前几天,探讨了《网络安全等级保护:贯彻落实网络安全等级保护制度的原则》,今天简单谈一下网络安全工作中的法律依据。首先,公安机关作为网络安全保卫工作的法理依据是:《中华人民共和国人民警察法》第六条第十二款规定,人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。
再者就是,《中华人民共和国网络安全法》(简称“网络安全法”)的具体规定。2017年发布的《网络安全法》,其第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
在《网络安全法》第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。
结合《网络安全法》第二十一条、第三十一条,我们发现在我国所有的网络,都需要遵循等级保护制度。当然,这里的网络需要对齐《网络安全法》中的法定概念,是一个比信息系统更大的概念,囊括了现有个所有信息系统类型及新技术新应用。
回顾等级保护1.0时代,其上位法规则是《中华人民共和国计算机信息系统安全保护条例》,1994年国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
将该条进行分解,我们发现该条例明确了三方面内容:一是确立等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确公安部在等级保护工作中的牵头地位。
这也是为什么一直是公安机关主导网络安全等级保护的一个原因,首先根据《警察法》规定赋予了其权力监督管理计算机信息系统的安全保护工作,而网络是计算机信息系统在法律上的一个延伸。等级保护制度作为我国网络安全领域的基础制度,有147号令进行明确了。通过《网络安全法》再次强化,并扩展到国家各行各业各领域。
在基础法律法规的基础之上,我们发现在《中华人民共和国数据安全法》第二十七条明确了,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
我们看到法律层面比较重要的有《网络安全法》《数据安全法》,在法规方面,还有《关键信息基础设施安全保护条例》(国务院令第745号)、《商用密码管理条例》(国务院令第760号)两个法规,加上147号令,则主要有这三个法规。
在《关键信息基础设施安全保护条例》(国务院令第745号)第六条 与《网络安全法》保持一致,并做了更为具体的描述:运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
《商用密码管理条例》(国务院令第760号)的第四十一条明确了,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。这也就是我经常在外交流时谈及的,商用密码应用方面,自身是不需要独立定级的,它的级别是遵照等级保护定级时确定的级别,所以也可以这么理解,一个没有确定网络安全保护等级的网络,是不太好开展商用密码应用工作的,缺少依据和遵循。要么发生浪费资源,要么无法满足要求,最终为实际工作开展带来不便和风险。
另外,根据有关资料我们也看到,2008年国务院“三定”方案,赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。
综上,我们看到法律层面是:《网络安全法》《数据安全法》;法规层面是:《计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》《商用密码管理条例》。
![网络安全等级保护:开展网络安全等级保护工作的法律依据 网络安全等级保护:开展网络安全等级保护工作的法律依据]()
同时,在《密码法》背后隐藏着一条线索,明确了“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”所以,想要与网络安全等级测评制度相衔接的前提是落实网络安全等级保护制度。
参考:
中华人民共和国网络安全法
中华人民共和国密码法
中华人民共和国计算机信息系统安全保护条例
商用密码管理条例
关于加强信息安全保障工作的意见 (中办发〔2003〕27号)
关于信息安全等级保护工作的实施意见 (公通字〔2004〕66号)
信息安全等级保护管理办法(公通字〔2007〕43号)
— 欢迎关注
原文始发于微信公众号(祺印说信安):网络安全等级保护:开展网络安全等级保护工作的法律依据
评论