【网安创见】独家“揭秘”《关键信息基础设施安全保护条例》第二期 | 关基安全保护 VS 网络安全等保
编者按
近日,网络安全领域发生的头等大事,便是国务院总理李克强于日前签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),并自9月1日起施行。
关键信息基础设施是经济社会运行的神经中枢,直接关系到国家安全、国计民生和公共利益,是维护国家网络安全的重中之重,也是保障经济社会健康发展、维护公共利益和公民合法权益的基石。制定出台《条例》,建立专项保护制度,有利于进一步健全关键信息基础设施安全保护法律制度体系。
中国网安特推出《条例》相关专题,看网络安全国家队如何响应党中央、国务院关于关键信息基础设施安全保护工作。
01 关基条例发布的意义
《条例》规定,关键信息基础设施(以下简称“关基”)是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《条例》在《中华人民共和国网络安全法》确立的制度框架下,细化了相关制度措施,对关基运营者提出了一系列安全要求,出台《条例》旨在落实网络安全法有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力的法律保障。
众所周知,《中华人民共和国网络安全法》规定,国家实行网络安全等级保护制度。从1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》开始,等级保护工作在我国已经有20余年的实践,经历了从等保1.0到等保2.0的发展。
2018年6月27日,公安部官网发布了新的《网络安全等级保护条例(征求意见稿)》,以GBT 22239-2019《信息安全技术:网络安全等级保护基本要求》为核心的新的网络安全等级保护标准体系已陆续发布,等保2.0制度体系日趋完善。
尽管当前关基识别认定的标准和操作细则还有待完善,作为可能的关基运营者,如何处理好关基保护与网络安全等级保护的关系,如何做到既要求满足两者合规要求又能尽量避免重复性工作,本文将从两者比较分析和守法应对的角度进行了探讨。
02 关基与等保的比较分析
(一)适用范围
等级保护适用对象是网络安全运营者。网络安全运营者指网络的所有者、管理者和网络服务提供者,而网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
等级保护制度根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,把网络分为五个不同的安全保护等级。
其中第一级:一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
第五级:一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
其他等级介于两者之间。
因此,等级保护适用的范围很广。
而关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
因此,关键信息基础设施的界定范围比等保范围小,其特征就是一旦受到破坏会影响国家安全、国计民生、公共利益。
图1:关基与等保的范围
如图1所示,关键信息基础设施的界定范围在等级三级以上网络或信息系统范围内,其中等保五级的全部,等保三级和四级的部分,将被认定为关键信息基础设施。
(二)安全防护要求
网络安全等级保护制度有完整的国家标准支撑体系,其覆盖定级、要求、设计、测评、实施、测评机构能力等方方面面。且一些重要的行业领域已经制定了相应的行业实施细则,例如《金融业网络安全等级保护实施指引》(JR/T 0071-2020)。这些工作都为等保工作的开展提供了强有力的支撑。
等保系列国家标准列表如下:
GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》
GB/T 36958-2018《信息安全技术 网络安全等级保护安全管理中心技术要求》
GB/T 36959-2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》
GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》
《中华人民共和国网络安全法》规定,对于关键信息基础设施,要在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施安全保护应首先符合网络安全等级保护制度相关要求,在满足“合规性”防护的基础上,重点加强关键信息基础设施关键业务的风险识别能力、抗攻击能力、可恢复能力,确保关键信息基础设施业务稳定、持续运行,如图2所示。
图2:关基与等保的安全要求
关基保护基于等保又高于等保,关键信息基础设施保护增强的安全要求,主要体现在:
(1)运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查,并与网络产品和服务提供者签订保密协议。
(2)运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
(3)安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
(4)运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
(5)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;按照规定报告网络安全事件和重要事项。
(三)管理监督
对于等级保护,中央网络安全和信息化领导机构统一领导网络安全等级保护工作。
国家网信部门负责网络安全等级保护工作的统筹协调;
国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫;
国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理;
国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理;
国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作;
县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。
对于关基保护,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。
国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作;
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
图3:关基与等保的监督管理体系
关基和等保的监督管理体系如图3所示,公安部门和行业主管部门在网络安全和等级保护中起着直接的监督管理作用,密码部门和电信部门在各自职责范围内进行保护和监督,网信部门则是总体的统筹协调。关基和等保两者的监督管理体系高度重合。
03 关基保护和等级保护守法应对
作为可能的关基运营者,需要兼顾网络安全等级保护和关基保护合规义务。基于以上两者关系的分析,给出的关基保护应对建议如下:
(1)做好等级保护工作是基础。网络安全等级保护工作已经形成了完备的要求和完整的测评体系,是网络安全工作很好的起点。
(2)在等保基础上做好关基防护增量。关基保护的要求细则还在制定之中,但关基保护基于等保而不是替代等保,在等保基础上做好关保增量是正确路径。
(3)融合等保和关基防护要求,做到一套体系两处合规。
中国网安作为网络安全国家队,以国家需求为己任,一直致力于成为国家级网络安全平台建设和运营者、网络安全产业生态构建者,提升行业优势资源汇聚与生态主导能力,多年来在政务、金融、能源、交通、国防军工等关键信息基础设施保护领域长期耕耘,服务于关键信息基础设施监管者和运营者的安全防护需求,建立了完备的关基保护体系,积累了大量网络安全防护、等保合规建设、密码应用等方面成果,将在关基保护工作中继续发挥主力军作用。
【新闻链接:关于中国网安旗下上海三零卫士信息安全有限公司】
上海三零卫士作为国内较早从事网络安全行业的前瞻者和领军者,以一流的人才实力以及完备的产业集群,融合网络安全服务、工业控制网络安全、互联网情报等安全业务,为我国党政机关、医卫、教育、石化、金融、交通等重要行业关键信息基础设施提供全面、系统、安全特色显著的综合性信息化服务,具备在电子政务系统安全风险评估和应急保障、政务网站安全运维和在线监控、石化行业网络安全监控、交通行业网络安全防护等关键信息基础设施安全防护领域的解决方案和众多成功案例。
未来,三零卫士将结合自身能力优势,继续为关键信息基础设施安全保驾护航。
