通力法评 | 等保2.0要点概览及合规建议
作者:通力律师事务所 潘永建 | 邓梓珊
注: 本篇文章独家授权威科先行法律信息库发布, 欢迎微信个人用户转发; 未经许可, 微信公众号不得转载。
2019年5月13日, 在征求意见稿公开近两年半之后, “等保2.0”国家标准正式公布, 并将于2019年12月1日起正式实施。与1.0版本相比, 等保2.0作出了较大幅度的修改, 强调主动防御保护机制, 并实现保护对象全覆盖。本文将对等保2.0体系下的网络安全等级保护制度进行解读, 分析前后版本的差异, 为企业网络安全等级保护的合规工作提出建议。
一. 等保2.0的前世今生
“等保2.0”全称为《信息安全技术•网络安全等级保护基本要求》(GB/T 22239-2019)。从2008年到2017年, 中国的网络安全等级保护技术主要应用的是“等保1.0”版本(《信息安全技术•信息系统安全等级保护基本要求》(GB/T 22239-2008))。
随着社会的快速发展, 网络已经从单纯的计算机信息系统逐步扩展至云计算、移动互联、物联网、大数据等多个领域, 原有的计算机信息系统安全等级保护制度已经不能完全涵盖前述领域。因此, 从2014年3月开始, 由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作, 并从2015年开始陆续对外发布草稿、征集意见稿, 之后便开始有了“等保2.0”的叫法。随着2016年《网络安全法》公布, 全国信息安全标准化技术委员会秘书处于同年11月3日公布了《信息安全技术•网络安全等级保护基本要求(征求意见稿)》(“征求意见稿”), 以求与新的网络环境、新的网络治理法律体系配套。如今, 等保2.0即为该征求意见稿的正式发布版本。
等保2.0体系中还包括《信息安全技术•网络安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术•网络安全等级保护安全设计技术要求》(GB/T 25070-2019)等国家标准。
二. 法律效力提升
根据等保1.0、等保2.0的引言以及制定/修改依据, 前后两个版本所参照的规范性文件完全不同。以国务院行政法规(《计算机信息系统安全保护条例》)为顶层设计, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同发布的部门规范性文件《信息安全等级保护管理办法》确立核心体系的“信息安全等级保护”为等保1.0时代; 以《网络安全法》、《保守国家秘密法》等法律为顶层设计的等保2.0, 其核心体系将是《网络安全等级保护条例》(已于2018年6月发布征求意见稿)。
无论是自身法律效力亦或法律依据的效力位阶, 等保2.0均高于等保1.0, 等保1.0到2.0不仅仅是制度修订, 技术的升级, 更是法律效力的提升。
三. 保护对象范围扩大
等保1.0主要应用于传统架构下的信息系统安全, 而2.0版本的保护范围将从“信息系统”扩展为“网络空间”, 且将云计算、大数据、物联网、工业控制系统等新兴技术和应用场景纳入了等级保护范围。相较于征求意见稿, 等保2.0不再针对不同等保对象制定五个单独标准, 而是对所有等保对象采用统一标准, 而针对不同等保对象采用序号标识增加扩展要求, 具体包括: 安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。各扩展部分的内容亦有所精简。
对应《信息安全技术•网络安全等级保护定级指南》, 定级对象也根据上述扩展要求进行了细化:
1. 云计算平台方面, 定级对象分为服务的提供方和租户方;
2. 物联网方面, 感知、网络传输和处理应用等特征因素不单独定级, 将作为一个整体进行评定;
3. 移动互联方面, 移动终端、移动应用、无线网络、相关有线网络业务系统等也将统一定级;
4. 大数据方面, 安全责任主体相同的平台和应用将整体定级, 除此之外为单独定级。
四. 保护思路变化
等保1.0的保护重点更多的关注系统、人员、物理环境的安全, 而等保2.0的保护重点已经变更为围绕数据、网络、系统、人员的网络空间体系的安全。在等保2.0的要求中, 已经没有“技术要求”、“管理要求”的表述。可以预见, 在未来的网络安全建设中技术、管理将深度融合。在我们接受企业关于网安数据合规咨询时也发现, 企业网络安全管理人员不懂技术是寸步难行的, 而技术人员不懂管理亦是无法挑起网安合规重任的。如何有效搭建网络安全管理体系, 选定符合资质要求的人员进行运维管理将成为企业网络安全合规的关键。
对比等保1.0, 等保2.0更为强调了安全运维的概念: 在传统的资产管理、设备运维的基础上, 将安全运维的范畴扩充到了安全事件的响应和高级安全威胁的发现, 如果考虑到定期的审计和有效性验证, 安全运维的范畴将进一步扩充。所以我们可以看到, 等保2.0中所提到的安全运维的概念正在逐步向安全运营的概念转变。
五. 定级与测评要求变化
等级保护是我国信息安全保障的基本制度, 是对网络和信息系统按照重要性等级分级别保护的一种制度。安全保护等级越高, 要求安全保护能力就越强, 既不能保护不足, 也不能过度保护。
等保2.0体系定级要素与安全保护等级的关系
相比等保1.0要求企业进行“自主定级, 自主保护”, 等保2.0将定级模式修改为“申请批准”。企业应以书面形式说明保护对象的安全保护等级以及确定等级的方法和理由, 并组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定, 最终报定级结果经过相关部门的批准。
此外, 对于基础信息网络、云计算平台、大数据平台等支撑类网络, 其安全保护等级原则上应不低于其承载的等级保护对象的安全保护等级。按照这一原则, 大数据安全保护等级不低于第三级; 对于关键信息基础设施, 原则上其安全保护等级不低于第三级。
六. 安全管理机构岗位设置及职能
等保1.0、等保2.0均在“安全管理机构”部分提出了设立网络安全管理工作职能部门的要求, 且要求应设立安全主管、安全管理各个方面负责人的岗位, 定义各负责人的职责。在等保2.0中, 主要岗位由“系统管理员”“网络管理员”以及“安全管理员”变更为“系统管理员”“审计管理员”和“安全管理员”, 并做出了进一步细化。例如, 在新增控制点“安全管理中心”部分, 对前述岗位人员的职责、系统接入权限和工作规范设置详细要求:
1. 系统管理
a) 应对系统管理员进行身份鉴别, 只允许其通过特定的命令或操作界面进行系统管理操作, 并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理, 包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
2. 审计管理
a) 应对审计管理员进行身份鉴别, 只允许其通过特定的命令或操作界面进行安全审计操作, 并对这些操作进行审计;
b) 应通过审计管理员对审计记录进行分析, 并根据分析结果进行处理, 包括根据安全审计策略对审计记录进行存储、管理和查询等。
3. 安全管理
a) 应对安全管理员进行身份鉴别, 只允许其通过特定的命令或操作界面进行安全管理操作, 并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置, 包括安全参数的设置, 主体、客体进行统一安全标记, 对主体进行授权, 配置可信验证策略等。
七. 新增“个人信息保护”要求项
等保2.0中新增了个人信息保护的要求。随着欧盟《通用数据保护条例》(GDPR)的出台以及近期个人信息安全事件频发, 个人信息保护已经成为执法部门关注的重点。值得企业注意的是, 公安部网络安全保卫局、北京网络行业协会、公安部第三研究所于2019年4月10日联合发布了《互联网个人信息安全保护指南》(“《指南》”)在技术要求方面较大程度借鉴了等保1.0、等保2.0的内容。该《指南》是公安机关结合其办理大量真实案例的执法经验, 并基于监管过程中掌握的情况而制定的, 其不仅可供企业在个人信息保护工作中参考使用, 亦可供网络安全监管职能部门依法进行个人信息保护监督检查时参考使用。因此, 虽然关于个人信息保护的部分在等保2.0中只有寥寥几语, 但严格按照等保技术要求落实个人信息保护仍应引起企业的重视。(关于《指南》的内容及其影响, 详见通力法评文章《<互联网个人信息安全保护指南>简评》)
八. 其他主要变化
以《信息安全技术•网络安全等级保护基本要求》及《信息安全技术•信息系统安全等级保护基本要求》规定的三级要求为例, 我们概括等保2.0的新要求如下。
结语
等保2.0公布后, 与其他制度一起共同构建了中国网络安全等级保护体系。
随着网络安全法执法的深入,网安及等保合规已不仅仅是跨国公司的关注重点, 国内企业也日益重视这一领域的合规工作。
以国有企业为例, 去年WannaCry蠕虫病毒在全球范围大爆发, 在数小时内影响近150个国家, 政府机关、高校、医院都纷纷中招。国家政府、教育、医院、能源、通信、交通等诸多关键信息基础设施对社会稳定运行起关键性作用, 但也极易成为不法分子攻击的目标。
随着与中国国企、政企、事业单位有关的网络安全事件频发, 国有资产监督管理委员会(“国资委”)在2019年4月1日生效的《中央企业负责人经营业绩考核办法(2019修订)》中增加了一个全新的业绩考核指标——网络安全事件, 以建立重大事项报告制度等为主要表现。企业法定代表人及相关负责人违反国家法律法规和规定, 导致发生较大及以上网络安全事件, 造成重大不良影响或国有资产损失的, 国资委将视具体情节给予降级或扣分处理。
在此背景下, 央企需要关注跟进等保2.0的新要求, 及时开展等级保护工作; 同时应确定网络安全负责人, 落实网络安全保护责任。关键信息基础设施单位需要额外做好重要系统和数据库的容灾备份工作。
联系人:
往期分享
通力法评 | 监管思路也需因势而变——简评App安全认证制度及应对建议
通力法评 | 简评《互联网个人信息安全保护指引(征求意见稿)》
通力法评 | 人类遗传信息和健康信息出境的公共安全和知识产权限制
通力法评 | 工信部推进《网络安全法》落地措施之一——简评工信部《2018年电信和互联网行业网络安全检查工作的通知》
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!