• 公司产品
  • 工控安全类
  • 安全实验室类
  • 安全监管类
  • 检测防御类
  • 安全评估类

您的位置: 首页  >  动态资讯  >  安全服务资讯

11-01   ———
千呼万唤始出来||公安《等保条例》增加了“约谈”制度
在《网络安全法》确立“网络安全”等级保护制度以前,我国已于2007年实施“信息系统安全”等级保护制度,而随着当今移动应用、大数据、物联网、人工智能、区块链等新技术...

在《网络安全法》确立“网络安全”等级保护制度以前,我国已于2007年实施“信息系统安全”等级保护制度,而随着当今移动应用、大数据、物联网、人工智能、区块链等新技术的飞速发展,“信息系统安全”等级保护制度已明显不适应新的技术、经济环境。


今年,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。


根据《等保条例》的规定,中央网络安全和信息化领导机构统一领导网络安全等级保护工作,其他涉及到的包括网信、公安、保密部门、密码等部门以及县级以上地方人民政府、行业主管部门在各自职权范围内开展网络安全等级保护工作。


而在执法的手段方面,除了以往的处罚手段外,还增加了“约谈”这一制度,而且这一制度目前是使用频率最高的,公安部门、保密管理部门、密码管理管理可以直接约谈企业的法定代表人。


分级保护标准


违反相关法律的新闻今年以来已不鲜见。从执法的角度而言,等级保护对于法律合规有着不可或缺的重要意义,这也使得《网络安全法》的威慑力更加具体,也更加强大。等级保护的五级划分标准这里不再赘述,原则上是以信息系统造成损失后给社会、国家造成损失的严重程度来定的,就实际操作而言,通常把三级作为定级的一个水平线,目前很多地方和行业都要求标准至少要达到三级。


按照当前相关规定的要求,定级的信息系统并不是依照所属单位或者是机构来划分,而是以网络系统为主体分别识别,假如一家单位拥有多套系统,那么也是需要分别定级的。


关键基础设施


《等保条例》中明确公安机关将对第三级以上网络运营者的相关责任义务实行重点监督管理。《等保条例》针对第三级以上网络的运营者提出了涉及网络安全管理、防护、等级测评等方面的特殊安全保护要求,与《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》中对于关键信息基础设施运营者的要求有着很强的呼应关系。


数据安全


该《等保条例》的一个亮点就是把“网安法”和“保守国家秘密法”都列为“等保条例”的上位法,这既提高了“等保条例”的位阶,又解决了“网安法”以及等保实践中的一个怪现象:看重网络安全、看轻数据安全——与IT相关的操作风险被关注、与数据相关的合规风险和欺诈风险被看轻。


上述这个问题在《等保条例》中被彻底扭转。该条例第四条明确规定:网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。


你的网络如果收集、储存、传输或者用其他方式处理数据的,《等保条例》就适用你!同时从某种程度上印证了我们的一个观点:数据的保护和合规不能头痛医头、脚痛医脚——今天出了一个管数据X的规定只去管X、明天出了一个管数据Y的规定只去管Y——相反,我们既应当考虑不同数据对于同一平台的不同合规要求(个人信息、国家秘密、竞争情报、商业秘密、重要数据等对于网络的不同要求或者对于网络脆弱程度的不同考量);我们也应当考虑同一数据的不同合规特性(比如地理测绘数据既是商业秘密同时又是国家机密,再比如定价机制既是商业秘密又是竞争情报)。另外,企业还必须考虑不同利害关系方因为网络的脆弱(vulnerability)而所可能遭受的不同损害。


风险防控


《等保条例》的第二个亮点就是加入了合规管理、风险防控的概念——合规管理最终一定要落实到风险防控,没有对风险的控制,合规不能落实到实处。


关于风险防控,《等保条例》第四条提出了网络安全等级保护工作点三个原则:突出重点、主动防御、综合防控。这与我们针对“智能网联安全出行”提出的风险管控三原则也是不谋而合,它们是:风险穿透、主动管理、联合管理。


自查自纠


《等保条例》的另一个亮点就是提出网络运营者的自查工作。这也是广大企业在网安实务当中非常纠结的一件事——网安合规或网安等保的底限在哪里:是内部的自查自纠还是外部测评机构的测评?很多企业想做自我测评,甚至想借助外部力量比如律所来做自我测评,但又怀疑自我测评的效力——《等保条例》也彻底地解决了这个问题:网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告(第二十五条)。换言之,自查工作不是要不要做的问题,而是必须要做的问题。


总结


安全是发展的前提和基础,这么多的政策及法律支撑并要求我们及时开展网络安全和等级保护工作,我们没有理由不去做这块工作。“没有网络安全就没有国家安全”不是一句空话,需要网络安全行业整体行动起来做一些事情。