平等保險條例的具體規定
《管理辦法》由公安部、國家保密局、國家密碼管理局和國務院信息工作辦公室聯合發布。作為平等保護1.0體系的核心條款,其法律效力為部門規範性文件。此外,根據《管理辦法》第壹條的規定,依據國務院行政法規《計算機信息系統安全保護條例》制定。
雖然《平等保險條例》還處於征求意見階段,但根據《行政法規制定程序規定》第五條,行政法規的名稱壹般稱為“條例”,國務院各部門和地方人民政府制定的規章不得稱為“條例”。因此,平等保險條例應屬於行政法規的範疇。此外,《同等安全條例》第壹條規定,基於《網絡安全法》和《保守國家秘密法》。
綜上所述,《管理辦法》是依據行政法規制定的部門規範性文件,而等保條例屬於依據國家法律制定的行政法規。顯然,無論是從自身的法律效力還是法律依據來看,均等保險2.0都要優於均等保險1.0。
等級保護的適用範圍
對於適用範圍,《平等保護條例》壹般規定適用於網絡運營者在中國境內建設、運營、維護和使用網絡,進行網絡安全等級保護和監督管理,但個人和家庭建設的網絡除外,內容較為簡略。2065438+2008+65438+2008年6月9日,全國信息安全標準化技術委員會發布了《信息安全技術網絡安全等級保護分級指南2.0(征求意見稿)》(以下簡稱《分級指南2.0》),為分級保護的具體應用提供了指導。
在同等保護制度1.0中,《管理辦法》第十條明確提到,信息系統運營使用單位應當依據本辦法和《信息系統安全等級保護分類指南》(以下簡稱《分類指南1.0》)確定信息系統的安全保護等級。所以《分級指南2.0》的出臺,很大程度上得益於現有的《分級指南1.0》的規定。
與分級指南1.0壹般將分級保護的對象定義為受信息安全分級保護直接影響的特定信息和信息系統相比,分級指南2.0細化了網絡安全分級保護體系分級對象的具體範圍,主要包括基礎信息網絡、工業控制系統、雲計算平臺、物聯網、使用移動互聯網技術的網絡、其他網絡、大數據等系統平臺。此外,作為分級對象的網絡還應滿足三個基本特征:壹是具有壹定的安全責任主體;二是承載相對獨立的業務應用;第三,它包含許多相互關聯的資源。
根據《分級指南2.0》,被分級對象在滿足上述基本特征後,仍需符合相關要求。電信網、廣播電視傳輸網、互聯網等基礎信息網絡應當按照業務類型、服務區域、安全責任主體等因素劃分為不同的分級對象,而省際業務專網可以作為壹個整體進行分級,也可以按照區域劃分為若幹個對象。對於工業控制系統,現場采集/執行、現場控制和過程控制等因素應作為壹個整體進行分級,而生產管理因素可以單獨進行分級。對於雲計算平臺來說,應該分為服務商和租戶,每壹個都是分級對象。對於物聯網來說,雖然包含了感知、網絡傳輸、處理應用等諸多特性因素,但仍應將上述因素視為壹個整體的評分對象,並不對每個因素單獨進行評分。采用移動互聯網技術的網絡類似於物聯網,因此移動終端、移動應用、無線網絡以及相關的有線網絡業務系統應作為壹個整體進行分級。對於大數據,除安全責任主體相同的平臺和應用外,應分別評級。
網絡級
《平等保護條例》沿用了《管理辦法》確立的五級安全保護體系,但進壹步加強了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在正文中規定,當信息系統遭到破壞時,將對公民、法人和其他組織的合法權益造成特別嚴重損害的,如何進行分類。《分類指南1.0》只顯示上述信息系統在分類要素與安全等級關系表中應列為第二級,而《同等安全規定》則做了相應修改。當分類保護的對象受到損害時,公民、法人和其他組織將被分類。具體評分請參考下表:
網絡安全保護義務
《管理辦法》第五條規定,信息系統運營使用單位應當按照《辦法》和相關標準履行信息安全等級保護的義務和責任,但相應的義務並不明確。平等保護條例作為網絡安全法的配套法規,沿用了網絡安全法的現有規定,對網絡運營者的壹般和特殊安全保護義務、網絡產品和服務的采購、應急預案的制定等作出了詳細規定。
對於安全保護義務,除了《網絡安全法》第二十壹條已經明確規定的以外,壹般網絡運營者還應當:1。建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維制度;二、落實機房安全管理、設備和介質安全管理、網絡安全管理制度,制定操作規範和工作流程;3.在收集、使用和處理個人信息時采取保護措施,防止個人信息被泄露、損壞、篡改、竊取、丟失和濫用;四、落實違法信息發現、屏蔽、消除等措施,防止違法信息傳播、違法犯罪證據滅失等措施;五、實施違法信息發現、屏蔽、消除等措施,防止違法信息大量傳播和違法犯罪證據流失。除上述義務外,三級以上網絡運營者還應重點落實網絡安全管理負責人和關鍵崗位技術人員的安全背景審查認證制度,同時定期開展等級評價。
網絡經營者采購網絡產品和服務,應當采購和使用符合國家法律法規和相關標準規範要求的網絡產品和服務。三級以上網絡運營者應當采用與其安全防護等級相適應的網絡產品和服務,還應當委托專業測評機構對重要部位使用的網絡產品進行專項檢測。6月17日生效的《網絡關鍵設備和網絡安全專用產品目錄(第壹批)》和3月18日國家認監委等四部門發布的《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測的機構目錄(第壹批)》。因此,建議網絡經營者在購買網絡產品和服務時,應要求供應商提供專業機構出具的安全認證或檢測證明,以降低經營的法律風險。
對於應急預案的制定,三級以上網絡運營者應當按照國家有關規定,制定網絡安全應急預案,並定期進行網絡安全應急演練。網絡運營者除了及時記錄和留存事件數據信息,向公安機關和行業主管部門報告外,還應當為重大網絡安全事件的處理和恢復提供支持和協助。根據工業和信息化部《互聯網安全突發事件應急預案》,在報告網絡安全事件信息時,還應當說明事件發生的時間、初步判斷的範圍和危害、采取的應急措施及相關建議。
網絡安全保護要求
近年來,隨著人工智能、大數據、物聯網和雲計算的快速發展,安全趨勢和形勢的快速變化,2008年發布的GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(簡稱等安1.0)已不再適用於當前的安全要求。自2015開始,針對等級保護的安全需求逐步制定了2.0標準,包括通用安全需求、雲計算安全擴展需求、移動互聯網安全擴展需求、物聯網安全擴展需求、工業控制安全擴展需求五個部分。2065438+2007年8月,公安部測評中心根據網信辦和安全標準委的意見,將等級保護的五個基本要求合並為壹個標準《網絡安全等級保護基本要求》。平等保護標準1.0更側重於保護的要求,而平等保護標準2.0更適合當前網絡安全形勢的發展。結合網絡安全法中持續監控、威脅情報、快速反應的要求,提出了具體的落地措施。