《網(wǎng)絡(luò )安全等級保護條例》與《信息安全等級保護管理辦法》
2018年6月27日,公安部發(fā)布《網(wǎng)絡(luò )安全等級保護條例(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)“《征求意見(jiàn)稿》”),向社會(huì )公開(kāi)征求意見(jiàn)?!墩髑笠庖?jiàn)稿》包括總則、支持與保障、網(wǎng)絡(luò )的安全保護、涉密網(wǎng)絡(luò )的安全保護、密碼管理、監督管理、法律責任和附則等八章,共七十三條。
《征求意見(jiàn)稿》對于網(wǎng)絡(luò )安全等級保護的各項要求、工作流程、涉密網(wǎng)絡(luò )、密碼管理等方面做出了非常細致的規定。對比《網(wǎng)絡(luò )安全法》頒布之前的《信息安全等級保護管理辦法》及其配套的相關(guān)規范、標準(以下簡(jiǎn)稱(chēng)“等保1.0”),《網(wǎng)絡(luò )安全法》頒布之后的網(wǎng)絡(luò )安全等級保護制度(以下簡(jiǎn)稱(chēng)“等保2.0”)結合新時(shí)期的網(wǎng)絡(luò )安全新形勢、新變化以及新技術(shù)、新應用的發(fā)展提出了更高的要求,網(wǎng)絡(luò )安全等級保護制度成為一個(gè)全新的國家網(wǎng)絡(luò )安全基本制度體系。
我們昨天推出《從<網(wǎng)絡(luò )安全等級保護條例(征求意見(jiàn)稿)>看等保1.0到等保2.0的重要變化》,以《征求意見(jiàn)稿》為抓手,從法律依據的效力位階、領(lǐng)導機構和主管部門(mén)、保護對象和適用范圍、等級分類(lèi)界定、法律責任五個(gè)角度,對等保1.0到等保2.0所發(fā)生的重要變化進(jìn)行分析。
本文為《從<網(wǎng)絡(luò )安全等級保護條例(征求意見(jiàn)稿)>看等保1.0到等保2.0的重要變化》中提到的《征求意見(jiàn)稿》與《管理辦法》的條款比對,讀者可通過(guò)本文對等保1.0到等保2.0的變化做更深入的了解。
下列對比中,前為等保2.0《網(wǎng)絡(luò )安全等級保護條例(征求意見(jiàn)稿)》,后為等保1.0《信息安全等級保護管理辦法》。
宗旨
加強網(wǎng)絡(luò )安全等級保護工作,提高網(wǎng)絡(luò )安全防范能力和水平,維護網(wǎng)絡(luò )空間主權和國家安全、社會(huì )公共利益,保護公民、法人和其他組織的合法權益,促進(jìn)經(jīng)濟社會(huì )信息化健康發(fā)展
規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會(huì )穩定和公共利益,保障和促進(jìn)信息化建設
立法依據
《網(wǎng)絡(luò )安全法》、《保守國家秘密法》等
《計算機信息系統安全保護條例》等
定義
網(wǎng)絡(luò ):由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集、存儲、傳輸、交換、處理的系統。
信息系統:由計算機及其相關(guān)和配套的設備、設施構成的,按照一定的應用目標和規則對信息進(jìn)行存儲、傳輸、處理的系統或者網(wǎng)絡(luò )。
(來(lái)源:《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》第3條第2款)
工作原則
突出重點(diǎn)、主動(dòng)防御、綜合防控,重點(diǎn)保護涉及國家安全、國計民生、社會(huì )公共利益的網(wǎng)絡(luò )的基礎設施安全、運行安全和數據安全。
明確責任,共同保護;依照標準,自行保護;同步建設,動(dòng)態(tài)調整;指導監督,重點(diǎn)保護。國家重點(diǎn)保護涉及國家安全、經(jīng)濟命脈、社會(huì )穩定的基礎信息網(wǎng)絡(luò )和重要信息系統。
(來(lái)源:《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》第2條)
職責分工
中央網(wǎng)絡(luò )安全和信息化領(lǐng)導機構統一領(lǐng)導網(wǎng)絡(luò )安全等級保護工作;國家網(wǎng)信部門(mén)負責網(wǎng)絡(luò )安全等級保護工作的統籌協(xié)調;
國務(wù)院公安部門(mén)主管網(wǎng)絡(luò )安全等級保護工作;國家保密行政管理部門(mén)主管涉密網(wǎng)絡(luò )分級保護工作;國家密碼管理部門(mén)負責網(wǎng)絡(luò )安全等級保護工作中有關(guān)密碼管理工作的監督管理。
公安機關(guān)負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門(mén)負責等級保護工作中有關(guān)保密工作的監督、檢查、指導。國家密碼管理部門(mén)負責等級保護工作中有關(guān)密碼工作的監督、檢查、指導。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機構負責等級保護工作的部門(mén)間協(xié)調。
責任義務(wù)
網(wǎng)絡(luò )運營(yíng)者應當依法開(kāi)展網(wǎng)絡(luò )定級備案、安全建設整改、等級測評和自查等工作,采取管理和技術(shù)措施,保障網(wǎng)絡(luò )基礎設施安全、網(wǎng)絡(luò )運行安全、數據安全和信息安全,有效應對網(wǎng)絡(luò )安全事件,防范網(wǎng)絡(luò )違法犯罪活動(dòng)。
信息系統運營(yíng)、使用單位依據該管理辦法和相關(guān)技術(shù)標準對信息系統進(jìn)行保護。
支持保障
建立健全網(wǎng)絡(luò )安全等級保護制度的組織領(lǐng)導體系、技術(shù)支持體系和保障體系。其中,行業(yè)主管部門(mén)、各級人民政府應當將網(wǎng)絡(luò )安全等級保護工作納入績(jì)效考核評價(jià)、社會(huì )治安綜合治理考核等。
等級分類(lèi)
分類(lèi)依據:網(wǎng)絡(luò )在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會(huì )秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權益的危害程度等因素。
分類(lèi)依據:信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度,信息系統遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素。
網(wǎng)絡(luò )等級:五級
信息系統安全保護等級:五級
第一級,一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會(huì )秩序和公共利益的一般網(wǎng)絡(luò )。
第一級,信息系統受到破壞后,會(huì )對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會(huì )秩序和公共利益。
第二級,一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成嚴重損害,或者對社會(huì )秩序和公共利益造成危害,但不危害國家安全的一般網(wǎng)絡(luò )。
第二級,信息系統受到破壞后,會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害,或者對社會(huì )秩序和公共利益造成損害,但不損害國家安全。
第三級,一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成特別嚴重損害,或者會(huì )對社會(huì )秩序和社會(huì )公共利益造成嚴重危害,或者對國家安全造成危害的重要網(wǎng)絡(luò )。
第三級,信息系統受到破壞后,會(huì )對社會(huì )秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,一旦受到破壞會(huì )對社會(huì )秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害的特別重要網(wǎng)絡(luò )。
第四級,信息系統受到破壞后,會(huì )對社會(huì )秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,一旦受到破壞后會(huì )對國家安全造成特別嚴重危害的極其重要網(wǎng)絡(luò )。
第五級,信息系統受到破壞后,會(huì )對國家安全造成特別嚴重損害。
網(wǎng)絡(luò )定級
網(wǎng)絡(luò )運營(yíng)者應當在規劃設計階段確定網(wǎng)絡(luò )的安全保護等級。當網(wǎng)絡(luò )功能、服務(wù)范圍、服務(wù)對象和處理的數據等發(fā)生重大變化時(shí),網(wǎng)絡(luò )運營(yíng)者應當依法變更網(wǎng)絡(luò )的安全保護等級。
自主定級、自主保護。
定級評審
對擬定為第二級以上的網(wǎng)絡(luò ),其運營(yíng)者應當組織專(zhuān)家評審;有行業(yè)主管部門(mén)的,應當在評審后報請主管部門(mén)核準。
跨省或者全國統一聯(lián)網(wǎng)運行的網(wǎng)絡(luò )由行業(yè)主管部門(mén)統一擬定安全保護等級,統一組織定級評審;
行業(yè)主管部門(mén)可以依據國家標準規范,結合本行業(yè)網(wǎng)絡(luò )特點(diǎn)制定行業(yè)網(wǎng)絡(luò )安全等級保護定級指導意見(jiàn)。
信息系統運營(yíng)、使用單位確定信息系統的安全保護等級。有主管部門(mén)的,應當經(jīng)主管部門(mén)審核批準;
跨省或者全國統一聯(lián)網(wǎng)運行的信息系統可以由主管部門(mén)統一確定安全保護等級;
對擬確定為第四級以上信息系統的,運營(yíng)、使用單位或者主管部門(mén)應當請國家信息安全保護等級專(zhuān)家評審委員會(huì )評審。
定級備案
第二級以上網(wǎng)絡(luò )運營(yíng)者應當在網(wǎng)絡(luò )的安全保護等級確定后10個(gè)工作日內,到縣級以上公安機關(guān)備案;
因網(wǎng)絡(luò )撤銷(xiāo)或變更調整安全保護等級的,應當在10個(gè)工作日內向原受理備案公安機關(guān)辦理備案撤銷(xiāo)或變更手續;
公安機關(guān)應當對網(wǎng)絡(luò )運營(yíng)者提交的備案材料進(jìn)行審核。對定級準確、備案材料符合要求的,應在10個(gè)工作日內出具網(wǎng)絡(luò )安全等級保護備案證明。
已運營(yíng)(運行)的第二級以上信息系統,應當在安全保護等級確定后30日內,由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續;
新建第二級以上信息系統,應當在投入運行后30日內,由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。
隸屬于中央的在京單位,其跨省或者全國統一聯(lián)網(wǎng)運行并由主管部門(mén)統一定級的信息系統,由主管部門(mén)向公安部辦理備案手續??缡』蛘呷珖y一聯(lián)網(wǎng)運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關(guān)備案。
信息系統備案后,公安機關(guān)應當對信息系統的備案情況進(jìn)行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個(gè)工作日內頒發(fā)信息系統安全等級保護備案證明;發(fā)現不符合《信息安全等級保護管理辦法》及有關(guān)標準的,應當在收到備案材料之日起的10個(gè)工作日內通知備案單位予以糾正;發(fā)現定級不準的,應當在收到備案材料之日起的10個(gè)工作日內通知備案單位重新審核確定。
安全保護義務(wù)
網(wǎng)絡(luò )運營(yíng)者的一般安全保護義務(wù),及第三級以上網(wǎng)絡(luò )運營(yíng)者的特殊安全保護義務(wù)(詳見(jiàn)《網(wǎng)絡(luò )安全等級保護條例(征求意見(jiàn)稿)》第20條及第21條)
信息系統運營(yíng)、使用單位應當按照《信息系統安全等級保護實(shí)施指南》具體實(shí)施等級保護工作。
上線(xiàn)檢測
新建的第二級網(wǎng)絡(luò )上線(xiàn)運行前應當按照網(wǎng)絡(luò )安全等級保護有關(guān)標準規范,對網(wǎng)絡(luò )的安全性進(jìn)行測試。
新建的第三級以上網(wǎng)絡(luò )上線(xiàn)運行前應當委托網(wǎng)絡(luò )安全等級測評機構按照網(wǎng)絡(luò )安全等級保護有關(guān)標準規范進(jìn)行等級測評,通過(guò)等級測評后方可投入運行。
等級測評
第三級以上網(wǎng)絡(luò )的運營(yíng)者應當每年開(kāi)展一次網(wǎng)絡(luò )安全等級測評,發(fā)現并整改安全風(fēng)險隱患,并每年將開(kāi)展網(wǎng)絡(luò )安全等級測評的工作情況及測評結果向備案的公安機關(guān)報告。
信息系統建設完成后,運營(yíng)、使用單位或者其主管部門(mén)應當選擇符合該管理辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術(shù)標準,定期對信息系統安全等級狀況開(kāi)展等級測評。第三級信息系統應當每年至少進(jìn)行一次等級測評,第四級信息系統應當每半年至少進(jìn)行一次等級測評,第五級信息系統應當依據特殊安全需求進(jìn)行等級測評。
安全整改
網(wǎng)絡(luò )運營(yíng)者應當對等級測評中發(fā)現的安全風(fēng)險隱患,制定整改方案,落實(shí)整改措施,消除風(fēng)險隱患。
經(jīng)測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營(yíng)、使用單位應當制定方案進(jìn)行整改。
自查
網(wǎng)絡(luò )運營(yíng)者應當每年對本單位落實(shí)網(wǎng)絡(luò )安全等級保護制度情況和網(wǎng)絡(luò )安全狀況至少開(kāi)展一次自查,發(fā)現安全風(fēng)險隱患及時(shí)整改,并向備案的公安機關(guān)報告。
信息系統運營(yíng)、使用單位及其主管部門(mén)應當定期對信息系統安全狀況、安全保護制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統應當每年至少進(jìn)行一次自查,第四級信息系統應當每半年至少進(jìn)行一次自查,第五級信息系統應當依據特殊安全需求進(jìn)行自查。
測評機構、網(wǎng)絡(luò )服務(wù)機構要求
網(wǎng)絡(luò )安全等級測評機構應當為網(wǎng)絡(luò )運營(yíng)者提供安全、客觀(guān)、公正的等級測評服務(wù)。
網(wǎng)絡(luò )安全等級測評機構應當與網(wǎng)絡(luò )運營(yíng)者簽署服務(wù)協(xié)議,并對測評人員進(jìn)行安全保密教育,與其簽訂安全保密責任書(shū),明確測評人員的安全保密義務(wù)和法律責任,組織測評人員參加專(zhuān)業(yè)培訓。
從事信息系統安全等級測評的機構,應當履行下列義務(wù):
(一)遵守國家有關(guān)法律法規和技術(shù)標準,提供安全、客觀(guān)、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;
(二)保守在測評活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私,防范測評風(fēng)險;
(三)對測評人員進(jìn)行安全保密教育,與其簽訂安全保密責任書(shū),規定應當履行的安全保密義務(wù)和承擔的法律責任,并負責檢查落實(shí)。
網(wǎng)絡(luò )服務(wù)提供者為第三級以上網(wǎng)絡(luò )提供網(wǎng)絡(luò )建設、運行維護、安全監測、數據分析等網(wǎng)絡(luò )服務(wù),應當符合國家有關(guān)法律法規和技術(shù)標準的要求。
網(wǎng)絡(luò )安全等級測評機構等網(wǎng)絡(luò )服務(wù)提供者應當保守服務(wù)過(guò)程中知悉的國家秘密、個(gè)人信息和重要數據。不得非法使用或擅自發(fā)布、披露在提供服務(wù)中收集掌握的數據信息和系統漏洞、惡意代碼、網(wǎng)絡(luò )入侵攻擊等網(wǎng)絡(luò )安全信息。
產(chǎn)品服務(wù)采購使用安全要求
第三級以上網(wǎng)絡(luò )運營(yíng)者應當采用與其安全保護等級相適應的網(wǎng)絡(luò )產(chǎn)品和服務(wù);對重要部位使用的網(wǎng)絡(luò )產(chǎn)品,應當委托專(zhuān)業(yè)測評機構進(jìn)行專(zhuān)項測試,根據測試結果選擇符合要求的網(wǎng)絡(luò )產(chǎn)品;采購網(wǎng)絡(luò )產(chǎn)品和服務(wù),可能影響國家安全的,應當通過(guò)國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)組織的國家安全審查。
第三級以上信息系統應當選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內具有獨立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權;
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設置漏洞、后門(mén)、木馬等程序和功能;
(五)對國家安全、社會(huì )秩序、公共利益不構成危害;
(六)對已列入信息安全產(chǎn)品認證目錄的,應當取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書(shū)。
技術(shù)維護要求
第三級以上網(wǎng)絡(luò )應當在境內實(shí)施技術(shù)維護,不得境外遠程技術(shù)維護。因業(yè)務(wù)需要,確需進(jìn)行境外遠程技術(shù)維護的,應當進(jìn)行網(wǎng)絡(luò )安全評估,并采取風(fēng)險管控措施。實(shí)施技術(shù)維護,應當記錄并留存技術(shù)維護日志,并在公安機關(guān)檢查時(shí)如實(shí)提供。
監測預警和信息通報
第三級以上網(wǎng)絡(luò )運營(yíng)者應當建立健全網(wǎng)絡(luò )安全監測預警和信息通報制度,按照規定向同級公安機關(guān)報送網(wǎng)絡(luò )安全監測預警信息,報告網(wǎng)絡(luò )安全事件。有行業(yè)主管部門(mén)的,同時(shí)向行業(yè)主管部門(mén)報送和報告。
數據和信息安全保護
網(wǎng)絡(luò )運營(yíng)者應當建立并落實(shí)重要數據和個(gè)人信息安全保護制度;采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷(xiāo)毀過(guò)程中的安全;建立異地備份恢復等技術(shù)措施,保障重要數據的完整性、保密性和可用性。
未經(jīng)允許或授權,網(wǎng)絡(luò )運營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的數據和個(gè)人信息;不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個(gè)人信息;不得泄露、篡改、損毀其收集的數據和個(gè)人信息;不得非授權訪(fǎng)問(wèn)、使用、提供數據和個(gè)人信息。
應急處置
第三級以上網(wǎng)絡(luò )的運營(yíng)者應當按照國家有關(guān)規定,制定網(wǎng)絡(luò )安全應急預案,定期開(kāi)展網(wǎng)絡(luò )安全應急演練。網(wǎng)絡(luò )運營(yíng)者處置網(wǎng)絡(luò )安全事件應當保護現場(chǎng),記錄并留存相關(guān)數據信息,并及時(shí)向公安機關(guān)和行業(yè)主管部門(mén)報告。
審計審核
網(wǎng)絡(luò )運營(yíng)者建設、運營(yíng)、維護和使用網(wǎng)絡(luò ),向社會(huì )公眾提供需取得行政許可的經(jīng)營(yíng)活動(dòng)的,相關(guān)主管部門(mén)應當將網(wǎng)絡(luò )安全等級保護制度落實(shí)情況納入審計、審核范圍。
新技術(shù)新應用風(fēng)險管控
網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度要求,采取措施,管控云計算、大數據、人工智能、物聯(lián)網(wǎng)、工控系統和移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新應用帶來(lái)的安全風(fēng)險,消除安全隱患。
涉密分級
涉密網(wǎng)絡(luò )按照存儲、處理、傳輸國家秘密的最高密級分為絕密級、機密級和秘密級。
涉密信息系統按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個(gè)等級。
涉密網(wǎng)絡(luò )定級
涉密網(wǎng)絡(luò )運營(yíng)者應當依法確定涉密網(wǎng)絡(luò )的密級,通過(guò)本單位保密委員會(huì )(領(lǐng)導小組)的審定,并向同級保密行政管理部門(mén)備案。
涉密信息系統建設使用單位應當在信息規范定密的基礎上,依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術(shù)要求》確定系統等級。對于包含多個(gè)安全域的涉密信息系統,各安全域可以分別確定保護等級。
涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況,及時(shí)上報業(yè)務(wù)主管部門(mén)的保密工作機構和負責系統審批的保密工作部門(mén)備案,并接受保密部門(mén)的監督、檢查、指導。
涉密網(wǎng)絡(luò )建設管理
涉密網(wǎng)絡(luò )運營(yíng)者委托其他單位承擔涉密網(wǎng)絡(luò )建設的,應當選擇具有相應涉密信息系統集成資質(zhì)的單位,并與建設單位簽訂保密協(xié)議,明確保密責任,采取保密措施。
涉密信息系統建設使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統的設計與實(shí)施。
涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術(shù)標準,按照秘密、機密、絕密三級的不同要求,結合系統實(shí)際進(jìn)行方案設計,實(shí)施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。
涉密網(wǎng)絡(luò )信息設備、安全保密產(chǎn)品管理
涉密網(wǎng)絡(luò )中使用的信息設備,應當從國家有關(guān)主管部門(mén)發(fā)布的涉密專(zhuān)用信息設備名錄中選擇;未納入名錄的,應選擇政府采購目錄中的產(chǎn)品。確需選用進(jìn)口產(chǎn)品的,應當進(jìn)行安全保密檢測。
涉密網(wǎng)絡(luò )運營(yíng)者不得選用國家保密行政管理部門(mén)禁止使用或者政府采購主管部門(mén)禁止采購的產(chǎn)品。
涉密網(wǎng)絡(luò )中使用的安全保密產(chǎn)品,應當通過(guò)國家保密行政管理部門(mén)設立的檢測機構檢測。計算機病毒防護產(chǎn)品應當選用取得計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證的可靠產(chǎn)品,密碼產(chǎn)品應當選用國家密碼管理部門(mén)批準的產(chǎn)品。
涉密信息系統使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品,并應當通過(guò)國家保密局授權的檢測機構依據有關(guān)國家保密標準進(jìn)行的檢測,通過(guò)檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
涉密網(wǎng)絡(luò )測評審查和風(fēng)險評估
涉密網(wǎng)絡(luò )應當由國家保密行政管理部門(mén)設立或者授權的保密測評機構進(jìn)行檢測評估,并經(jīng)設區的市級以上保密行政管理部門(mén)審查合格,方可投入使用。
涉密網(wǎng)絡(luò )運營(yíng)者在涉密網(wǎng)絡(luò )投入使用后,應定期開(kāi)展安全保密檢查和風(fēng)險自評估,并接受保密行政管理部門(mén)組織的安全保密風(fēng)險評估。絕密級網(wǎng)絡(luò )每年至少進(jìn)行一次,機密級和秘密級網(wǎng)絡(luò )每?jì)赡曛辽龠M(jìn)行一次。
涉密信息系統建設使用單位在系統工程實(shí)施結束后,應當向保密工作部門(mén)提出申請,由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》,對涉密信息系統進(jìn)行安全保密測評。
涉密信息系統建設使用單位在系統投入使用前,應當按照《涉及國家秘密的信息系統審批管理規定》,向設區的市級以上保密工作部門(mén)申請進(jìn)行系統審批,涉密信息系統通過(guò)審批后方可投入使用。已投入使用的涉密信息系統,其建設使用單位在按照分級保護要求完成系統整改后,應當向保密工作部門(mén)備案。
涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》,加強涉密信息系統運行中的保密管理,定期進(jìn)行風(fēng)險評估,消除泄密隱患和漏洞。
涉密網(wǎng)絡(luò )使用管理總體要求
涉密網(wǎng)絡(luò )運營(yíng)者應當制定安全保密管理制度,組建相應管理機構,設置安全保密管理人員,落實(shí)安全保密責任。
涉密網(wǎng)絡(luò )預警通報要求
涉密網(wǎng)絡(luò )運營(yíng)者應建立健全本單位涉密網(wǎng)絡(luò )安全保密監測預警和信息通報制度,發(fā)現安全風(fēng)險隱患的,應及時(shí)采取應急處置措施,并向保密行政管理部門(mén)報告。
涉密網(wǎng)絡(luò )重大變化的處置
有下列情形之一的,涉密網(wǎng)絡(luò )運營(yíng)者應當按照國家保密規定及時(shí)向保密行政管理部門(mén)報告并采取相應措施:
(一)密級發(fā)生變化的;
(二)連接范圍、終端數量超出審查通過(guò)的范圍、數量的;
(三)所處物理環(huán)境或者安全保密設施變化可能導致新的安全保密風(fēng)險的;
(四)新增應用系統的,或者應用系統變更、減少可能導致新的安全保密風(fēng)險的。
對前款所列情形,保密行政管理部門(mén)應當及時(shí)作出是否對涉密網(wǎng)絡(luò )重新進(jìn)行檢測評估和審查的決定。
涉密信息系統發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時(shí),其建設使用單位應當及時(shí)向負責審批的保密工作部門(mén)報告。保密工作部門(mén)應當根據實(shí)際情況,決定是否對其重新進(jìn)行測評和審批。
涉密網(wǎng)絡(luò )廢止
涉密網(wǎng)絡(luò )不再使用的,涉密網(wǎng)絡(luò )運營(yíng)者應當及時(shí)向保密行政管理部門(mén)報告,并按照國家保密規定和標準對涉密信息設備、產(chǎn)品、涉密載體等進(jìn)行處理。
確定密碼要求
國家密碼管理部門(mén)根據網(wǎng)絡(luò )的安全保護等級、涉密網(wǎng)絡(luò )的密級和保護等級,確定密碼的配備、使用、管理和應用安全性評估要求,制定網(wǎng)絡(luò )安全等級保護密碼標準規范。
國家密碼管理部門(mén)對信息安全等級保護的密碼實(shí)行分類(lèi)分級管理。根據被保護對象在國家安全、社會(huì )穩定、經(jīng)濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門(mén)的性質(zhì)等,確定密碼的等級保護準則。
信息系統安全等級保護中密碼的配備、使用和管理等,應當嚴格執行國家密碼管理的有關(guān)規定。
涉密網(wǎng)絡(luò )密碼保護
涉密網(wǎng)絡(luò )及傳輸的國家秘密信息,應當依法采用密碼保護。
密碼產(chǎn)品應當經(jīng)過(guò)密碼管理部門(mén)批準,采用密碼技術(shù)的軟件系統、硬件設備等產(chǎn)品,應當通過(guò)密碼檢測。
密碼的檢測、裝備、采購和使用等,由密碼管理部門(mén)統一管理;系統設計、運行維護、日常管理和密碼評估,應當按照國家密碼管理相關(guān)法規和標準執行。
采用密碼對涉及國家秘密的信息和信息系統進(jìn)行保護的,應報經(jīng)國家密碼管理局審批,密碼的設計、實(shí)施、使用、運行維護和日常管理等,應當按照國家密碼管理有關(guān)規定和相關(guān)標準執行。
非涉密網(wǎng)絡(luò )密碼保護
非涉密網(wǎng)絡(luò )應當按照國家密碼管理法律法規和標準的要求,使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò )應當采用密碼保護,并使用國家密碼管理部門(mén)認可的密碼技術(shù)、產(chǎn)品和服務(wù)。
第三級以上網(wǎng)絡(luò )運營(yíng)者應在網(wǎng)絡(luò )規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關(guān)標準,委托密碼應用安全性測評機構開(kāi)展密碼應用安全性評估。網(wǎng)絡(luò )通過(guò)評估后,方可上線(xiàn)運行,并在投入運行后,每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關(guān)和所在地設區市的密碼管理部門(mén)備案。
采用密碼對不涉及國家秘密的信息和信息系統進(jìn)行保護的,須遵守《商用密碼管理條例》和密碼分類(lèi)分級保護有關(guān)規定與相關(guān)標準,其密碼的配備使用情況應當向國家密碼管理機構備案。
密碼安全管理責任
網(wǎng)絡(luò )運營(yíng)者應當按照國家密碼管理法規和相關(guān)管理要求,履行密碼安全管理職責,加強密碼安全制度建設,完善密碼安全管理措施,規范密碼使用行為。
任何單位和個(gè)人不得利用密碼從事危害國家安全、社會(huì )公共利益的活動(dòng),或者從事其他違法犯罪活動(dòng)。
密碼產(chǎn)品使用
運用密碼技術(shù)對信息系統進(jìn)行系統等級保護建設和整改的,必須采用經(jīng)國家密碼管理部門(mén)批準使用或者準于銷(xiāo)售的密碼產(chǎn)品進(jìn)行安全保護,不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。
密碼及密碼設備測評
信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔,其他任何部門(mén)、單位和個(gè)人不得對密碼進(jìn)行評測和監控。
密碼配備、使用和管理檢查和測評
各級密碼管理部門(mén)可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評,對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測評。在監督檢查過(guò)程中,發(fā)現存在安全隱患或者違反密碼管理相關(guān)規定或者未達到密碼相關(guān)標準要求的,應當按照國家密碼管理的相關(guān)規定進(jìn)行處置。
監督管理
公安機關(guān):負責安全監督管理,對第三級以上網(wǎng)絡(luò )運營(yíng)者按照網(wǎng)絡(luò )安全等級保護制度落實(shí)網(wǎng)絡(luò )基礎設施安全、網(wǎng)絡(luò )運行安全和數據安全保護責任義務(wù),實(shí)行重點(diǎn)監督管理。(第49條)
保密行政管理部門(mén):負責保密監督管理。(第57條)
密碼管理部門(mén):負責密碼監督管理,重要涉密信息系統每?jì)赡曛辽匍_(kāi)展一次監督檢查。(第58條)
行業(yè)主管部門(mén):負責行業(yè)監督管理。(第59條)
公安機關(guān)、國家指定的專(zhuān)門(mén)部門(mén)的安全監督、檢查、指導;
國家和地方各級保密工作部門(mén)依法對各地區、各部門(mén)涉密信息系統分級保護工作實(shí)施監督管理。
安全檢查
縣級以上公安機關(guān)對網(wǎng)絡(luò )運營(yíng)者開(kāi)展下列網(wǎng)絡(luò )安全工作情況進(jìn)行監督檢查:
(一)日常網(wǎng)絡(luò )安全防范工作;
(二)重大網(wǎng)絡(luò )安全風(fēng)險隱患整改情況;
(三)重大網(wǎng)絡(luò )安全事件應急處置和恢復工作;
(四)重大活動(dòng)網(wǎng)絡(luò )安全保護工作落實(shí)情況;
(五)其他網(wǎng)絡(luò )安全保護工作情況。
受理備案的公安機關(guān)應當對第三級、第四級信息系統的運營(yíng)、使用單位的信息安全等級保護工作情況進(jìn)行檢查。
公安機關(guān)對第三級以上網(wǎng)絡(luò )運營(yíng)者每年至少開(kāi)展一次安全檢查。涉及相關(guān)行業(yè)的可以會(huì )同其行業(yè)主管部門(mén)開(kāi)展安全檢查。必要時(shí),公安機關(guān)可以委托社會(huì )力量提供技術(shù)支持。
對第三級信息系統每年至少檢查一次,對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯(lián)網(wǎng)運行的信息系統的檢查,應當會(huì )同其主管部門(mén)進(jìn)行。對第五級信息系統,應當由國家指定的專(zhuān)門(mén)部門(mén)進(jìn)行檢查。
公安機關(guān)依法實(shí)施監督檢查,網(wǎng)絡(luò )運營(yíng)者應當協(xié)助、配合,并按照公安機關(guān)要求如實(shí)提供相關(guān)數據信息。
信息系統運營(yíng)、使用單位應當接受公安機關(guān)、國家指定的專(zhuān)門(mén)部門(mén)的安全監督、檢查、指導,如實(shí)向公安機關(guān)、國家指定的專(zhuān)門(mén)部門(mén)提供有關(guān)信息安全保護的信息資料及數據文件。
公安機關(guān)在監督檢查中發(fā)現網(wǎng)絡(luò )安全風(fēng)險隱患的,應當責令網(wǎng)絡(luò )運營(yíng)者采取措施立即消除;不能立即消除的,應當責令其限期整改。
公安機關(guān)發(fā)現第三級以上網(wǎng)絡(luò )存在重大安全風(fēng)險隱患的,應當及時(shí)通報行業(yè)主管部門(mén),并向同級網(wǎng)信部門(mén)通報。
公安機關(guān)在監督檢查中發(fā)現重要行業(yè)或本地區存在嚴重威脅國家安全、公共安全和社會(huì )公共利益的重大網(wǎng)絡(luò )安全風(fēng)險隱患的,應報告同級人民政府、網(wǎng)信部門(mén)和上級公安機關(guān)。
公安機關(guān)檢查發(fā)現信息系統安全保護狀況不符合信息安全等級保護有關(guān)管理規范和技術(shù)標準的,應當向運營(yíng)、使用單位發(fā)出整改通知。運營(yíng)、使用單位應當根據整改通知要求,按照管理規范和技術(shù)標準進(jìn)行整改。整改完成后,應當將整改報告向公安機關(guān)備案。必要時(shí),公安機關(guān)可以對整改情況組織檢查。
對測評機構和安全建設機構的監管
國家對網(wǎng)絡(luò )安全等級測評機構和安全建設機構實(shí)行推薦目錄管理,指導網(wǎng)絡(luò )安全等級測評機構和安全建設機構建立行業(yè)自律組織,制定行業(yè)自律規范,加強自律管理。
非涉密網(wǎng)絡(luò )安全等級測評機構和安全建設機構具體管理辦法,由國務(wù)院公安部門(mén)制定。保密科技測評機構管理辦法由國家保密行政管理部門(mén)制定。
關(guān)鍵人員管理
第三級以上網(wǎng)絡(luò )運營(yíng)者的關(guān)鍵崗位人員以及為第三級以上網(wǎng)絡(luò )提供安全服務(wù)的人員,不得擅自參加境外組織的網(wǎng)絡(luò )攻防活動(dòng)。
事件調查
公安機關(guān)應當根據有關(guān)規定處置網(wǎng)絡(luò )安全事件,開(kāi)展事件調查,認定事件責任,依法查處危害網(wǎng)絡(luò )安全的違法犯罪活動(dòng)。必要時(shí),可以責令網(wǎng)絡(luò )運營(yíng)者采取阻斷信息傳輸、暫停網(wǎng)絡(luò )運行、備份相關(guān)數據等緊急措施
緊急情況斷網(wǎng)措施
網(wǎng)絡(luò )存在的安全風(fēng)險隱患嚴重威脅國家安全、社會(huì )秩序和公共利益的,緊急情況下公安機關(guān)可以責令其停止聯(lián)網(wǎng)、停機整頓。
網(wǎng)絡(luò )安全約談制度
省級以上人民政府公安部門(mén)、保密行政管理部門(mén)、密碼管理部門(mén)在履行網(wǎng)絡(luò )安全等級保護監督管理職責中,發(fā)現網(wǎng)絡(luò )存在較大安全風(fēng)險隱患或者發(fā)生安全事件的,可以約談網(wǎng)絡(luò )運營(yíng)者的法定代表人、主要負責人及其行業(yè)主管部門(mén)。
法律責任
違反安全保護義務(wù):由公安機關(guān)責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。
第三級以上信息系統運營(yíng)、使用單位違反《信息安全等級保護管理辦法》規定,由公安機關(guān)、國家保密工作部門(mén)和國家密碼工作管理部門(mén)按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門(mén)通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時(shí)反饋處理結果。
違反技術(shù)維護要求:由公安機關(guān)和相關(guān)行業(yè)主管部門(mén)依據各自職責責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。
違反數據安全和個(gè)人信息保護要求:由網(wǎng)信部門(mén)、公安機關(guān)依據各自職責責令改正,可以根據情節單處或者并處警告、沒(méi)收違法所得、處違法所得一倍以上十倍以下罰款,沒(méi)有違法所得的,處一百萬(wàn)元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款;情節嚴重的,并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照。
違反網(wǎng)絡(luò )安全服務(wù)責任:由公安機關(guān)責令改正,可以根據情節單處或者并處警告、沒(méi)收違法所得、處違法所得一倍以上十倍以下罰款,沒(méi)有違法所得的,處一百萬(wàn)元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款;情節嚴重的,并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓,直至通知發(fā)證機關(guān)吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照。
泄露、非法出售或者向他人提供個(gè)人信息的,尚不構成犯罪的,由公安機關(guān)沒(méi)收違法所得,并處違法所得一倍以上十倍以下罰款,沒(méi)有違法所得的,處一百萬(wàn)元以下罰款。
違反執法協(xié)助義務(wù):由公安機關(guān)、保密行政管理部門(mén)、密碼管理部門(mén)、行業(yè)主管部門(mén)和有關(guān)部門(mén)依據各自職責責令改正;拒不改正或者情節嚴重的,處五萬(wàn)元以上五十萬(wàn)元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬(wàn)元以上十萬(wàn)元以下罰款。
違反保密和密碼管理責任:由保密行政管理部門(mén)或者密碼管理部門(mén)按照各自職責分工責令改正,拒不改正的,給予警告,并通報向其上級主管部門(mén),建議對其主管人員和其他直接責任人員依法給予處分。
監管部門(mén)瀆職責任
網(wǎng)信部門(mén)、公安機關(guān)、國家保密行政管理部門(mén)、密碼管理部門(mén)以及有關(guān)行業(yè)主管部門(mén)及其工作人員有下列行為之一,對直接負責的主管人員和其他直接責任人員,或者有關(guān)工作人員依法給予處分:
(一)玩忽職守、濫用職權、徇私舞弊的;
(二)泄露、出售、非法提供在履行網(wǎng)絡(luò )安全等級保護監管職責中獲悉的國家秘密、個(gè)人信息和重要數據;或者將獲取其他信息,用于其他用途的。
信息安全監管部門(mén)及其工作人員在履行監督管理職責中,玩忽職守、濫用職權、徇私舞弊的,依法給予行政處分;構成犯罪的,依法追究刑事責任。
法律競合處理
違反《網(wǎng)絡(luò )安全等級保護條例規定》,構成違反治安管理行為的,由公安機關(guān)依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。