随着网络安全相关法律法规陆续发布实施,为承载我国国计民生的重要网络信息系统的安全提供了法律保障,正在实施的网络安全等级保护、涉密信息系统分级保护、关键信息基础设施保护、商用密码应用安全性评估为我国重要网络信息系统的安全构筑了四道防线。
“等保”即指网络安全等级保护。
2007年6月,公安部发布《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动。
等级保护1.0的主要标准是:
•《信息系统安全等级保护基本要求 GB/T22239-2008》
•《信息系统等级保护安全设计要求 GB/T25070-2010》
•《信息系统安全等级保护测评要求 GB/T28448-2012》
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准(2019年12月1日起实施),标志着我国进入等级保护2.0时代。
网络安全法第七十六条术语解释
1、网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统
2、网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
3、网络运营者,是指网络的所有者、管理者和网络服务提供者.
4、网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据
5、个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
第二十一条,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一),确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第五十九条 (未履行网络运行安全义务的法律责任)
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第七十二条 (政务网络运营者不履行安全保护义务的法律责任)国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函(公网安[2020]1960 号)
——GB 17859-1999 计算机信息系统安全保护等级划分准则
——GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
——GB/T 22240-2020 信息安全技术 网络安全保护等级定级指南
——GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南
——GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
——GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
——GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南
根据信息系统受到破坏后,对公民、法人和其他组织的合法权益,以及对公共利益、社会秩序和国家安全的损害程度,等级保护分为五级:
第一级:自主保护级
第二级:指导保护级
第三级:监督保护级
第四级:强制保护级
第五级:专控保护级
“分保”是指涉密信息系统分级保护。
《中华人民共和国保守国家秘密法》(2010年4月29日修订,2010年10月1日起实施)第二十三条规定:存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)等法律法规开展。
涉密信息系统的等级分为秘密级、机密级、绝密级三个级别。
《保守国家秘密法》第九条规定:下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
(一) 国家事务重大决策中的秘密事项;
(二) 国防建设和武装力量活动中的秘密事项;
(三) 外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
(四) 国民经济和社会发展中的秘密事项;
(五) 科学技术中的秘密事项;
(六) 维护国家安全活动和追查刑事犯罪中的秘密事项;
(七) 经国家保密行政管理部门确定的其他秘密事项。
政党的秘密事项中符合前款规定的,属于国家秘密。
《保守国家秘密法》第十三条规定:中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家秘密;设区的市、自治州一级的机关及其授权的机关、单位可以确定机密级和秘密级国家秘密。
“关保”是指关键信息基础设施保护。
CII-关键信息基础设施
2017年7月10日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》;
2019至2021年,《关键信息基础设施安全保护条例》连续三年纳入国家立法计划;
2021年4月27日,经国务院第133次常务会议通过;
2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号公布,自2021年9月1日起施行。
第三十一条 (关健信息基础设施的范围界定)
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第三十二条 (关键信息基础设施安全保护工作的职责分工)按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
第三十三条 (关键信息基础设施安全保护的“三同步原则”)
建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条 (关健信息基础设施运营者的安全保护义务)除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十五条 (关健信息基础设施采购的国家安全审查)关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十六条 (关健信息基础设施采购的安全保密义务)关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十七条 (关健信息基础设施数据的境内存储和对外提供)关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十八条 (关健信息基础设施的定期安全检测评估)关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第六十五条 (违反关健信息基础设施采购国家安全审查规定应承担的法律责任)
关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十六条 (违反关健信息基础设施数据境内存储和对外提供规定的法律责任)
关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《关键信息基础设施安全保护条例》(2021年7月30日国务院令第745号公布,2021年9月1日起施行)第二条规定:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
——GB/T T39204-2022 信息安全技术 关键信息基础设施安全保护要求(2023年5月1日正式实施)
《关键信息基础设施安全保护条例》第五条规定:国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
“关保”由国家网信部门统筹协调;国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
“密评”是指商用密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》(2017年4月22日起施行)
《信息系统密码应用基本要求》(GM/T 0054-2018 )
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第八条 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
第三十七条 关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告,拒不改正或者导致危害网络安全等后的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
——GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求
商用密码应用安全性评估的对象包括:
• 基础信息网络:电信网、广播电视网、互联网;
• 涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;
• 重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
• 面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。
对采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性、有效性进行评估。
密码应用合规性:
•使用的密码算法、密码技术符合法律法规和国家标准、行业标准的有关要求;
•使用的密码产品、密码模块通过国家密码管理部门核准;
•使用的密码服务符合国家密码管理要求;
密码应用正确性:
•密码算法、密码协议、密钥管理、密码产品和服务使用正确;
•系统中采用标准的密码算法、协议、密钥管理,按照国家和行业标准进行正确的设计和实现;
•自定义密码协议、密钥管理机制的设计和实现正确,符合标准要求;
•密码保障系统建设改造过程中密码产品和服务的部署和应用正确;
密码应用有效性:
系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制设计合理,在系统运行过程中能够发挥密码作用,保障信息的机密性、完整性、真实性、不可否认性。
商用密码应用安全性评估主要从:总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。