7月22日,公安部向中央和国家机关各部委、国务院各直属机构、办事机构、事业单位、各中央企业印发了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下称《指导意见》)。9月2日,由公安部网络安全保卫局指导,在北京举办了网络安全等级保护和关键信息基础设施安全保护工作宣贯会。会议对《指导意见》进行了宣贯,并且明确指出《指导意见》是引领重要行业及全社会落实“网络安全等级保护制度和关键信息基础设施安全保护制度”的纲领性文件。
网络安全等级保护(以下称“等保”)制度和关键信息基础设施安全保护(以下称“关保”)制度(以下统称“两个制度”)作为国家推进网络安全工作、提升国家网络安全防御能力的两个重要的制度,强化对于落实两个制度的工作要求,标志着网络安全保护领域“双保时代”的到来。
一、两个制度的前世今生
(1)等保制度
在我国等保的要求最早是1994年颁布实施的《计算机信息系统安全保护条例》中提出的。该条例第九条规定计算机信息系统实行安全等级保护。2007年,公安部等部门联合发布的《信息系统等级保护管理办法》是等保1.0时代的核心法律规范。随后公安部、工信部等各部门又陆续制定了《信息系统等级保护备案实施细则》及一系列配套的国家标准以保障等保制度的实施与推进。但在等保1.0时期,各行业对等保制度的理解尚未深入,涉及领域有限,执法力度及范围也未达到理想效果。
2017年正式实施的《网络安全法》在第二十一条明确了国家实行等保制度,随后我国在网络安全立法方面进入了快车道。2018年公安部起草、发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”)正式标志着等保2.0时代的启动,虽然《等保条例》由于种种原因目前仍未公布正式版和实施,但此后各部门迅速更新了配套的相关国家标准,《等保条例》中的相当内容也已经融入到相关国家标准的内容当中。随着2020年新版定级指南的生效,等保2.0体系已全面落地。自此我国已基本建立起从定级建设、测评整改、到备案、监督、执法全周期的等保制度体系。
(2)关保制度
2017年实施的《网络安全法》首次以法律形式明确规定了关保制度的要求。作为关保制度具体实施的核心法规《关键信息基础设施安全保护条例(征求意见稿)》(以下称“《关保条例》”)早在2017年7月已经发布,但同样由于关键信息基础设施认定、边界确定等诸多问题,时至今日尚未公布正式版本。随着网络安全的重要性不断提升,与国家安全、国计民生、公共利益密切相关的关键信息基础设施保护工作的开展与落实已经迫在眉睫。2020年6月,国务院办公厅发布《国务院办公厅关于印发国务院2020年立法工作计划的通知》,将《关键信息基础设施安全保护条例》纳入国务院2020年立法工作计划。此外,与关保制度相关的配套法规、国家标准等也一直在紧锣密鼓的制定当中。近期,有关部门又发布了《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》、《信息安全技术 关键信息基础设施安全防护能力评价方法(征求意见稿)》等重要标准。可以预见,关保制度的正式实施推进已经蓄势待发。
二、《指导意见》中重点内容的解读
(1)明确了两个制度的重要地位
《指导意见》开宗明义地指出等保制度和关保制度是“党中央有关文件和《网络安全法》确立的基本制度”,在指导思想和基本原则中明确了网络安全工作“以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础,以保护关键信息基础设施、重要网络和数据安全为重点”,强调了“实施分等级保护、分等级监管,重点保障关键信息基础设施和第三级以上网络的安全”。从而进一步确立了两个制度在网络安全领域从制度规范、工作实施、监管以及保障目标等各个层面的基础核心地位。
(2)梳理了等保和关保的关系
《指导意见》明确了等保是关保的基础,实施关保制度要在落实等保制度的基础上,突出保护重点;关保是以特定行业、领域的重点保护对象为目标,关保对象与等保的重点保护对象相一致。《指导意见》确立的“坚持分等级保护、突出重点”的原则,是实施等保和关保的共同基本出发点。
(3)明确了等保的基本工作内容和要求
①对等保的定级、备案、等级测评以及安全建设整改等基本工作流程的重点内容进行了规定,解决了前述《等保条例》等正式实施前,网络安全等保缺乏明确法律依据的现实困境,同时与等保2.0的国家标准中的要求进行了衔接,例如,提出“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”,为等保工作的实施和要求提供了执行依据。
② 规定“新建网络,应在规划设计阶段确定安全保护等级”,“新建第三级以上网络应在通过等级测评后投入运行”,明确将等保工作纳入前置程序。同时规定,“谁主管谁负责、谁运营谁负责”,强化安全责任落实,并且要求网络运营者要定期开展网络安全自查和检测评估,行业主管部门要组织风险评估,及时发现网络安全隐患和薄弱环节并予以整改。
③要求加强供应链安全管理,包括对于网络关键人员的安全管理、对于提供设计、建设、运维、技术服务的机构和人员的评估及采取相应的管控措施(三级以上)、互联网远程运维的评估论证和管控措施以及要求采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务等。
④强化了密码安全防护的要求。与《密码法》及有关法律法规相衔接,明确要求第三级以上网络采用密码技术,第三级以上网络运营者应在网络规划、建设和运行阶段,在网络安全等级测评中同步开展密码应用安全性评估。
(4)推动关保工作的实施
①关保工作的核心和起点在于对关键信息基础设施的认定。《指导意见》规定由重要行业和领域的主管、监管部门制定认定规则,按照规则组织认定,并实施动态调整的组织机制,同时规定认定规则、认定结果及调整结果应当报公安部备案。《指导意见》明确组织机制,将有力推动关键信息基础设施的认定和关保工作的实施。
②《指导意见》就落实关键信息基础设施重点防护措施、加强重要数据和个人信息保护以及强化核心岗位人员和产品服务的安全管理的具体内容和要求进行规定,如同等保制度一样,在《关保条例》等相关法规正式出台前,《指导意见》为关保实施提供了法律制度层面的支持和依据。
(5)突出两个制度的主管部门和协作机制
①《指导意见》确立了公安机关是两个制度的主管部门。公安机关依法履行网络安全保卫和监督管理职责,各单位、各部门应在公安机关指导监督下开展等保工作,同时首次明确公安部负责关保的顶层设计和规划部署。公安机关建立挂牌督办制度,对于网络安全问题可以会同行业主管部门对相关负责人进行约谈、挂牌督办、监督检查、行政执法和行政处罚。
②《指导意见》同时确立网络安全行业主管部门(含监管部门)负责本行业网络安全主管、监管责任。行业主管部门应当在加强网络安全立体化监测体系建设、加强网络安全信息共享和通报预警、加强网络安全应急处置机制建设、加强网络安全事件处置和案件侦办等网络安全保护工作方面,与公安机关密切协同。
三、监管动向及实务建议
(1)两个制度相关立法工作可能加速
随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间已经成为继“陆海空天”之后的第五大战略空间。在公安部印发《指导意见》的函件中已经将两个制度的落实与建立完善国家网络安全综合防控体系、防范网络安全威胁、处置重大网络安全事件、打击危害网络安全的违法犯罪活动、保护关键基础信息设施、重要网络和数据安全等一系列重要任务和目标关联起来。随着《指导意见》的推行以及两个制度实施、实践的积累,我们预测《等保条例》《关保条例》及两个制度相关的规范性文件等将加速出台。而这也必将促进两个制度在实施、执法等层面的进一步规范化和强制化。
(2)两个制度执法监管工作将进一步强化
关保制度由于关键信息基础设施认定的问题,虽然在部分重点行业中也一直在进行相关研究,但截至目前尚未广泛实施。与此相对,等保工作由来已久,自《网络安全法》的实施、等保2.0标准确立以来相关执法监管工作也一直保持趋严的态势。《网络安全法》明确等保作为法定义务之后,每年因未履行网络安全等级保护制度、未依法完成等级保护测评工作、未完成法定网络安全等级保护义务等原因被依法处罚的案例并不少见。2020年4月14日,泸水市某公司系统被黑客攻击,本地数据库所有数据丢失。虽然该公司新建了数据库,但经公安机关和网安部门调查,该公司因其未按照网络安全等级保护制度的要求履行定级、备案、等级测评、安全建设整改、安全自查等安全保护义务,最终被认定未按规定履行网络安全保护义务导致危害网络安全的不良后果,且未及时整改。泸水市公安局依法给予该公司罚款15000元,公司主要负责人罚款5000元的行政处罚,并责令该公司立即整改到位。这也是网安法实施后开出的首张罚单。虽然处罚金额有限,但是具有重大的示范警戒效应。而且如果发生类似情况并造成严重后果,还有可能构成拒不履行信息网络安全管理义务罪等被追究刑事责任。《指导意见》发布后,进一步明确了两个制度落实的要求以及主管部门及其职责,相信围绕两个制度落实的执法监督活动将进一步强化。
(3)对企业的工作建议
首先,作为《指导意见》印发对象的单位、企业,毋庸置疑地必须按照《指导意见》的规定和有关精神落实两个制度。据我们了解,已经有重点行业、领域的企业以及央企、国企对集团内包括3级、4级下属子公司下发通知,要求限期落实两个制度,特别是等保制度。
其次,对于非重点行业、领域的企业,虽然被认定为关键信息基础设施的可能性较小,但等保以及《指导意见》中“分等级保护、突出重点”等原则和要求,同样适用于全体企业。随着上述两个制度立法的推进和执法监督的强化,对于非关键信息基础设施企业,包括民企、外企等所有性质企业在内,等保制度会成为常态化的合规问题,等保制度落实情况的监督检查必将愈来愈严格。据我们了解,今年以来已经有部分地区的公安机关网安部门通过辖区内办公楼宇向入住的全体企业发布网络安全义务告知书,并对各企业网站和信息系统情况进行摸底调查。而随着《指导意见》的落实推进,各地主管部门必将加强执法监督力度,对辖区内企业可能采取进一步的检查和监管措施。
最后,根据我们为客户进行等保定级、备案、评估和整改等相关工作提供咨询服务的实践经验,即使对于网络安全管理相对规范且具有相对成熟管理经验和管理系统的公司,在对标等保2.0的基本要求实施等保工作的过程中,仍然需要对管理制度和技术设备等进行相应的整改,才能满足等保包括等保测评的规范要求。而且要满足这些等保制度的法定要求,相应评估、整改等过程一般需要花费大约2个月以上的时间。由于开始着手或正在实施等保工作的企业逐渐增多,无论是公安机关对于备案的审核,还是等保测评单位的测评和报告出具都可能需要更长的时间。因此,我们强烈建议企业尽早与专业人士配合着手准备研究和开展相关工作。
四、结语
综上所述,在进入双保时代的今天,两个制度的落实已是企业明确的法定义务。对于企业而言,履行法定义务既是合规要求,同时也是企业自身网络安全保护的有效保障,是企业对重要数据和个人信息等实施有效保护以及实现该过程可视化,防范风险的有力工具。“工欲善其事必先利其器”,希望更多的企业积极行动起来,通过落实两个制度,实现企业可持续的健康安全发展。
