1 什么是“等保 2.0”?
等保2.0 是相对于等保 1.0 而言的新一代网络安全等级保护制度。
等级保护制度是按照网络重要性及其受破坏后结果的严重性,实施分级、分类、分阶段保护的制度。1994 年,国务院颁布的《中华人民共和国计算机信息系统安全保护条例》被视为等级保护制度的起源。2007年起,随着配套规章、标准的推出,等保1.0体系逐渐建立。随着信息技术的发展,等保1.0已逐渐不能满足现实要求。
2017年,《网络安全法》生效,其中第21条规定“国家实行网络安全等级保护制度”。除此之外,目前等保2.0规范体系还包括2018 年公安部发布的《网络安全等级保护条例(征求意见稿)》,以及2019年12月1日生效的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护安全设计技术要求》三部国家标准等。
2 企业内哪些系统需要做等保?
根据《信息安全技术网络安全等级保护定级指南》等相关标准的规定,针对于备案单位而言,以下内容都属于实施等保的对象:
(1)起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),如某汽车局域网信息系统,某IDC机房等保三级业务系统;
(2)用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独实施等保,不以系统是否进行数据交换、是否独享设备为必要条件。如企业内部的OA系统、人力资源管理系统以及ERP系统,某法院智能信息审判系统,某医院的信息化系统,某水电厂监控系统;
(3)各单位网站、邮件系统要作为独立的等保对象。如果网站的后台数据库管理系统安全级别较高,以及网上运行的信息系统,都要作为独立的等保对象。如企业内部/对外网站系统、某银行征信中心网站系统,12306火车票售票网站等;
(4)云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,都属于等保对象的范围。
3 不实施等保2.0会有哪些法律后果?
不履行等保2.0义务可能使网络运营者受到行政处罚,甚至承担刑事责任。
根据《网络安全法》的规定,网络运营者不履行等保义务的,由主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
根据《网络安全等级保护条例(征求意见稿)》的规定,第三级以上网络运营者违反等保义务的,从重处罚。紧急情况下,公安机关可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据、停止联网、停机整顿等措施。公安机关还可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
除行政责任外,严重违反等保2.0 义务还有可能构成《刑法》第286条规定的“拒不履行信息网络安全管理义务罪”,导致企业和相关责任人员承担相应的刑事责任。
此外,根据《党委(党组)网络安全工作责任制实施办法》的相关规定,各级党委(党组)应当建立网络安全责任制检查考核制度。领导班子主要负责人是网络安全工作第一责任人,主管网络安全的领导班子成员是直接责任人。一旦出现党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的,或大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露等严重危害网络安全行为,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人至主要负责人责任。
4 实施等保2.0有哪些具体步骤?
按照相关规定,落实等保2.0 工作主要包括 5 个步骤:定级、备案、建设整改、等级测评和定期自查。
其中:
(1)定级是指按照定级指南确定网络的安全保护等级。网络的定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。对于拟定为第2级以上的网络,应当组织专家评审。有上级主管部门的,报上级主管部门核准。
(2)备案是指准备《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》,向所在地设区的地市级以上公安机关办理备案手续。备案通过后获得《信息系统安全等级保护备案证明》。
(3)建设整改是指梳理网络安全现状与等保要求之间的差距,发现安全问题、隐患及与国家和行业标准的差距,据此开展建设整改,以符合等保要求。建设整改工作是等保制度的核心和落脚点。
(4)等级测评是指有资质的等级测评机构按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。目前国家网络安全等级保护工作协调小组办公室推荐的测评机构已超过200家。
(5)定期自查是指备案单位对网络安全工作情况、等级保护工作落实情况进行自查,及时发现安全隐患和突出问题,有针对性地采取技术和管理措施。第三级网络应每年进行一次自查,第四级网络每半年进行一次自查,在公安机关监督检查时如实提供自查资料及文件。
5 系统定级是否越低越好?
实践中有一些企业对等保进行初步了解后,担心系统定级定高了后期给自己工作增加麻烦,一方面等级高了,技术要求高了,需要做的工作多了;另一方面三级系统需要每年都做测评,也觉得麻烦。所以想着系统定个二级就可以了,省事。
实际并非如此。首先,系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的,以事实为依据,而不是拍脑袋决定的。系统等级定低了,乍一看可能工作上是容易做了,但是反而是我们没有落实好网络安全保护义务的直接表现。
其次,系统等级低了相应的安全防护要求也低了,那么万一这个系统不小心被攻击破坏造成一定不良影响,在主管部门进行责任认定追查时,很有可能就会因为系统定级不合理,安全责任没有履行到位而被处罚,得不偿失。
其三,2019年发布的等保2.0里定级流程新增了“专家评审”和“主管部门审核”两个环节,这是必经路径,定级过程因此而变得更加规范,定级也更加准确。
6 等保测评是否做一次就可以?
等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。
做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么系统的安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。
网络安全技术发展日新月异的今天,既然我们不能百分百保证系统的安全,那我们就从合规做起,把我们能做的工作及时做到位。该做的工作做到了,自然也就相对安全了。
7 系统在内网,是否需要做等保?
有一些用户的系统是在单位内网或者专网中,觉得系统不对外相对安全,所以就可以不做等保了。
这种理解是错误的。首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次,在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
实际上,内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就垮了。
8 单位的系统已经上云或者系统托管到其他地方,是否需要做等保?
系统上云的情况越来越多,不论是公有云(阿里云、腾讯云、亚马逊云等)还是各类私有云(政务云、内部云平台等)或者就是直接托管到IDC机房,一些备案单位认为既然系统已经不在自己的机房,那么系统的相应安全运维就不归自己管了,自然等保工作就无限延后。
而实际上,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
因为,系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。
9 云系统到哪里进行系统定级备案?
云系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云系统网络运营者不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址,那么这种情况下云系统到底到云平台所在注册地址进行系统备案,还是到自己所在注册地址进行备案,如果自己的运维团队和注册经营地址不一致怎么办?到底去哪里备案?
云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
10 第三方咨询机构能为备案单位提供哪些帮助?
专业律所、技术公司等第三方咨询机构,可以在等保对象梳理、定级、备案、网络安全建设等阶段,为备案单位提供全方位的协助,具体如下:
(1)等保对象梳理
工作内容:梳理备案单位现有网络系统,确定定级对象,制定等保工作计划。
参与方:专业律所、技术公司等咨询机构。
(2)定级
工作内容:确定各定级对象的网络安全等级,组织专家评审并报请主管部门核准。
参与方:专业律所、技术公司等咨询机构/评审专家、主管部门。
(3)备案
工作内容:填写定级备案表,准备定级报告等保安材料,提交至当地公安机关网安部门。
参与方:专业律所、技术公司等咨询机构、公安机关。
