ARTICLES
专业文章
简述企业合规构建网络安全等级保护制度的实现路径
简述企业合规构建网络安全等级保护制度的实现路径
一
引言
自《网络安全法》(以下简称《网安法》)实施以来,已有多家企业因违反《网安法》中有关网络安全等级保护制度的内容被有关执法机关采取处罚措施,例如:
-
安徽淮南市公安局网安支队对淮南职业技术学院未落实网络安全等级保护制度致4000余名学生身份信息泄露一事,做出立即整改和行政警告的处罚措施;
-
广东汕头网警支队对汕头某公司进行行政处罚,决定给予该公司警告处罚,并责令限期十五日内进行整改,该公司受到《行政处罚通知书》后立即编制了整改方案,待整改完成后,公安机关将对其整改情况进行验收;
-
重庆市公安局网安总队针对某网站未留存日志6个月的行为进行处罚,警告并责令限期15日内进行整改。
除上述实例外,《刑法修正案(九)》专门增设了拒不履行信息网络安全管理义务罪。
《刑法》第286条之一规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
由上述案例及立法可见,企业仅仅做到合规收集与使用用户个人信息对于网络安全合规而言还远远不够。企业在储存用户个人信息和日常运营中,同样需要落实《网络安全法》中关于网络安全等级保护制度的相关规定,以防因网络安全合规不到位受到行政处罚,甚至被追究刑事责任。因此,本文拟就企业合规构建网络安全等级保护制度进行梳理与分析,以期能为企业在实际工作中高效、合规运营提供帮助与参考。
二
网络安全等级保护定级与备案
完成网络安全等级保护制度的定级与备案是合规构建网络安全等级制度的第一步。
根据《信息安全等级保护管理办法》,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
这也就是说,企业在合规构建网络安全等级保护制度时,应首先完成自主定级工作。根据《信息技术安全 网络安全等级保护定级指南》(征求意见稿),网络安全保护等级分为五级。
从实践经验来看,一般情况下企业定为第二或第三级较多,特殊情况下会定为第四级;第一级为自主保护级,不需要开展备案工作;第五级在民用系统中尚未出现。另外,需要注意的是,原则上,对于大数据安全和确定为关键信息基础设施的保护等级不得低于第三级。
企业自主定级完成后,定级对象的运营、使用单位应组织信息安全专业和业务专家等,对初步定级结果的合理性进行评审,出具专家评审意见。取得专家意见后,定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。审核通过后,定级对象的运营、使用单位应按照相关管理规定,将初步结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
三
建立并落实网络安全等级保护管理制度
《网安法》首次提出了网络安全等级保护制度的概念,并从管理制度和技术措施要求两个方面对网络安全等级保护制度的构建提出了要求。其中对于网络安全等级保护管理制度的要求,主要体现在以下几个方面:
-
企业应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
-
企业应当建立健全用户信息保护制度,并对收集的用户信息严格保密;
-
企业应当加强对用户发布的信息进行管理的制度;
-
企业应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报;
-
企业应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
四
完善并落实网络安全等级保护相应技术措施
除建立并落实上述管理制度要求外,《网安法》还从技术措施入手,对网络安全等级保护制度的构建提出了要求,这些要求主要体现在以下几个方面:
-
企业需采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
-
企业需采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
-
企业需采取数据分类、重要数据备份和加密等措施;
-
企业需采取技术措施和其他必要措施,确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
关于网络安全等级保护管理制度以及相应技术措施的具体标准、操作流程及设计方案,企业可以参考《信息安全技术 网络安全等级保护实施指南》(征求意见稿)、《信息安全技术 网络安全等级保护基本要求(第1-5部分)》(征求意见稿)、《信息安全技术 网络安全等级保护设计技术要求(第1-5部分)》(征求意见稿) 、《信息安全技术 个人信息安全规范》 等国家标准及其他有关法律法规的要求进行合规建设。
五
网络安全等级保护测评
在完成以上网络安全等级保护工作后,企业还需要委托信息安全等级测评机构对已经完成等级建设的等级保护对象定期或不定期(如对系统进行重大改造后)进行等级测评,确保等级保护对象的安全保护措施符合相应等级的安全要求。企业对等级保护对象进行测评时应当委托符合条件的测评机构开展等级测评。委托测评机构开展等级测评工作的,我们建议企业在测评工作正式开始之前开展以下工作规避测评可能给自身带来的系统运行风险和敏感信息泄露风险:
-
签署委托测评协议。在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的基本问题达成共识;
-
签署保密协议。测评相关方应签署合乎法律规范的保密协议,以约束测评相关方现在及将来的行为。例如,双方可以约定测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到相关单位的授权,否则相关单位将按照保密协议的要求追究测评单位的法律责任;
-
签署现场测评授权书。现场测评之前,测评机构应与相关单位签署现场测评授权书,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案;
-
进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行;
-
整个现场测评过程要求系统运营、使用单位全程监督。测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复至测评前状态。
测评结束后,测评机构将根据测评结果形成等级测评结论并制作等级测评报告。企业签收测评报告后应向分管公安机关备案测评报告。同时,等级测评结论为不符合或基本符合的定级对象,其运营、使用单位应当根据等级测评报告,制定方案进行整改。
关于网络安全等级测评工作的具体标准、操作流程及设计方案,企业可以参考《信息技术安全 网络安全 等级保护测评过程指南》(征求意见稿)、《信息技术安全 网络安全等级保护测评评估技术指南》(征求意见稿)、《信息结束安全 网络安全等级保护测评要求(第1-5部分)》(征求意见稿)等国家标准及其他有关法律法规的要求进行合规建设。
六
积极配合有关部门依法实施的监督检查
除合规构建企业自身的网络安全等级保护制度外,企业还应积极配合有关部门依法实施的监督检查工作。并应对主管部门给予的《隐患告知书》、《责令整改通知书》等文件高度重视,根据要求及时整改,以避免受到行政处罚或被追究刑事责任。另外,企业还应当制定好网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
七
网络安全合规不仅仅是用户协议的合规、收集使用用户个人信息的合规,更体现在企业运营中整个网络安全等级保护制度的构建与运行。根据前文所述,我们将合规构建网络安全等级保护制度的实现路径归纳为以下几个步骤,以供企业在实际工作中进行参考:
-
依照国家网络安全等级保护的管理规范和技术标准,确定企业等级保护对象的安全保护等级,有主管部门的,应当报企业主管部门审核批准;
-
根据已经确定的安全保护等级,到公安机关办理备案手续;
-
按照国家网络安全等级保护管理规范和技术标准,进行等级保护对象安全保护的规划设计,并制定、落实各项安全管理制度;
-
使用符合国家有关规定,满足等级保护对象安全等级需求的信息技术产品和信息安全产品,开展等级保护对象安全建设或改建工作;
-
定期或不定期对等级保护对象的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,开展等级测评;
-
制定不同等级信息安全事件的响应、处置预案,对等级保护对象的信息安全事件分等级进行应急处理,并积极配合有关部门依法实施的监督检查。
企业合规构建网络安全等级保护制度结构图
THE END
注:
[1] 《中华人民共和国网络安全法》
[2] 《信息安全技术 网络安全等级保护实施指南》(征求意见稿)
[3] 《信息安全技术 网络安全等级保护测评过程指南》(征求意见稿)
[4] 《信息安全技术 网络安全等级保护测试评估过程指南》(征求意见稿)
[5] 《信息安全技术 个人信息安全规范》(征求意见稿及报批稿)
[6] 《信息安全技术 网络安全等级保护定级指南》(征求意见稿)
[7] 《<网络安全法>执法案件汇总及执法重点分析》,陈际红 中伦视界
[8] 《网络运行安全之网络安全等级保护制度》,黄道丽 公安三所网络安全法律研究中心
[9] 《关于信息安全等级保护测评,你了解多少》,阿里金融云
[10] 《论据不履行网络安全管理义务罪(一)》,敬力嘉 腾讯网络安全与犯罪研究基地
[11] 《也谈拒不履行网络安全管理义务罪中要注意几个问题》,网安365
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号"中伦视界"及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
