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全建设管理 | 安全物理环境 安全区域边界 安全计算环境 安全建设管理 | 安全物理环境 安全区域边界 安全运维管理 | 安全物理环境 安全通信网络 安全区域边界 安全计算环境 | 安全通信网络 安全计算环境 安全建设管理 |
第二级 | 相较第一级,增加: 安全运维管理 | 同第一级 | 同第一级 | 相较第一级,增加: 安全建设管理 | 相较第一级,增加: 安全物理环境 安全运维管理 |
第三级 | 相较第二级,增加: 安全管理中心 | 相较第一级及第二级,增加: 安全运维管理 | 相对于第一级及第二级,增加: 安全计算环境 | 同第二级 | 同第二级 |
第四级 | 同第三级 | 同第三级 | 同第三级 | 同第二级及第三级 | 同第二级及第三级 |
变化五
强化可信计算
《网络安全法》第十六条规定“推广安全可信的网络产品和服务”[7]。《网络安全等级保护条例(征求意见稿)》第十四条也规定“国家鼓励……采取主动防御、可信计算、人工智能等技术”。等保2.0中增加“可信验证”的控制点,亦是对上述法律法规的具体回应。本次等保2.0新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,例如第四级安全保护能力等级要求可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。这也体现了等保2.0主动防控、动态防控的管控思路。
变化六
新增“安全管理中心”控制点
等保2.0对二级以上安全要求增加了“安全管理中心”的新控制点,以此将“系统管理员”、“审计管理员”、“安全管理员”等人员职责逐一落实到技术层面上。其中第二级安全要求仅包括系统管理和审计管理两个方面,而第三级和第四级均要求系统管理、审计管理、安全管理、集中管控四个方面全方位覆盖,具体如下:
控制点 | 等级要求 | 安全要求 | |
系统管理 | 第二级 | 第三级及第四级 | 1) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; 2) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 |
审计管理 | 1) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; 2) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | ||
安全管理 | / | 1) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; 2) 应通过安全管理员对系统的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 | |
集中管控 | / | 1) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; 2) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; 3) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; 4) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; 5) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; 6) 应能对网络中发生的各类安全事件进行识别、报警和分析; 7) 应保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的一致性。(第四级特殊要求) |
变化七
增加“个人信息保护”控制点
等保2.0新增了“个人信息保护”的控制点,以第三级安全要求为例,包括:(1)应仅采集和保存业务必需的用户个人信息;(2)应禁止未经授权访问和非法使用用户个人信息。虽然等保2.0对“个人信息保护”仅做简要表述,但毋庸置疑的是,个人信息保护是网络安全等级保护的重要制度。近期,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,开展个人信息专项治理工作,个人信息的监管风险日益加重。相应地,企业应当依据《网络安全法》及其配套法律法规对个人信息保护相关规定,开展个人信息保护合规治理工作。
变化八
调整管理制度、机构、人员的控制点
等保2.0调整了安全管理制度、机构、人员的控制点,以第三级安全要求为例:
控制点 | 等保2.0 |
安全管理制度 | 管理制度方面,应形成安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系; 将记录表单纳入安全管理制度体系,突出记录和可追溯的作用; 制定和发布方面,取消对安全管理制度的论证和审定,简化发布流程; 评审和修订方面,取消由信息安全领导小组负责的要求。 |
安全管理机构 | 在岗位设置方面,将表述调整为“成立指导和管理网络安全工作的委员会或领导小组,最高领导由单位主管领导担任或授权”,具体要求不受影响; 人员配备方面,取消“关键事务岗位配备多人共同管理”的规定; 授权和审批方面,取消“审批文档的记录和保存”; 沟通和合作方面,不再要求聘请信息安全专家作为常年完全顾问。 |
安全管理人员 | 取消人员考核的要求; 对外部人员的访问管理设置更加具体的管理规定,包括外部人员介入受控网络访问系统的审批控制及离场后的清除访问权限。 |
变化九
定级及测评方式变化
等保1.0要求企业进行“自主定级、自主保护”。等保2.0下加强了主管部门审核及第三方专家评审的作用,某种程度上改变定级方式可能改变目前企业疏于等保定级的现状,增加更多的强制性和必要性。同时,等保1.0对于第四级系统每半年进行一次测评的要求,变为每年进行一次测评,与第三级系统的测评要求保持一致。等保2.0的具体定级流程及具体实施流程如下:
第一步 | 第二步 | 第三步 | 第四步 | 第五步 |
确定定级对象 | 自主定级并书面论证 | 专家论证和审定 | 主管部门批准 | 公安机关备案审查 |
变化十
各方职责分工
环节 | 企业 | 主管部门 |
定级 | 确定等级保护对象,确定安全保护等级,编制定级备案材料。 | 审查定级方法、工作过程、内容、结论等是否符合规定;组织专家对等级保护对象的定级情况进行评审。 |
备案 | 整理备案材料,向属地公安机关网安部门备案。 | 受理备案,实施备案审核,发放备案证明。 |
建设 整改 | 依据等级保护国家标准和行业标准,开展安全技术和管理体系建设。 | 组织专家对等级保护对象的建设方案进行评审;审查等级保护对象的安全建设整改工作;对关键信息基础设施的安全建设工作重点审查。 |
等级 测评 | 定期选择公安部公布的全国等级保护测评推荐目录中具有资质的测评机构,开展等级测评工作。 | 审查等级保护对象等级测评工作是否符合规定;对关键信息基础设施实行重点审查。 |
监督 检查 | 接受并配合公安机关、上级主管部门的监督检查;定期开展安全自查工作。 | 定期针对等级保护对象开展网络安全执法检查;关键信息基础设施实施重点保护。 |
二
企业合规建议
明确落入等级保护的范围
由于等级保护对象及范围的全覆盖性,大部分企业的内部网站及信息系统,对外的网站、应用程序都会被纳入等级保护的范围。企业应当盘点自身业务是否涉及运营云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等,并及时将上述系统纳入网络安全等级保护工作范畴。
尽快开展等级保护合规工作
我国日益加强对网络安全违法违规活动的执法,2018年公安部组织开展安全监督检查14.4万家次,发现整改安全风险、管理问题等134.6万处,依法查处互联网企业3.4万余家次[8]。近期,江苏泰州某事业单位就因不履行网络安全保护义务而受到查处[9]。鉴于网络安全执法的严峻态势,建议相关企业尽快开展等级保护合规工作,建立企业内部管理制度、安全技术措施,设置相应的管理机构和管理人员,开展等保定级、备案、测评、整改等一系列合规工作。
开展网络安全整体合规工作
除积极开展网络安全等级保护工作外,企业还应当重视《网络安全法》及其配套法律法规构建的系统性的网络安全相关义务,主要包括:
落实网络安全等级保护制度;
履行网络运营者网络安全保护义务;
关键信息基础设施认定和网络安全保护义务的履行;
个人信息和重要数据的保护;
数据本地化存储和跨境数据传输的安全评估;
落实网络产品和服务的网络安全审查制度;
网络传播内容的管理;
落实《网络关键设备和网络安全专用产品目录》及安全认证检测制度。
若相关企业违反上述法律要求,可能引发民事侵权、行政处罚,甚至是刑事责任。因此,我们建议相关企业可以开展整体的网络安全和数据保护合规工作,以防范上述风险。建议企业尽快着手实施网络安全与数据保护的整体合规工作,对企业目前的合规现状进行摸底评估,有效识别相应法律风险,并针对合规漏洞建立健全整体的合规体系。对于企业而言,有效的系统合规梳理工作包括合规现状尽职调查与差距分析、风险识别及合规建议、合规方案的实施和优化三个阶段,做到组织、流程、制度和培训各环节环环相扣,同时应当与企业所在行业、产品及服务的特性有针对性的落实相关合规义务。
为帮助企业更好的理解中国复杂的执法监管环境,更有效的降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,希望对企业的合规工作有所帮助。
【注]
[1] 《中华人民共和国计算机系统安全保护条例》第九条规定,“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”
[2] 《中华人民共和国网络安全法》第二十一条规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)…(五)。”
第三十一条规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”
[3] 人民网:“习近平谈网络安全:没有网络安全就没有国家安全”,http://cpc.people.com.cn/xuexi/n1/2018/0817/c385476-30234135.html,2019年5月22日访问。
[4] 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)注:“第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在本标准中进行描述。”
[5]《等保基本要求》附录H规定了大数据的安全控制措施内容。
[6]该表仅对比核心控制点,对于控制点相同的不同等级具体要求有所区别。
[7] 《中华人民共和国网络安全法》第十六条规定,“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”
[8] 中华人民共和国公安部官网:“公安部‘净网2018’专项行动取得显著成效”,http://www.mps.gov.cn/n2253534/n2253535/c6422823/content.html,2019年5月20日访问。
[9]江苏网警:“江苏网警发布‘净网2019’专项行动执法典型案例(二)”,https://mp.weixin.qq.com/s/ZRKmO-hJfFojZcXl3TjBxA?scene=25#wechat_redirect,2019年5月20日访问。
End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
韩璐 律师
北京办公室 知识产权部
刘洋 律师
北京办公室 知识产权部
作者往期文章推荐:
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。