1什么是“等保2.0”?
等保2.0是相对于等保1.0来说的新一代互联网安全等级为保护管理制度。
级别为保护管理制度是依照互联网重要性及其受破坏后结果的潜在性,实行分级、分类、第三阶段为保护的管理制度。1994年,国务院颁布的《中华人民共和国计算机软件控制数据安全为保护法规》被视为级别为保护管理制度的起源。2007年起,随著配套法规、国际标准的推出,等保1.0管理体系渐渐建立。随著信息控制技术的发展,等保1.0已渐渐不能满足现实明确要求。
2017年,《互联网安全法》施行,其中第21条明确规定“国家实行互联网安全等级为保护管理制度”。除此之外,目前等保2.0规范管理体系还包括2018年中国公安部发布的《互联网安全等级为保护法规(草案稿)》,和2019年12月1日施行的《互联网安全控制技术互联网安全等级为保护基本明确要求》、《互联网安全控制技术互联网安全等级为保护评定明确要求》和《互联网安全控制技术互联网安全等级为保护安全设计控制技术明确要求》两部国家国际标准等。
2民营企业内什么样控制技术需要做等保?
依照《互联网安全控制技术互联网安全级别为保护综合评价手册》等相关国际标准的明确规定,针对于登记基层单位来说,附注都归属于实行等保的第一类:
(1)起支撑、数据传输作用的信息互联网(包括网络系统、外部网、内网、网络管理控制技术),TNUMBERFK汽车以太网信息控制技术,某IDC控制室等保三级业务控制技术;
(2)用于生产、运维、管理、作业、指挥、办公设备等目的的各类销售业务控制技术,要依照不同销售业务类型单独实行等保,不以控制技术与否进行数据数据传输、与否独占设备为先决条件。如民营企业外部的OA控制技术、老龄管理控制技术和ERP控制技术,某法院智能信息审判控制技术,某医院的信息化控制技术,某丰满水库监控控制技术;
(3)各基层单位中文网站、邮件控制技术要做为分立的等保第一类。如果中文网站的前台资料库管理控制数据安全等级较高,和网上运行的信息控制技术,都要做为分立的等保第一类。如民营企业外部/对外中文网站控制技术、某银行信用记录中心中文网站控制技术,12306车票售票处中文网站等;
(4)云平台、大数据、工业控制控制技术、物联网、移动互联网、卫星控制技术等,都归属于等保第一类的范围。
3不实行等保2.0会有什么样法律不良后果?
不履行职责等保2.0权利可能使互联网络管理理者受到处罚,甚至承担民事责任。
依照《互联网安全法》的明确规定,互联网络管理理者不履行职责等保权利的,由行政部门勒令撤废,给予警告;拒不撤废或者导致危害互联网安全等不良后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
依照《互联网安全等级为保护法规(草案稿)》的明确规定,第三级以上互联网络管理理者违反等保权利的,从重处罚。紧急情况下,公安机关可以勒令互联网络管理理者采取阻断信息数据传输、暂停互联网运行、备份相关数据、停止联网、停机整顿等措施。公安机关还可以约谈互联网络管理理者的法定代表人、主要负责人及其行业行政部门。
除行政责任外,严重违反等保2.0权利还有可能构成《刑法》第286条明确规定的“拒不履行职责信息互联网安全管理权利罪”,导致民营企业和相关责任人员承担相应的民事责任。
此外,依照《党委(党组)互联网安全工作责任制实行办法》的相关明确规定,各级党委(党组)应当建立互联网安全责任制检查考核管理制度。领导班子主要负责人是互联网安全工作第一责任人,主管互联网安全的领导班子成员是直接责任人。一旦出现党政机关门户中文网站或者重点新闻中文网站受到攻击后没有及时组织处置,且瘫痪6小时以上的,或大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露等严重危害互联网安全行为,各级党委(党组)应当逐级倒查,追究当事人、互联网安全负责人至主要负责人责任。
4实行等保2.0有什么样具体步骤?
依照相关明确规定,落实等保2.0工作主要包括5 个步骤:综合评价、登记、建设整改、级别评定和定期自查。
其中:
(1)综合评价是指依照综合评价手册确定互联网的安全为保护级别。互联网的综合评价工作应依照“互联网络管理理者拟定互联网安全为保护级别、专家评审、行政部门核准、公安机关审核”的原则进行。对于拟定为第2级以上的互联网,应当组织专家评审。有上级行政部门的,报上级行政部门核准。
(2)登记是指准备《信息控制数据安全等级为保护综合评价报告》和《信息控制数据安全等级为保护备案表》,向所在地设区的地市级以上公安机关办理登记手续。登记通过后获得《信息控制数据安全等级为保护登记证明》。
(3)建设整改是指梳理互联网安全现状与等保明确要求之间的差距,发现安全问题、隐患及与国家和行业国际标准的差距,据此开展建设整改,以符合等保明确要求。建设整改工作是等保管理制度的核心和落脚点。
(4)级别评定是指有资质的级别评定机构依照有关管理规范和控制技术国际标准,对非涉及国家秘密的互联网安全等级为保护状况进行检评定估的活动。目前国家互联网安全等级为保护工作协调小组办公设备室推荐的评定机构已超过200家。
(5)定期自查是指登记基层单位对互联网安全工作情况、级别为保护工作落实情况进行自查,及时发现安全隐患和突出问题,有针对性地采取控制技术和管理措施。第三级互联网应每年进行一次自查,第四级互联网每半年进行一次自查,在公安机关监督检查时如实提供自查资料及文件。
5控制技术综合评价与否越低越好?
实践中有一些民营企业对等保进行初步了解后,担心控制技术综合评价定高了后期给自己工作增加麻烦,一方面级别高了,控制技术明确要求高了,需要做的工作多了;另一方面三级控制技术需要每年都做评定,也觉得麻烦。所以想着控制技术定个二级就可以了,省事。
实际并非如此。首先,控制技术到底定几级是依照受侵害的客体和对客体侵害的程度来确定的,以事实为依据,而不是拍脑袋决定的。控制技术级别定低了,乍一看可能工作上是容易做了,但是反而是我们没有落实好互联网安全为保护权利的直接表现。
其次,控制技术级别低了相应的安全防护明确要求也低了,那么万一这个控制技术不小心被攻击破坏造成一定不良影响,在行政部门进行责任认定追查时,很有可能就会因为控制技术综合评价不合理,安全责任没有履行职责到位而被处罚,得不偿失。
其三,2019年发布的等保2.0里综合评价流程新增了“专家评审”和“行政部门审核”两个环节,这是必经路径,综合评价过程因此而变得更加规范,综合评价也更加准确。
6等保评定与否做一次就可以?
等保工作是一个持续的工作,等保评定也是一个周期性的工作,三级控制技术明确要求每年做一次,四级控制技术每半年做一次,二级控制技术部分行业明确明确要求每两年做一次,没有明确明确要求的行业建议大家两年做一次评定。
做等保评定不应当抱着应付的心态去做,如果大家的控制技术真能依照级别为保护的明确要求去做好,那么控制技术的安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好基层单位的互联网安全工作。
互联网安全控制技术发展日新月异的今天,既然我们不能百分百保证控制技术的安全,那我们就从合规做起,把我们能做的工作及时做到位。该做的工作做到了,自然也就相对安全了。
7控制技术在外部网,与否需要做等保?
有一些用户的控制技术是在基层单位外部网或者网络系统中,觉得控制技术不对外相对安全,所以就可以不做等保了。
这种理解是错误的。首先,所有非涉密控制技术都归属于级别为保护范畴,和控制技术在内网还是外部网没有关系;其次,在外部网的控制技术往往其互联网安全控制技术措施做的并不好,甚至不少控制技术已经中毒不浅。所以不论控制技术在外部网还是内网都得及时开展等保工作。
实际上,外部网不代表安全,而且现在纯粹的物理外部网很少了,大部分或多或少都与互联网有些连接。外部网一旦中毒,扩散很快,而且很难清除,因为很多控制技术措施都没有,几乎在裸奔状态,一旦中毒很容易就垮了。
8基层单位的控制技术已经上云或者控制技术托管到其他地方,与否需要做等保?
控制技术上云的情况越来越多,不论是公有云(阿里云、腾讯云、亚马逊云等)还是各类私有云(政务云、外部云平台等)或者就是直接托管到IDC控制室,一些登记基层单位认为既然控制技术已经不在自己的控制室,那么控制技术的相应安全运维就不归自己管了,自然等保工作就无限延后。
而实际上,依照“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该控制技术责任主体还是归属于互联网络管理理者自己,所以还是得承担相应的互联网安全责任,该进行控制技术综合评价的还是得综合评价,该做等保的还是得做等保。
因为,控制技术上云或托管后,并不是安全责任主体转移,只是控制技术所在控制室地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。
9云控制技术到哪里进行控制技术综合评价登记?
云控制技术由于部署在各类云平台上面,而云平台的实际物理地址往往和云控制技术互联网络管理理者不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址,那么这种情况下云控制技术到底到云平台所在注册地址进行控制技术登记,还是到自己所在注册地址进行登记,如果自己的运维团队和注册经营地址不一致怎么办?到底去哪里登记?
云控制技术应当在控制技术实际运维团队所在地市网安部门进行控制技术登记,因为这样方便属地公安对控制技术进行监管。在云计算环境中,应将云服务方侧的云计算平台单独做为综合评价第一类综合评价,云租户侧的级别为保护第一类也应做为单独的综合评价第一类综合评价。
10第三方咨询机构能为登记基层单位提供什么样帮助?
专业律所、控制技术公司等第三方咨询机构,可以在等保第一类梳理、综合评价、登记、互联网安全建设等阶段,为登记基层单位提供全方位的协助,具体如下:
(1)等保第一类梳理
工作内容:梳理登记基层单位现有互联网控制技术,确定定级第一类,制定等保工作计划。
参与方:专业律所、控制技术公司等咨询机构。
(2)综合评价
工作内容:确定各综合评价第一类的互联网安全等级,组织专家评审并报请行政部门核准。
参与方:专业律所、控制技术公司等咨询机构/评审专家、主管部门。
(3)登记
工作内容:填写综合评价登记表,准备综合评价报告等保安材料,提交至当地公安机关网安部门。
参与方:专业律所、控制技术公司等咨询机构、公安机关。
(4)互联网安全建设
工作内容:依据等保明确要求,制定互联网安全建设或整改计划,建设符合等保明确要求的互联网安全设施,安全管理组织和管理管理体系。
参与方:专业律所、控制技术公司等咨询机构。
(5)等保评定
工作内容:协助邀请并配合级别评定机构对等保第一类进行评定。
参与方:评定机构、公安机关、专业律所、控制技术公司等咨询机构。
(6)安全运维
工作内容:定期开展安全自查工作,互联网发生重大变化时,变更互联网安全为保护级别,配合公安机关的监督检查工作。
参与方:专业律所、控制技术公司等咨询机构、公安机关。
注:本文整理于盈科全球数据治理,原文作者张良