為深入貫徹黨中央有關文件精神和《網絡安全法》,指導重點行業、部門全面落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度,近日,公安部制定出臺了《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》,進一步健全完善國家網絡安全綜合防控體系,有效防范網絡安全威脅,有力處置重大網絡安全事件,切實保障關鍵信息基礎設施、重要網絡和數據安全。
網絡安全等級保護制度
1、法律政策依據
1994年,國家規定對計算機信息系統實行安全等級保護
1994年2月18日,中華人民共和國國務院令第147號發布了《中華人民共和國計算機信息系統安全保護條例》,其中第六條規定:“公安部主管全國計算機信息系統安全保護工作”;第九條規定:“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。
2007年,信息安全等級保護制度正式開始實施
2007年6月22日,公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室聯合印發了《信息安全等級保護管理辦法》(公通字〔2007〕43號),標志著等級保護制度正式開始實施。
2017年,網絡安全等級保護制度成為網絡安全的基本制度
2017年6月1日,《網絡安全法》正式實施。第二十一條規定,國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
2、基本內容
簡單來說,網絡安全等級保護是對網絡進行分等級保護、分等級監管。有以下幾個關鍵詞:
定級。網絡運營者對信息網絡、信息系統、網絡上的數據和信息,按照重要性和遭受損壞后的危害性分成五個安全保護等級,從第一級到第五級,逐級增高。
備案。等級確定后,第二級(含)以上網絡到公安機關備案,公安機關對備案材料和定級準確性進行審核,審核合格后頒發備案證明。
建設。備案單位根據網絡的安全等級,安全國家標準開展安全建設整改,建設安全設施、落實安全責任、建立和落實網絡安全管理制度。
測評。備案單位選擇符合國家要求的測評機構開展等級測評。
監督。公安機關對第二級網絡進行指導,對第三級、第四級網絡定期開展監督、檢查。
3、網絡安全等級保護制度2.0新特征
國家網絡安全等級保護制度實施以來,已經成為國家網絡安全的基本制度和基本國策。隨著經濟社會發展和技術進步,等級保護制度已進入2.0時代。
網絡安全等級保護制度2.0在1.0的基礎上,實現對新技術、新應用安全保護對象和安全保護領域的全覆蓋,更加突出技術思維和立體防范,注重全方位主動防御、動態防御、整體防護和精準防護,強化“一個中心,三重防護”的安全保護體系,把云計算、物聯網、移動互聯、工業控制系統、大數據等相關新技術新應用全部納入保護范疇。
關鍵信息基礎設施安全保護制度
《網絡安全法》第三十一條規定,國家對公共通信和信息服務、能源、交通、水利、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
習近平總書記強調,“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標。”從世界范圍來看,各個國家網絡安全立法的核心就是保護關鍵信息基礎設施。加強關鍵信息基礎設施安全保護,既是我國網絡安全嚴峻形勢的迫切需要,也是切實貫徹國家安全的必然要求。
根據《網絡安全法》和中央文件精神,公安機關指導監督關鍵信息基礎設施安全保護工作。我部正建立完善并實施關鍵信息基礎設施安全保護制度,指導各單位、各部門加強關鍵信息基礎設施安全的法律體系、政策體系、標準體系、保護體系、保衛體系和保障體系建設,在落實網絡安全等級保護制度基礎上,突出保護重點,強化保護措施,切實維護 關鍵信息基礎設施安全,全力提升關鍵信息基礎設施安全防護能力。
《指導意見》主要內容介紹
1、確定了指導思想、基本原則和工作目標
《指導意見》以習近平新時代中國特色社會主義思想為指導,以總體國家安全觀為統領,認真貫徹實施網絡強國戰略,全力保護關鍵信息基礎設施、重要網絡和數據安全。
《指導意見》的三大原則。堅持分等級保護、突出重點;堅持積極防御、綜合防護;堅持依法保護、形成合力。
《指導意見》的四大工作目標。確保網絡安全等級保護制度深入貫徹實施,關鍵信息基礎設施安全保護制度建立實施,網絡安全監測預警和應急處置能力顯著提升,網絡安全綜合防控體系基本形成。
2、深入貫徹實施國家網絡安全等級保護制度
深化網絡定級備案工作。全面梳理包括云計算、物聯網、新型互聯網、大數據、智能制造等新技術應用在內的運營者全部網絡情況,科學確定保護等級,依法向公安機關備案。行業主管部門依據《網絡安全等級保護定級指南》國家標準,結合行業特點制定行業網絡安全等級保護定級指導意見。
定期開展網絡安全等級測評。對已定級備案網絡的安全性進行檢測評估,第三級以上網絡運營者委托符合國家有關規定的等級測評機構每年開展網絡安全等級測評。公安機關加強對本地等級測評機構的監督管理,確保等級測評過程客觀、公正、安全。
科學開展安全建設整改。運營者在網絡建設和運營過程中應同步規劃、同步建設、同步使用網絡安全保護措施,可通過網絡遷移上云或網絡安全服務外包方式充分利用網絡安全服務商提升網絡安全保護能力。
強化安全責任落實。按照“誰主管誰負責、誰運營誰負責”的原則,厘清網絡安全保護邊界,建立網絡安全等級保護工作責任制。
加強供應鏈安全管理。加強網絡關鍵人員的安全管理,采購、使用符合國家法律法規和有關標準規范要求的網絡產品及服務。
落實密碼安全防護要求。第三級以上網絡運營者在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,在網絡安全等級測評中同步開展密碼應用安全性評估
3、建立并實施關鍵信息基礎設施安全保護制度
組織認定。組織公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業部門和主管、監管部門制定本行業、本領域關鍵信息基礎設施認定規則并報公安部備案。組織認定關鍵信息基礎設施,及時將認定結果通知相關設施運營者并報公安部。符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象均應納入關鍵信息基礎設施。
明確職能分工。公安部負責關鍵信息基礎設施安全保護工作的頂層設計和規劃部署,保護工作部門負責對本行業、本領域關鍵信息基礎設施安全保護工作的組織領導。
重點措施。關鍵信息基礎設施運營者組織開展具體工作,開展安全建設和等級測評,梳理網絡資產,建立資產檔案,強化核心崗位人員管理、整體防護、監測預警、應急處置、數 據保護等重點保護措施,積極利用新技術開展網絡安全保護。
數據和個人信息保護。加強重要數據和個人信息保護,在境內運營中收集和產生的個人信息和重要數據在境內存儲。
核心崗位人員和產品服務。強化核心崗位人員和產品服務的安全管理,采購安全可信的網絡產品和服務,采購產品和服務可能影響國家安全的,應按照國家有關規定通過安全審查,確保供應鏈安全。
4、加強網絡安全保護工作協作配合
行業主管部門、網絡運營者與公安機關密切協同。
加強網絡安全立體化監測體系建設,對關鍵信息基礎設施、重要網絡等開展實時監測。加強網絡新技術研究和應用,研究繪制網絡空間地理信息圖譜(網絡地圖)。行業主管部門、網絡運營建設本行業、本單位的網絡安全保護業務平臺,建設平臺智慧大腦,與公安機關平臺對接,形成條塊結合、縱橫聯通、協同聯動的綜合防控大格局。重點行業、網絡 運營者和公安機關建設網絡安全監控指揮中心,建立常態化、實戰化的網絡安全工作機制。
加強網絡安全信息共享和通報預警。依托國家網絡與信息安全信息通報機制,加強各行業、各部門網絡安全信息通報能力建設。加強網絡安全應急處置機制建設,定期開展應急演練,配合公安機關每年組織開展的網絡安全監督檢查、比武演習等工作。
加強網絡安全事件處置和案件偵辦和行政執法,公安機關建立掛牌督辦制度,針對網絡運營者網絡安全工作不力、發生重大網絡安全案事件的掛牌督辦。
5、加強網絡安全工作各項保障
加強組織領導,將網絡安全等級保護和關鍵信息基礎設施安全保護工作列入各部門重要議事日程,研究解決網絡安全機構、人員、經費、建設等重大問題,明確本單位主要負責人是網絡安全的第一責任人,成立網絡安全專門機構抓落實。
扶持重點網絡安全技術產業和項目,支持網絡安全技術研究開發和創新應用,推動網絡安全產業健康發展。
健全完善網絡安全考核評價制度,將網絡安全工作納入考核評價體系。
加強技術攻關,調動網絡安全企業、科研機構、專家等社會力量積極參與網絡安全核心技術攻關。加強網絡安全等級保護和關鍵信息基礎設施安全保護標準制定工作,加強標準宣貫和應用實施,建設試點示范基地,促進我國網絡安全產業和企業的健康發展。
加強人才培養,通過組織開展比武競賽等形式,發現選拔高精尖技術人才,建設人才庫,建立健全人才發現、培養、選拔和使用機制,為做好網絡安全工作提供人才保障。