信息化觀察網(wǎng)

公安部十一局七處副處長(zhǎng)范春玲

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度自2007年全國(guó)范圍內(nèi)推進(jìn)實(shí)施以來(lái)，積累了眾多經(jīng)驗(yàn)。隨著網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的提出，等級(jí)保護(hù)制度在新的時(shí)期、新的形勢(shì)下不斷完善。

公安部網(wǎng)絡(luò)安全保衛(wèi)局，或者公安機(jī)關(guān)的網(wǎng)安部門(mén)一直在不斷推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的落實(shí)實(shí)施。按照中央最新的要求，我們公安部按照中央確定的，在網(wǎng)絡(luò)空間的職責(zé)，主要有幾個(gè)方面，這是我們新的時(shí)期，我們?cè)诰W(wǎng)絡(luò)空間領(lǐng)域發(fā)揮主力軍作用主要體現(xiàn)在以下幾個(gè)方面。

第一，建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度

不斷加強(qiáng)能源、金融、通信、交通等重要領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)（雙牽頭），深入組織實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度， 監(jiān)督檢查指導(dǎo)等級(jí)保護(hù)工作（三定），健全完善國(guó)家網(wǎng)絡(luò)安全信息通報(bào)機(jī)制，提高通報(bào)預(yù)警能力。監(jiān)督、檢查、指導(dǎo)網(wǎng)絡(luò)安全保護(hù)工作。開(kāi)展情報(bào)偵察，保衛(wèi)網(wǎng)絡(luò)空間安全。防范打擊危害網(wǎng)絡(luò)安全的違法犯罪活動(dòng)，開(kāi)展網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演習(xí)（護(hù)網(wǎng)行動(dòng)），組織開(kāi)展網(wǎng)絡(luò)安全專(zhuān)項(xiàng)行動(dòng)，構(gòu)建“打防管控”一體化綜合防御體系。

第二，新時(shí)期等保新要求

立法

2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》明確規(guī)定：

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，關(guān)鍵信息基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。習(xí)近平總書(shū)記等中央領(lǐng)導(dǎo)同志關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)立法工作的一系列批示指示。公安部將《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》列為重點(diǎn)立法計(jì)劃。

定位

等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益的根本保障。等級(jí)保護(hù)是我國(guó)多年來(lái)網(wǎng)絡(luò)安全工作實(shí)踐和經(jīng)驗(yàn)的總結(jié)。重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施和大數(shù)據(jù)安全，這是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定、國(guó)家利益的重要任務(wù)。

指導(dǎo)思想

指導(dǎo)構(gòu)建新的等級(jí)保護(hù)制度體系，以最強(qiáng)網(wǎng)絡(luò)攻擊能力為標(biāo)尺，依法開(kāi)展網(wǎng)絡(luò)安全保衛(wèi)、保護(hù)、保障。構(gòu)建“打防管控”一體化網(wǎng)絡(luò)安全綜合防控體系。以網(wǎng)絡(luò)安全案（事）件為主線，問(wèn)題導(dǎo)向，注重攻防兼?zhèn)洹?/p>

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的適用范圍擴(kuò)展：

將風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、案事件調(diào)查、數(shù)據(jù)防護(hù)、災(zāi)難備份、應(yīng)急處置、自主可控、供應(yīng)鏈安全、效果評(píng)價(jià)、綜治考核等重點(diǎn)措施全部納入等級(jí)保護(hù)制度并實(shí)施。

將網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)、公眾服務(wù)平臺(tái)等全部納入等級(jí)保護(hù)監(jiān)管。

定級(jí)流程嚴(yán)謹(jǐn)：

對(duì)擬定為第二級(jí)以上的網(wǎng)絡(luò)，其運(yùn)營(yíng)者應(yīng)當(dāng)組織專(zhuān)家評(píng)審；有行業(yè)主管部門(mén)的，應(yīng)當(dāng)在評(píng)審后報(bào)請(qǐng)主管部門(mén)核準(zhǔn)。

跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)由行業(yè)主管部門(mén)統(tǒng)一擬定安全保護(hù)等級(jí)，統(tǒng)一組織定級(jí)評(píng)審。

行業(yè)主管部門(mén)可以依據(jù)國(guó)家標(biāo)準(zhǔn)規(guī)范，結(jié)合本行業(yè)網(wǎng)絡(luò)特點(diǎn)制定行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指導(dǎo)意見(jiàn)。

備案管轄調(diào)整：

第二級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級(jí)確定后10個(gè)工作日內(nèi)，到縣級(jí)以上公安機(jī)關(guān)備案。

因網(wǎng)絡(luò)撤銷(xiāo)或變更調(diào)整安全保護(hù)等級(jí)的，應(yīng)當(dāng)在10個(gè)工作日內(nèi)向原受理備案公安機(jī)關(guān)辦理備案撤銷(xiāo)或變更手續(xù)。

隸屬于中央的在京單位，其跨省或全國(guó)聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，由主管部門(mén)向公安部備案，其他網(wǎng)絡(luò)系統(tǒng)向北京市公安局備案。

明確網(wǎng)絡(luò)運(yùn)營(yíng)者一般性安全保護(hù)義務(wù)

（一）確定網(wǎng)絡(luò)安全等級(jí)保護(hù)工作責(zé)任人，建立網(wǎng)絡(luò)安全等級(jí)保護(hù)工作責(zé)任制，落實(shí)責(zé)任追究制度；

（二）建立安全管理和技術(shù)保護(hù)制度，建立人員管理、教育培訓(xùn)、系統(tǒng)安全建設(shè)、系統(tǒng)安全運(yùn)維等制度；

（三）落實(shí)機(jī)房安全管理、設(shè)備和介質(zhì)安全管理、網(wǎng)絡(luò)安全管理等制度，制定操作規(guī)范和工作流程；

（四）落實(shí)身份識(shí)別、防范惡意代碼感染傳播、防范網(wǎng)絡(luò)入侵攻擊的管理和技術(shù)措施；

（五）落實(shí)監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件、違法犯罪活動(dòng)的管理和技術(shù)措施，并按照規(guī)定留存六個(gè)月以上可追溯網(wǎng)絡(luò)違法犯罪的相關(guān)網(wǎng)絡(luò)日志；

（六）落實(shí)數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施；

（七）依法收集、使用、處理個(gè)人信息，并落實(shí)個(gè)人信息保護(hù)措施，防止個(gè)人信息泄露、損毀、篡改、竊取、丟失和濫用；

（八）落實(shí)違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實(shí)防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施；

（九）落實(shí)聯(lián)網(wǎng)備案和用戶真實(shí)身份查驗(yàn)等責(zé)任；

（十）對(duì)網(wǎng)絡(luò)中發(fā)生的案事件，應(yīng)當(dāng)在二十四小時(shí)內(nèi)向?qū)俚毓矙C(jī)關(guān)報(bào)告；泄露國(guó)家秘密的，應(yīng)當(dāng)同時(shí)向?qū)俚乇Ｃ苄姓芾聿块T(mén)報(bào)告。

（十一）法律、行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護(hù)義務(wù)。

網(wǎng)絡(luò)運(yùn)營(yíng)者重要安全保護(hù)義務(wù)

第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

（一）確定網(wǎng)絡(luò)安全管理機(jī)構(gòu)，明確網(wǎng)絡(luò)安全等級(jí)保護(hù)的工作職責(zé)，對(duì)網(wǎng)絡(luò)變更、網(wǎng)絡(luò)接入、運(yùn)維和技術(shù)保障單位變更等事項(xiàng)建立逐級(jí)審批制度；

（二）制定并落實(shí)網(wǎng)絡(luò)安全總體規(guī)劃和整體安全防護(hù)策略，制定安全建設(shè)方案，并經(jīng)專(zhuān)業(yè)技術(shù)人員評(píng)審?fù)ㄟ^(guò)；

（三）對(duì)網(wǎng)絡(luò)安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查，落實(shí)持證上崗制度；

（四）對(duì)為其提供網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、運(yùn)維和技術(shù)服務(wù)的機(jī)構(gòu)和人員進(jìn)行安全管理；

（五）落實(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警措施，建設(shè)網(wǎng)絡(luò)安全防護(hù)管理平臺(tái)，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為、網(wǎng)絡(luò)安全案事件等進(jìn)行動(dòng)態(tài)監(jiān)測(cè)分析，并與同級(jí)公安機(jī)關(guān)對(duì)接；

（六）落實(shí)重要網(wǎng)絡(luò)設(shè)備、通信鏈路、系統(tǒng)的冗余、備份和恢復(fù)措施；

（七）建立網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度，定期開(kāi)展等級(jí)測(cè)評(píng)，并將測(cè)評(píng)情況及安全整改措施、整改結(jié)果向公安機(jī)關(guān)和有關(guān)部門(mén)報(bào)告；

（八）法律和行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護(hù)義務(wù)。

特殊安全保護(hù)義務(wù)

互聯(lián)網(wǎng)信息服務(wù)提供者和互聯(lián)網(wǎng)接入服務(wù)提供者，應(yīng)落實(shí)下列安全保護(hù)義務(wù)：

（一）落實(shí)違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實(shí)防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施；

（二）落實(shí)聯(lián)網(wǎng)備案和用戶真實(shí)身份查驗(yàn)等責(zé)任；

（三）法律和行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護(hù)義務(wù)。

安全測(cè)評(píng)

第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者應(yīng)當(dāng)每年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)，發(fā)現(xiàn)并整改安全風(fēng)險(xiǎn)隱患，并每年將開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)的工作情況及測(cè)評(píng)結(jié)果向備案的公安機(jī)關(guān)報(bào)告。

新建的第三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)通過(guò)等級(jí)測(cè)評(píng)后投入運(yùn)行。

網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)要求

為第三級(jí)以上網(wǎng)絡(luò)提供網(wǎng)絡(luò)建設(shè)、運(yùn)行維護(hù)、安全監(jiān)測(cè)、數(shù)據(jù)分析等網(wǎng)絡(luò)服務(wù)，應(yīng)當(dāng)符合國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)的要求。

應(yīng)當(dāng)保守服務(wù)過(guò)程中知悉的國(guó)家秘密、個(gè)人信息和重要數(shù)據(jù)。

不得非法使用或擅自發(fā)布、披露在提供服務(wù)中收集掌握的數(shù)據(jù)信息和系統(tǒng)漏洞、惡意代碼、網(wǎng)絡(luò)入侵攻擊等網(wǎng)絡(luò)安全信息。

技術(shù)維護(hù)要求

第三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)在境內(nèi)實(shí)施技術(shù)維護(hù)，不得境外遠(yuǎn)程技術(shù)維護(hù)。

因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程技術(shù)維護(hù)的，應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全評(píng)估，并采取風(fēng)險(xiǎn)管控措施。

實(shí)施技術(shù)維護(hù)，應(yīng)當(dāng)記錄并留存技術(shù)維護(hù)日志，并在公安機(jī)關(guān)等有關(guān)部門(mén)依法檢查時(shí)如實(shí)提供。

數(shù)據(jù)和信息安全保護(hù)

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立并落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度。采取保護(hù)措施，保障數(shù)據(jù)和信息在收集、存儲(chǔ)、傳輸、使用、提供、銷(xiāo)毀過(guò)程中的安全。依法收集、使用、處理個(gè)人信息，并落實(shí)個(gè)人信息保護(hù)措施，防止個(gè)人信息泄露、損毀、篡改、竊取、丟失和濫用。

應(yīng)急處置要求

第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練。

網(wǎng)絡(luò)運(yùn)營(yíng)者處置網(wǎng)絡(luò)安全事件應(yīng)當(dāng)保護(hù)現(xiàn)場(chǎng)，記錄并留存相關(guān)數(shù)據(jù)信息，并及時(shí)向公安機(jī)關(guān)和行業(yè)主管部門(mén)報(bào)告。

發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，有關(guān)部門(mén)應(yīng)當(dāng)按照網(wǎng)絡(luò)安全應(yīng)急預(yù)案要求聯(lián)合開(kāi)展應(yīng)急處置。電信業(yè)務(wù)經(jīng)營(yíng)者、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)為重大網(wǎng)絡(luò)安全事件處置和恢復(fù)提供支持和協(xié)助。

審批要求

網(wǎng)絡(luò)運(yùn)營(yíng)者建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，向社會(huì)公眾提供需取得行政許可的經(jīng)營(yíng)活動(dòng)的，相關(guān)主管部門(mén)應(yīng)當(dāng)將網(wǎng)絡(luò)安全等級(jí)保護(hù)制度落實(shí)情況納入審計(jì)、審核范圍。

等保新的形勢(shì)下有了新的規(guī)定，新的要求，我們應(yīng)著網(wǎng)絡(luò)安全法的要求，我們公安部會(huì)同相關(guān)部門(mén)已經(jīng)制定起草了網(wǎng)絡(luò)安全等級(jí)保護(hù)條例，去年通過(guò)幾個(gè)相關(guān)的渠道向社會(huì)公開(kāi)征求意見(jiàn)，征求了來(lái)自各個(gè)方向的一些意見(jiàn)和建議。

1、總體要求

國(guó)家建立健全網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的組織領(lǐng)導(dǎo)體系、技術(shù)支持體系和保障體系。

各級(jí)人民政府和行業(yè)主管部門(mén)應(yīng)當(dāng)將網(wǎng)絡(luò)安全等級(jí)保護(hù)制度實(shí)施納入信息化工作總體規(guī)劃，統(tǒng)籌推進(jìn)。

2、標(biāo)準(zhǔn)制定

國(guó)家建立完善等級(jí)保護(hù)標(biāo)準(zhǔn)體系。標(biāo)準(zhǔn)化部門(mén)和公安、保密、密碼部門(mén)根據(jù)各自職責(zé)，組織制定等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

國(guó)家支持企業(yè)、研究機(jī)構(gòu)、高等學(xué)校、網(wǎng)絡(luò)相關(guān)行業(yè)組織參與網(wǎng)絡(luò)安全等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定。

3、投入和保障

各級(jí)人民政府鼓勵(lì)扶持網(wǎng)絡(luò)安全等級(jí)保護(hù)重點(diǎn)工程和項(xiàng)目，支持網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)的研究開(kāi)發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

4、技術(shù)支持

國(guó)家建設(shè)網(wǎng)絡(luò)安全等級(jí)保護(hù)專(zhuān)家隊(duì)伍和等級(jí)測(cè)評(píng)、安全建設(shè)、應(yīng)急處置等技術(shù)支持體系，為網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提供支撐。

5、績(jī)效考核

行業(yè)主管部門(mén)、各級(jí)人民政府應(yīng)當(dāng)將網(wǎng)絡(luò)安全等級(jí)保護(hù)工作納入績(jī)效考核評(píng)價(jià)、社會(huì)治安綜合治理考核等。

6、宣傳教育培訓(xùn)

各級(jí)人民政府及其有關(guān)部門(mén)應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的宣傳教育，提升社會(huì)公眾的網(wǎng)絡(luò)安全防范意識(shí)。

國(guó)家鼓勵(lì)和支持企事業(yè)單位、高等院校、研究機(jī)構(gòu)等開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的教育與培訓(xùn)，加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理和技術(shù)人才培養(yǎng)。

7、鼓勵(lì)創(chuàng)新

國(guó)家鼓勵(lì)利用新技術(shù)、新應(yīng)用開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)管理和技術(shù)防護(hù)，采取主動(dòng)防御、可信計(jì)算、人工智能等技術(shù)，創(chuàng)新網(wǎng)絡(luò)安全技術(shù)保護(hù)措施，提升網(wǎng)絡(luò)安全防范能力和水平。

國(guó)家對(duì)網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的推廣，組織開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，防范網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的安全風(fēng)險(xiǎn)。

（本文根據(jù)公安部十一局七處副處長(zhǎng)范春玲在2019第四屆中國(guó)網(wǎng)絡(luò)信息安全峰會(huì)上的演講內(nèi)容整理，未經(jīng)本人確認(rèn)。）