1 什么是“等保 2.0”,?
等保2.0 是相對(duì)于等保 1.0 而言的新一代網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,。
等級(jí)保護(hù)制度是按照網(wǎng)絡(luò)重要性及其受破壞后結(jié)果的嚴(yán)重性,,實(shí)施分級(jí),、分類(lèi),、分階段保護(hù)的制度,。1994 年,國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》被視為等級(jí)保護(hù)制度的起源,。2007年起,,隨著配套規(guī)章、標(biāo)準(zhǔn)的推出,,等保1.0體系逐漸建立,。隨著信息技術(shù)的發(fā)展,等保1.0已逐漸不能滿(mǎn)足現(xiàn)實(shí)要求,。
2017年,,《網(wǎng)絡(luò)安全法》生效,其中第21條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,。除此之外,,目前等保2.0規(guī)范體系還包括2018 年公安部發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》,以及2019年12月1日生效的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》三部國(guó)家標(biāo)準(zhǔn)等,。
2 企業(yè)內(nèi)哪些系統(tǒng)需要做等保?
根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》等相關(guān)標(biāo)準(zhǔn)的規(guī)定,,針對(duì)于備案單位而言,,以下內(nèi)容都屬于實(shí)施等保的對(duì)象:
(1)起支撐、傳輸作用的信息網(wǎng)絡(luò)(包括專(zhuān)網(wǎng),、內(nèi)網(wǎng),、外網(wǎng)、網(wǎng)管系統(tǒng)),,如某汽車(chē)局域網(wǎng)信息系統(tǒng),,某IDC機(jī)房等保三級(jí)業(yè)務(wù)系統(tǒng);
(2)用于生產(chǎn),、調(diào)度,、管理、作業(yè),、指揮,、辦公等目的的各類(lèi)業(yè)務(wù)系統(tǒng),要按照不同業(yè)務(wù)類(lèi)別單獨(dú)實(shí)施等保,,不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換,、是否獨(dú)享設(shè)備為必要條件。如企業(yè)內(nèi)部的OA系統(tǒng),、人力資源管理系統(tǒng)以及ERP系統(tǒng),,某法院智能信息審判系統(tǒng),,某醫(yī)院的信息化系統(tǒng),某水電廠監(jiān)控系統(tǒng),;
(3)各單位網(wǎng)站,、郵件系統(tǒng)要作為獨(dú)立的等保對(duì)象。如果網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)管理系統(tǒng)安全級(jí)別較高,,以及網(wǎng)上運(yùn)行的信息系統(tǒng),,都要作為獨(dú)立的等保對(duì)象。如企業(yè)內(nèi)部/對(duì)外網(wǎng)站系統(tǒng),、某銀行征信中心網(wǎng)站系統(tǒng),,12306火車(chē)票售票網(wǎng)站等;
(4)云平臺(tái),、大數(shù)據(jù),、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng),、移動(dòng)互聯(lián)網(wǎng),、衛(wèi)星系統(tǒng)等,都屬于等保對(duì)象的范圍,。
3 不實(shí)施等保2.0會(huì)有哪些法律后果,?
不履行等保2.0義務(wù)可能使網(wǎng)絡(luò)運(yùn)營(yíng)者受到行政處罰,甚至承擔(dān)刑事責(zé)任,。
根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定,,網(wǎng)絡(luò)運(yùn)營(yíng)者不履行等保義務(wù)的,由主管部門(mén)責(zé)令改正,,給予警告,;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款,。
根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》的規(guī)定,第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者違反等保義務(wù)的,,從重處罰,。緊急情況下,公安機(jī)關(guān)可以責(zé)令網(wǎng)絡(luò)運(yùn)營(yíng)者采取阻斷信息傳輸,、暫停網(wǎng)絡(luò)運(yùn)行,、備份相關(guān)數(shù)據(jù),、停止聯(lián)網(wǎng),、停機(jī)整頓等措施。公安機(jī)關(guān)還可以約談網(wǎng)絡(luò)運(yùn)營(yíng)者的法定代表人,、主要負(fù)責(zé)人及其行業(yè)主管部門(mén),。
除行政責(zé)任外,嚴(yán)重違反等保2.0 義務(wù)還有可能構(gòu)成《刑法》第286條規(guī)定的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”,導(dǎo)致企業(yè)和相關(guān)責(zé)任人員承擔(dān)相應(yīng)的刑事責(zé)任,。
此外,,根據(jù)《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》的相關(guān)規(guī)定,各級(jí)黨委(黨組)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全責(zé)任制檢查考核制度,。領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是網(wǎng)絡(luò)安全工作第一責(zé)任人,,主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員是直接責(zé)任人。一旦出現(xiàn)黨政機(jī)關(guān)門(mén)戶(hù)網(wǎng)站或者重點(diǎn)新聞網(wǎng)站受到攻擊后沒(méi)有及時(shí)組織處置,,且癱瘓6小時(shí)以上的,,或大面積個(gè)人信息泄露或者大量地理、人口,、資源等國(guó)家基礎(chǔ)數(shù)據(jù)泄露等嚴(yán)重危害網(wǎng)絡(luò)安全行為,,各級(jí)黨委(黨組)應(yīng)當(dāng)逐級(jí)倒查,追究當(dāng)事人,、網(wǎng)絡(luò)安全負(fù)責(zé)人至主要負(fù)責(zé)人責(zé)任,。
4 實(shí)施等保2.0有哪些具體步驟?
按照相關(guān)規(guī)定,,落實(shí)等保2.0 工作主要包括 5 個(gè)步驟:定級(jí),、備案、建設(shè)整改,、等級(jí)測(cè)評(píng)和定期自查,。
其中:
(1)定級(jí)是指按照定級(jí)指南確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)。網(wǎng)絡(luò)的定級(jí)工作應(yīng)按照“網(wǎng)絡(luò)運(yùn)營(yíng)者擬定網(wǎng)絡(luò)安全保護(hù)等級(jí),、專(zhuān)家評(píng)審,、主管部門(mén)核準(zhǔn)、公安機(jī)關(guān)審核”的原則進(jìn)行,。對(duì)于擬定為第2級(jí)以上的網(wǎng)絡(luò),,應(yīng)當(dāng)組織專(zhuān)家評(píng)審。有上級(jí)主管部門(mén)的,,報(bào)上級(jí)主管部門(mén)核準(zhǔn),。
(2)備案是指準(zhǔn)備《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》和《信息系統(tǒng)安全等級(jí)保護(hù)備案表》,向所在地設(shè)區(qū)的地市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù),。備案通過(guò)后獲得《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》,。
(3)建設(shè)整改是指梳理網(wǎng)絡(luò)安全現(xiàn)狀與等保要求之間的差距,發(fā)現(xiàn)安全問(wèn)題,、隱患及與國(guó)家和行業(yè)標(biāo)準(zhǔn)的差距,,據(jù)此開(kāi)展建設(shè)整改,以符合等保要求,。建設(shè)整改工作是等保制度的核心和落腳點(diǎn),。
(4)等級(jí)測(cè)評(píng)是指有資質(zhì)的等級(jí)測(cè)評(píng)機(jī)構(gòu)按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),,對(duì)非涉及國(guó)家秘密的網(wǎng)絡(luò)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。目前國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的測(cè)評(píng)機(jī)構(gòu)已超過(guò)200家,。
(5)定期自查是指?jìng)浒竼挝粚?duì)網(wǎng)絡(luò)安全工作情況,、等級(jí)保護(hù)工作落實(shí)情況進(jìn)行自查,及時(shí)發(fā)現(xiàn)安全隱患和突出問(wèn)題,,有針對(duì)性地采取技術(shù)和管理措施,。第三級(jí)網(wǎng)絡(luò)應(yīng)每年進(jìn)行一次自查,第四級(jí)網(wǎng)絡(luò)每半年進(jìn)行一次自查,,在公安機(jī)關(guān)監(jiān)督檢查時(shí)如實(shí)提供自查資料及文件,。
5 系統(tǒng)定級(jí)是否越低越好?
實(shí)踐中有一些企業(yè)對(duì)等保進(jìn)行初步了解后,,擔(dān)心系統(tǒng)定級(jí)定高了后期給自己工作增加麻煩,,一方面等級(jí)高了,技術(shù)要求高了,,需要做的工作多了,;另一方面三級(jí)系統(tǒng)需要每年都做測(cè)評(píng),也覺(jué)得麻煩,。所以想著系統(tǒng)定個(gè)二級(jí)就可以了,,省事。
實(shí)際并非如此,。首先,,系統(tǒng)到底定幾級(jí)是根據(jù)受侵害的客體以及對(duì)客體侵害的程度來(lái)確定的,以事實(shí)為依據(jù),,而不是拍腦袋決定的,。系統(tǒng)等級(jí)定低了,乍一看可能工作上是容易做了,,但是反而是我們沒(méi)有落實(shí)好網(wǎng)絡(luò)安全保護(hù)義務(wù)的直接表現(xiàn),。
其次,系統(tǒng)等級(jí)低了相應(yīng)的安全防護(hù)要求也低了,,那么萬(wàn)一這個(gè)系統(tǒng)不小心被攻擊破壞造成一定不良影響,,在主管部門(mén)進(jìn)行責(zé)任認(rèn)定追查時(shí),很有可能就會(huì)因?yàn)橄到y(tǒng)定級(jí)不合理,,安全責(zé)任沒(méi)有履行到位而被處罰,,得不償失。
其三,,2019年發(fā)布的等保2.0里定級(jí)流程新增了“專(zhuān)家評(píng)審”和“主管部門(mén)審核”兩個(gè)環(huán)節(jié),,這是必經(jīng)路徑,定級(jí)過(guò)程因此而變得更加規(guī)范,,定級(jí)也更加準(zhǔn)確,。
6 等保測(cè)評(píng)是否做一次就可以?
等保工作是一個(gè)持續(xù)的工作,,等保測(cè)評(píng)也是一個(gè)周期性的工作,,三級(jí)系統(tǒng)要求每年做一次,四級(jí)系統(tǒng)每半年做一次,,二級(jí)系統(tǒng)部分行業(yè)明確要求每?jī)赡曜鲆淮?,沒(méi)有明確要求的行業(yè)建議大家兩年做一次測(cè)評(píng)。
做等保測(cè)評(píng)不應(yīng)當(dāng)抱著應(yīng)付的心態(tài)去做,,如果大家的系統(tǒng)真能按照等級(jí)保護(hù)的要求去做好,,那么系統(tǒng)的安全防護(hù)水平還是很高的。做了等保,,一方面是合規(guī),,更多的是切切實(shí)實(shí)協(xié)助我們做好單位的網(wǎng)絡(luò)安全工作。
網(wǎng)絡(luò)安全技術(shù)發(fā)展日新月異的今天,,既然我們不能百分百保證系統(tǒng)的安全,,那我們就從合規(guī)做起,把我們能做的工作及時(shí)做到位,。該做的工作做到了,,自然也就相對(duì)安全了。
7 系統(tǒng)在內(nèi)網(wǎng),,是否需要做等保,?
有一些用戶(hù)的系統(tǒng)是在單位內(nèi)網(wǎng)或者專(zhuān)網(wǎng)中,覺(jué)得系統(tǒng)不對(duì)外相對(duì)安全,,所以就可以不做等保了,。
這種理解是錯(cuò)誤的。首先,,所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇,,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒(méi)有關(guān)系;其次,,在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好,,甚至不少系統(tǒng)已經(jīng)中毒不淺。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時(shí)開(kāi)展等保工作,。
實(shí)際上,,內(nèi)網(wǎng)不代表安全,而且現(xiàn)在純粹的物理內(nèi)網(wǎng)很少了,,大部分或多或少都與互聯(lián)網(wǎng)有些連接,。內(nèi)網(wǎng)一旦中毒,擴(kuò)散很快,,而且很難清除,,因?yàn)楹芏嗉夹g(shù)措施都沒(méi)有,,幾乎在裸奔狀態(tài),一旦中毒很容易就垮了,。
8 單位的系統(tǒng)已經(jīng)上云或者系統(tǒng)托管到其他地方,,是否需要做等保?
系統(tǒng)上云的情況越來(lái)越多,,不論是公有云(阿里云,、騰訊云、亞馬遜云等)還是各類(lèi)私有云(政務(wù)云,、內(nèi)部云平臺(tái)等)或者就是直接托管到IDC機(jī)房,,一些備案單位認(rèn)為既然系統(tǒng)已經(jīng)不在自己的機(jī)房,那么系統(tǒng)的相應(yīng)安全運(yùn)維就不歸自己管了,,自然等保工作就無(wú)限延后,。
而實(shí)際上,根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé),,誰(shuí)使用誰(shuí)負(fù)責(zé),,誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己,,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,,該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí),該做等保的還是得做等保,。
因?yàn)?,系統(tǒng)上云或托管后,并不是安全責(zé)任主體轉(zhuǎn)移,,只是系統(tǒng)所在機(jī)房地址的變更,,當(dāng)然在公有云模式下,Iaas,、Paas,、Saas不同模式相應(yīng)的安全責(zé)任會(huì)有些區(qū)別,但是并不是沒(méi)有責(zé)任,。
9 云系統(tǒng)到哪里進(jìn)行系統(tǒng)定級(jí)備案,?
云系統(tǒng)由于部署在各類(lèi)云平臺(tái)上面,而云平臺(tái)的實(shí)際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者不在同一地址,,大型云平臺(tái)還有許多物理節(jié)點(diǎn),,很難確定云平臺(tái)的具體物理地址,那么這種情況下云系統(tǒng)到底到云平臺(tái)所在注冊(cè)地址進(jìn)行系統(tǒng)備案,,還是到自己所在注冊(cè)地址進(jìn)行備案,,如果自己的運(yùn)維團(tuán)隊(duì)和注冊(cè)經(jīng)營(yíng)地址不一致怎么辦?到底去哪里備案?
云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門(mén)進(jìn)行系統(tǒng)備案,,因?yàn)檫@樣方便屬地公安對(duì)系統(tǒng)進(jìn)行監(jiān)管,。在云計(jì)算環(huán)境中,應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí),,云租戶(hù)側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí),。
10 第三方咨詢(xún)機(jī)構(gòu)能為備案單位提供哪些幫助?
專(zhuān)業(yè)律所,、技術(shù)公司等第三方咨詢(xún)機(jī)構(gòu),,可以在等保對(duì)象梳理,、定級(jí),、備案、網(wǎng)絡(luò)安全建設(shè)等階段,,為備案單位提供全方位的協(xié)助,,具體如下:
(1)等保對(duì)象梳理
工作內(nèi)容:梳理備案單位現(xiàn)有網(wǎng)絡(luò)系統(tǒng),確定定級(jí)對(duì)象,,制定等保工作計(jì)劃,。
參與方:專(zhuān)業(yè)律所、技術(shù)公司等咨詢(xún)機(jī)構(gòu),。
(2)定級(jí)
工作內(nèi)容:確定各定級(jí)對(duì)象的網(wǎng)絡(luò)安全等級(jí),,組織專(zhuān)家評(píng)審并報(bào)請(qǐng)主管部門(mén)核準(zhǔn)。
參與方:專(zhuān)業(yè)律所,、技術(shù)公司等咨詢(xún)機(jī)構(gòu)/評(píng)審專(zhuān)家,、主管部門(mén)。
(3)備案
工作內(nèi)容:填寫(xiě)定級(jí)備案表,,準(zhǔn)備定級(jí)報(bào)告等保安材料,,提交至當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門(mén)。
參與方:專(zhuān)業(yè)律所,、技術(shù)公司等咨詢(xún)機(jī)構(gòu),、公安機(jī)關(guān)。
