本期关键词:
网络安全 等级保护制度
网络安全保护等级 定级 备案
责任主体 核准 审核
我们一直在探讨,网络安全等级保护制度是我国现行网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。
网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。而网络安全等级保护的五个规定动作,其中有一个就是:定级!
定级过程是需要参照《信息安全技术 网络安全等级保护定级指南》进行科学合理定级的,而定级又分为若干步骤,今天我们讨论的内容就是定级过程。
确定定级对象
落实网络安全等级保护制度原则四句话:
一是明确责任,共同保护;
二是依照标准,开展保护;
三是同步建设,动态调整;
四是指导监督,重点保护。
其中涉及到同步建设,动态调整这一原则,也就是在建设过程中尽量开好头,但是如果发现开始时有些环节工作考虑不周全,则可以采取补救措施,进行动态调整。但是带来的结果可能是导致网络设施建成后存在严重的安全隐患,削弱系统防范网络安全风险的能力,而消除这些隐患往往需要是否付出巨大的代价,从而造成严重的资源浪费甚至造成不可挽回的损失。因此,在设计、施工、投入使用阶段做好网络安全技术防护,对于防范网络安全风险、减少网络安全事件的发生具有重要意义。
网络运营者开展网络定级前,要搞清网络支撑的业务类型、应用或服务范围、网络结构、数据和信息的规模、重要性等基本情况,为合理定级打好基础。
其实第一步算我们工作中常说的“清底数”,只有底数清了,后面工作才能有的放矢。
-
具有确定的主要安全责任主体;
-
承载相对独立的业务应用;
-
包含相互关联的多个资源。
-
主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;
-
相对独立并不意味着完全独立,可与其他业务应用有少量的数据交换;
-
多个资源可包括但不限于网络资源、计算资源、存储资源等,应避免将某个单一的系统组件(例如服务器、终端或网络设备)作为定级对象。
-
起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干安全域或单元去定级。
-
用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象的条件。不能将某一类信息系统作为一个定级对象去定级。
-
各单位网站、邮件系统要作为独立的定级对象。如果网站的后台数据库管理系统安全级别较高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会提供服务的报名考试系统)也要作为独立的定级对象。
-
对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,要按照定级指南的要求,合理确定定级对象。
-
确认负责定级的单位是否对所定级网络负有业务主管责任。也就是说,业务部门应主导对业务网络的定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
-
具有网络的基本要素。作为定级对象的网络、信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
注:不应将某个单一的系统组件.(例如服务器、终端、网络设备等)作为定级对象。
1.定级责任主体
网络运营者和行业主管部门是网络定级的责任主体。
2.定级要素
网络的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
网络的安全保护等级是网络本身的客观自然属性。
不是以已采取或将采取什么安全保护措施为依据,而是以网络的重要性和网络遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定网络的安全保护等级。
定级时应主要考虑网络被破坏对国家安全、社会稳定的影响,以及境内外各种敌对势力、敌对分子针对重要网络入侵攻击破坏和窃取秘密等因素。
既要防止因片面追求绝对安全而定级过高,也要防止为逃避监管而定级偏低。
3.对各类网络定级的处理方法
▶单位自建的网络(与上级单位无关),由本单位定级。
▶跨省或者全国统一联网运行的网络或信息系统,可以由行业主管部门统一确定安全保护等级。
▶由各行业统一规划、统一建设、统一安全保护策略的全国联网的大系统,应由行业主管部门统一对下各级网络分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级。
▶为避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。这也是上级主管部门审批的一个重要作用。
特别注意:同类网络的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级重要行业的重要系统不能定为第一级或第二级。
4.新建网络的定级
专家评审
在初步确定网络的安全保护等级后,为了保证定级合理、准确,应聘请由公安机关组织成立的网络安全等级保护专家进行评审,并出具评审意见。
等级的核准
在定级环节,网络运营者的意见或建议是最终的结果,这个和责任划分是密切相关的。上面提到若网络运营者不认可专家评审意见,这个是可以接受的,网络运营者应明白一旦发生安全事件,发现级别不准确时,则可能面临较重的处罚。
单位自建的网络(与上级单位无关)的安全等级确定后,是否报上级主管部门核准由各行业自行决定。网络运营者参考专家定级评审意见,最终确定网络安全的保护等级,按要求形成定级报告。如果专家评审意见与网络运营者意见不一致,由网络运营者自主决定网络等级。网络运营者有上级主管部门的,应当经上级主管部门对安全保护等级进行核准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的网络,则必须由其上级主管部门核准,以确保同类网络或分支网络在各地域分别定级的一致性。
公安机关审核
备案材料送交公安机关后,公安机关会对网络定级的准确性进行审核。公安机关的审核是定级工作的最后一道防线。网络定级基本准确的,公安机关颁发由公安部统一监制的《网络安全等级保护备案证明》(下称《备案证明》)。
定级不准的,公安机关会告知网络运营者,建议其组织专家重新进行定级评审,并报上级主管部门核准。网络运营者仍然坚持原定等级的,公安机关也会受理其备案,但会当书面告知其承担由此引发的责任和后果,经上级公安机关同意,同时通报备案单位的上级主管部门。
在这个过程中,网络运营者还是可以“坚持己见”到底的,关键是由此产生的这个责任是需要自行承担,一旦发生安全事件(故),则可能面临上级主管部门的处罚和本级公安机关的处罚。所以,网络运营者应当遵循科学合理定级,或遵从上级主管部门文件精神结合《定级指南》进行定级。
网络安全等级保护作为国家的一个基本国策,将是长期的、具有远期目标的国策,我们应当高瞻远瞩着眼未来,做好当下。我将在等级保护领域将继续竭诚服务广大用户,在不断夯实基础技术、总结经验的前提下,紧随国家政策要求解决每一个用户有关网络安全等级保护的问题。
参考文件:
-
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
-
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
-
《网络安全法与网络安全等级保护制度》
-
《中华人民共和国网络安全法》
本文始发于微信公众号(祺印说信安):网络安全等级保护:等级保护对象的定级过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论