查看原文
其他

通力法评 | 企业如何落实网络安全等级保护制度?

通力律师 2020-09-17

作者:通力律师事务所   潘永建 | 李天航 | 朱晓阳


How Should Companies Implement Graded Network Security Protection?

(Summary)


David Pan, Tianhang Li, Nigel Zhu


I.  The Predecessor of GNSP.

The GNSP is an upgrade of the “graded computer information system security protection system” dated back to 1994. In promulgating the CSL, the provisions of GNSP are further confirmed, updated and upgraded in the CSL.

II.  Shall Companies Implement GNSP?

Unlike the prior rules, the CSL provides that all network operators shall have the obligations to implement the GNSP. Those who fail to implement the GNSP will face administrative penalties including ordered rectification and fines.

III.  How Should Companies Implement the GNSP?

The GNSP is difficult for a company to implement on its own. Companies are advised to engage professional and qualified assessment agent to assist with the implementation of the GNSP. In addition, companies themselves shall fulfill certain mandatory obligations imposed by law.

IV.  Reminders

1.  The company is ultimately responsible for the accuracy of the grading of its network system.

2.  Those network operators that are graded as level III and above shall conduct regular assessments.

3.  Network operators’ GNSP obligations are not fulfilled with network architectures such as SaaS. Even under such circumstances, companies are still obligated to implement the GNSP, and shall divide such obligations with the service providers based on the boundary of the relevant network.


2018年6月1日是中国《网络安全法》正式生效实施一周年之日。为帮助企业清晰理解网安法下企业的责任与义务, 通力律师事务所网络安全与数据服务团队从6月1日起陆续推出《<网络安全法>实务30问》系列双语指引, 通过对法律规定的解读, 结合典型实践案例, 深度剖析企业的责任与义务, 助力企业合规经营, 有效防范风险。

本篇为《<网络安全法>实务30问》系列双语指引的第二篇, 将对网络安全等级保护制度进行简要分析, 以期为相关人士提供参考


注: 《<网络安全法>实务30问》系列双语指引独家授权威科先行网络安全与数据合规模块在线发布。


企业如何落实网络安全等级保护制度?


一、网络安全等级保护制度的前身


网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》(下称《计算机安保条例》)最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部会同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 《网络安全法》确认并更新了等级保护(下称“等保”)制度的内容。同时, 相关配套的国家标准正在制定、修订或完善中。



二、企业有义务落实等级保护制度



不少企业认为, 网络安全等保制度与自己企业关系不大。在《网络安全法》正式施行前也许确实如此, 《计算机安保条例》第四条规定“计算机信息系统的安全保护工作, 重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”。但是, 与《计算机等保条例》有限的适用范围不同, 《网络安全法》规定网络运营者均负有实施网络安全等级保护制度的义务。并且, 《网络安全法》第五十九条明确规定, 未落实网络安全等级保护义务的“由有关主管部门责令改正, 给予警告; 拒不改正或者导致危害网络安全等后果的, 处一万元以上十万元以下罚款, 对直接负责的主管人员处五千元以上五万元以下罚款。”

《网络安全法》实施后, 公安机关对未履行网络安全等保义务的企业已开始实施处罚。例如, 2017年7月20日汕头警方对汕头市某信息科技有限公司处以警告并责令改正; 2017年7月22日, 四川省宜宾市警方对未开展等保相关工作、未落实等保义务造成网站发生被黑客攻击入侵网络安全事件的翠屏区教师培训与教育研究中心处一万元罚款, 其法定代表人唐某处五千元罚款。

公安机关作为网络安全的主管机关之一, 在《网络安全法》配套规定和国家标准逐步完善之后, 将对网络安全等级保护制度作为网络安全领域的重点工作予以推进。因此, 企业不应存有侥幸心理, 而应积极落实网络安全等级保护义务。


三、网络安全等级保护制度的落实



网络安全等级保护制度包括法律和技术制度, 企业仅靠自身力量实施等保义务的难度较大, 宜聘请专业的律所以及有资质的评测机构协助落实。对于法律明确要求的义务, 企业应当立即落实:

(1) 制定内部安全管理制度和操作规程, 确定网络安全负责人;
(2) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(3) 采取监测、记录网络运行状态、网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月;
(4) 采取数据分类、重要数据备份和加密等措施;


四、应当注意的问题


1.  定级由评测机构和专业机构说了算?

虽然聘请了专业的评测机构进行评测以帮助落实等保义务, 但是对于网络信息系统定级准确性的责任由企业承担。因此, 评测机构仅提出等级建议, 最终的级别需要企业正确把握。对于确定为第二等级以上的, 应当在等级确定后30日内向所在地设区的市级公安机关备案。

2.  一次等保抑或重复等保?

对定级为三级或三级以上的网络运营者而言, 等保评测与定级并非一劳永逸的事情, 三级网络运营者应当至少每一年进行一次评测和自查, 四级网络运营者应当至少每半年进行一次评测和自查。

3.  采取SaaS等网络构架和租用云服务的网络运营者不承担等保义务?

当前采取SaaS、PaaS、Issa等网络构架或者租用云服务或系统由他人托管的情况比较普遍, 在前述情况下企业仍然负有落实等保的法律义务, 应参照相关国家标准与网络服务商根据网络边界切分厘清双方责任。


《<网络安全法>实务30问》系列双语指引问题清单





联系人:


>


潘永建 律师

合伙人

通力律师事务所


>


李天航 

通力律师事务所



>


朱晓阳 

通力律师事务所



✎ 往期分享



通力法评 | 《<网络安全法>实务30问》系列双语指引——《网络安全法》体系下企业的责任与义务概览
通力法评 | 关于进一步规范货币市场基金互联网销售、赎回相关服务的指导意见
万成集团香港联合交易所主板上市
MS Group Holdings Limited’s Hong Kong Main Board Listing
通力法评 | 资管纠纷都在争什么, 资管新规后管理人如何应诉
通力业绩 | 祝贺AI独角兽商汤科技完成6.2亿美元C+轮融资


长按下图识别二维码关注我们


© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存