2017年《网络安全法实施指南》发布
易云科技严格遵守《网络安全法》,并积极落实有效提高自身的网络安全保护水平,同时,为各组织机构、企事业单位提供全面的网络安全防护实施方案。
国内组织机构,特别是涉及关键信息基础设施的行业机构在践行《网络安全法》时,一方面应切实履行好自身网络安全工作的责任与义务,另一方面,还需要依据《网络安全法》的法律要求进行落地实施,有效提高自身的网络安全保护水平。
前言
随着我国信息化建设的不断推进和互联网应用的日趋普及,网络安全问题层出不穷:网络入侵、网络攻击等非法活动威胁了我国信息安全;非法获取、倒卖公民信息、侵犯知识产权损害了我国公民的合法利益;危害国家安全、社会稳定与公共利益的不良信息借助网络迅速传播。反观国外,包括欧盟、美国、日本在内的国家或组织纷纷制定了与网络安全相关的法律。
因此,《网络安全法》的制定对我国相关立法工作的重要性、完备性和紧迫性而言非常重要也非常必要。它是落实党中央决策部署的重要举措,是维护网络安全的客观需要,是维护大众切身利益的必然要求,也是我国参与互联网国际竞争和国际治理的必然选择。
《网络安全法》的颁布实施, 重要的意义在于它把网络安全工作以法律形式提高到了国家安全战略的高度,并将信息安全等级保护制度上升为法律,成为维护国家网络空间主权、安全和发展利益的重要举措。同时,它的出台也符合维护网络安全的客观需要,提高了全社会网络安全保护的意识和能力,确保今后网络使用更加安全、开放和便利。
关键内容
基于《网络安全法》要求,对近期与该法相关的法规标准进行了归纳总结,从而为组织机构在法律应对与实施的具体操作中提供参考指南;同时,本指南还识别了其他国家和地区的相关法规和标准,从而为国内组织机构在应对、实施《网络安全法》时提供对比和参考内容。
本指南从网络安全管理、网络安全技术和个人信息保护等三方面的法律、法规监管要求出发,为组织机构提供了合规差距分析的参考维度及相应的合规要求;同时,在合规应对实施环节,从网络运营安全、网络信息安全及关键信息基础设施保护等三方面,就“相关责任方”、“管理措施”及“技术措施”等三个维度总结了具体实施要点。
为确保组织机构建立完善的信息安全管理体系,本指南以信息安全等级保护制度和网络安全等级保护及其他法规要求为基础,总结并设计出了包括安全策略、安全管理和安全技术在内的等级保护体系;同时,基于《网络安全法》中对组织人员能力和意识的要求,给出了相应的教育模型和培训案例, 终实现组织信息安全的持续改进。
引言
2017年6月1日正式实施的《网络安全法》具有里程碑式的意义。它不仅是我国 部网络安全的专门性综合性立法,提出了应对网络安全挑战这一 性问题的中国方案,彰显了党和国家对网络安全问题的高度重视,同时,它还是我国网络安全法治建设的重要里程碑,使得今后我国网络安全管理工作步入法制化轨道,信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重的新阶段。
《网络安全法》在网络空间主权、国家网络安全等级保护制度、关键信息基础设施保护、网络运营者、网络产品和服务提供者义务、保障网络信息安全,个人信息保护、关键信息基础设施重要数据跨境传输、监测预警与应急处置等方面做出明确规定。因此,国内组织机构,特别是涉及关键信息基础设施的行业机构在践行《网络安全法》时,一方面应切实履行好自身网络安全工作的责任与义务,另一方面,还需要依据《网络安全法》的法律要求进行落地实施,有效提高自身的网络安全保护水平。
一、《网络安全法》概述
1. 立法背景
2014年2月中央网络安全和信息化领导小组成立,标志着我国把网络安全提升到了国家安全的高度并开始酝酿网络安全法编写工作;2015年6月十二届全国人大常委会审议了《网络安全法(草案)》,2016年7月二次审议稿正式在中国人大网公布,并向社会公开征求意见;2016年11月7日,历经全国人大常委会两次审议的关于我国网络安全管理的法律《中华人民共和国网络安全法》 终审议通过,并于2017年6月1日正式实施。
与国外立法相比,《网络安全法》历经三年就发布实施无疑是快速的。这是因为中国当前的网络安全迫切要求。网络已经深刻地融入了中国经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性随之不断提高。
一方面,党的十八大以来,国家主管部门加强了国家网络安全工作并做出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定《网络安全法》是适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措,是落实国家总体安全观的重要举措。另一方面,中国是网络大国,也是面临网络安全威胁 严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全保障水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。
在这样的形势下,制定网络安全法是维护国家广大人民群众切身利益的需要,是维护网络安全的客观需要,是落实国家总体安全观的重要举措。
2. 立法意义
《网络安全法》旨在保障我国网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。其立法的意义主要体现在以下几点:
该法从法律层面上把我国网络安全工作提高到了国家安全战略的高度,强调对关键信息基础设施及个人信息数据的保护,明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。
该法律的出台对我国互联网安全管理具有重大意义,是我国网络安全法律法规体系建设的一个重要里程碑,为我国网络安全工作提供了法律依据。
从企业角度来看,该法律将强化互联网监管力度,规范网络空间秩序,为企业“互联网+”业务的发展营造良好的环境。
从个人角度来看,在当前个人信息因信息管理出现漏洞而被泄露并违法使用,进而导致个人权利和利益频遭侵害的背景下,该法律对个人信息保护提出了明确要求,从而有效地保障了公民权利。
3. 内容概述
3.1 法律内容
《网络安全法》全文共7章79条。其中,第三章“网络运行安全”和第四章“网络信息安全”分别对网络运营者、关键信息基础设施的网络运行和个人信息管理做了详细说明。
《网络安全法》章节概览
3.2 保护对象
纵观法律全文,《网络安全法》的重点保护对象主要针对第三章第二节 “关键信息基础设施的运行安全”中的“关键信息基础设施”和第四章“网络信息安全”中的“个人信息”。
1) 关键信息基础设施
由于关键信息基础设施在国家网络安全中有着举足轻重的作用,因此,国家对重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
关键信息基础设施保护范围:
政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
广播电台、电视台、通讯社等新闻单位;
其他重点单位。
* 以上关键信息关键基础设施的范围参考了网信办2017年7月发布的《关键信息基础设施安全保护条例(征求意见稿)》
2) 个人信息
个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。
*以上个人信息的定义参考了全国信息安全标准化技术委员会2016年12月发布的《个人信息安全规范(征求意见稿)》
3.3 保护方法
《网络安全法》中涉及的保护方法主要有以下几种:
1) 实施等级保护
《网络安全法》第二十一条规定“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。
2) 网络运行安全和关键信息基础设施保护
在确保网络运行安全方面,要制定安全制度,落实安全职责,部署安全技术措施,防范网络攻击(第21条);确保网络产品和服务的安全性和合规性(第22条);网络关键设备和网络安全专用产品的安全认证和安全检测(第23条);建立网络安全事件处置流程,及时启动应急预案(第25条);关键信息基础设施的网络安全与信息化应做到“三同步”(第33条);设立信息安全专门机构和负责人,定期培训考核,系统与数据容灾备份,应急预案并定期演练(第39条);采购安全产品与服务要接受主管部门的安全审查(第35条);要与安全产品与服务方签订保密协议(第36条);重要数据和个人信息跨境传输(第37条);至少每年进行一次安全评估,并向主管部门上报评估结果;主管部门对关键信息基础设施进行抽查检测与评估(第38、39条)。
3) 个人信息保护
在个人信息保护方面,组织应制定敏感信息保护制度(第21(4)、37、40、45、47、48、50条);网络运营者收集、使用个人信息时,要向用户明示并取得同意,不得超范围滥用个人信息(第22、41、44、45条);网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全(第42条);个人有权要求网络运营者删除和更改其个人信息(第43条);网络运营者要对其内部及外部用户使用网络行为进行监督(第46、47、48条);网络运营者应当建立网络信息安全投诉、举报制度,配合主管部门的调查与处置(第49、50条)。
4) 网络安全检测与预警
为保障网络安全,《网络安全法》第二十一条还规定,“网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”, 第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”;第五十一条规定,国家层面上“国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”
5) 网络安全应急管理
《网络安全法》第二十五条规定,“普通网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。“;第三十四条规定,“关键信息基础设施的运营者除制定网络安全事件应急预案外还应定期进行演练”。对于行业监管者而言,第五十三条规定,“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练”。国家层面,第三十九条规定,“网信部门定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力”。
6) 网络安全技术人才培养和安全意识宣传
《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当定期对从业人员进行网络安全教育、技术培训和技能考核; 第十九条则要求各级人民政府、有关部门应组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作,大众媒体应有针对性地面向社会进行网络安全宣传教育。
7) 职责落实与违规处罚
为确保《网络安全法》顺利实施,执行有力,该法第六章“法律责任”对所涉及责任主体的违法惩处进行了详细规定。
二、《网络安全法》实施
为有效地推进《网络安全法》的实施,总体可分为相关法规识别、合规差距分析、合规对应实施和体系持续完善四个步骤。本部分详细描述前三个步骤,第三部分“信息安全体系完善”描述第四个步骤。
1. 相关法规识别
《网络安全法》第八条规定:“国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”因此,各网络运营者在实施《网络安全法》时,不仅要深入了解《网络安全法》的要求,还需要参考其他配套的法规及标准,以确保《网络安全法》的安全控制措施能有效落实。
近年来,主管部门及安全标准化机构发布了多个与《网络安全法》实施相关的法规与标准,有的还处在征求意见当中。为方便各类机构在实施《网络安全法》时加以参考,把重要的相关法规与标准列表如下:
国内近期发布《网络安全法》相关法规标准
国外相关法律与规范识别
组织在实施《网络安全法》时,可以根据自身的需要对其他国家和地区的相关法规和标准进行识别,其目的一方面使国内机构借鉴国外的一些网络安全 佳实践,同时可以为国外组织在国内实施网络安全合规要求时,建立一个可以对比的参照系。
国外网络安全相关法规
2. 合规差距分析
以《网络安全法》为基础,网络运营者应从网络安全管理、网络安全技术和个人信息保护三方面综合考虑各项法律、法规的监管要求,通过对组织现状的了解,对组织当前合规情况进行差距分析。
《网络安全法》合规差距分析
3. 合规对应实施
《网络安全法》具体合规实施时,可以从网络运营安全、网络信息安全及关键信息基础设施保护三个方面,描述对应的保护要求和对应条款,分别从“相关责任方”、“管理措施”及“技术措施”三个维度分析其具体实施要点。以下举例说明。
3.1 网络运营安全控制措施
3.2 网络信息安全控制措施
3.3 关键信息基础设施安全控制措施
三、信息安全体系完善
按照《网络安全法》实施网络安全控制措施,是当前国内各类组织在信息安全方面的重要实践,但我们也要清醒地看到,落实法律的合规要求只是组织信息安全的 基本要求,法规不可能面面俱到。因此,就算组织逐条落实了法规的要求,也只是达到了合规的基本要求,也不能保证组织的信息安全体系达到一个完善的水平。
因此,在合规的基础上,我们建议组织根据《网络安全法》的要求,通过等级保护的方法来进一步完善信息安全保障体系,通过人员安全培训与意识教育来提升组织的人员安全能力,通过持续安全评估与IT审计来推进安全体系持续完善。
1. 等级保护相关规范标准
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
组织可以基于合规差距分析结果并参照网络安全等级保护和其他法规对信息安全的要求,建立健全组织信息安全保障体系,部署并完善安全管理策略和安全技术措施,持续稳定地提升信息安全水平。
到目前为止,国家制定与颁布了与等级保护相关的多个国家标准,一些重点行业也制定了本行业的信息安全等级保护标准,等级保护的方法近年来在国内得到广泛的应用。
已经发布的等级保护相关标准:
正在征求意见的等级保护标准修订稿
为配合国家落实《网络安全法》,等级保护标准的名称将由原来的GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》改为“信息安全技术 网络安全等级保护基本要求”,标准由原来的一个标准变更为多个部分组成的标准,分别为:
等级保护对象由原来的信息系统,调整为:安全等级保护的对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等。
等级保护相关的定级指南、测评指南、设计技术要求、测评要求、测评过程指南等相关标准也发布了相应的修订版(征求意见稿)。
2. 等级保护体系的设计
等级保护的设计分为安全策略设计、安全管理设计及安全技术设计三个方面的内容,形成信息安全保障体系的组织体系、策略体系、技术体系及运行体系。
2.1 总体安全策略设计
总体策略设计的目标是形成组织纲领性的安全策略文件,包括确定安全方针和安全策略两方面的内容。安全方针是阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;安全策略是说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、等级保护对象互连策略、信息流控制策略等。
通过方针与策略的设计,以便组织可以结合等级保护基本要求系列标准、行业基本要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。对于新建的等级保护对象,应在立项时明确其安全保护等级,并按照相应的保护等级要求进行总体安全策略设计。
2.2 安全管理体系设计
根据等级保护基本要求系列标准、行业基本要求、安全需求分析报告等,设计等级保护对象安全管理体系框架。主要是从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面进行设计。
安全管理体系设计成果可分为四层。 层为总体方针、安全策略,通过信息安全总体方针、安全策略明确机构信息安全工作的总体目标、范围、原则等。第二层为信息安全管理制度,通过对信息安全活动中的各类内容建立管理制度,约束信息安全相关行为。第三层为安全技术标准、操作规程,通过对管理人员或操作人员执行的日常管理行为建立操作规程,规范信息安全管理制度的具体技术实现细节。第四层为记录、表单,用于在信息安全管理制度、操作规程实施时需填写的表单和需保留的操作记录。
2.3 安全技术体系设计
根据组织总体安全策略文件、GB/T 22239、行业基本要求和安全需求,设计等级保护对象的安全技术体系架构。等级保护对象的安全技术防护体系由从外到内的“纵深防御”体系构成, 先通过“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏,然后通过“通信网络安全防护”保护暴露于外部的通信线路和通信设备,通过“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时遵循“就高保护”原则,对于内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”,通过“安全管理中心”对整个等级保护对象实施统一的安全技术管理。
等级保护对象的安全技术体系架构见下图所示:
根据安全技术架构的设计,组织可以寻找相应的技术与产品来实施安全控制措施。安全技术与产品的选择,请参考安全调查分析机构推出的 “网络安全行业全景图”。
网络安全全景图目前共分为17大安全领域,59个细分领域,包含约200家安全企业和相关机构,比较全面地对主流的安全技术与产品进行了介绍,可以供用户在选择技术与产品解决方案时加以参考。
3. 信息安全教育与培训
《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当履行对从业人员进行网络安全教育、技术培训和技能考核的义务。
信息安全教育与培训是实施有效信息管理的重要基础,组织要周期性地进行信息安全教育与培训规划,要在员工中形成一个行之有效、常抓不懈的氛围,教育的形式既要生动有趣,又要紧凑有效。组织可以考虑采用以下NIST基于角色与职责的、框架式的安全教育模型:
组织可根据各岗位人员信息安全能力建设需求,设计未来3到5年信息安全培训规划,并针对各岗位的工作特征,制定各岗位信息安全能力需求表,以及由知识组合成的课程。根据组织的实际情况可采用以下基于角色与职责的、框架式的课程设计。以下是基于岗位与信息安全知识体对应的培训方案示例:
此外,《网络安全法》第十九条规定,“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。“因此,网络运营者在进行人员能力建设的同时,还应加强包括管理层在内全员网络安全意识培养和重要性宣传的工作。
普通员工是各项业务的执行者,员工信息安全意识的薄弱是组织信息安全 大的风险。内部员工无意的疏忽,往往会引发敏感信息泄露等安全事件的发生。内部员工的信息安全意识水平提升有助于减少信息安全风险,提升组织的总体信息安全水平。
组织应设计与提供贯穿员工整个职业生命周期的、多种层次、多种方式的信息安全意识宣贯,提高组织全体员工的信息安全意识水平。以下是各类信息安全意识教育形式示例:
4. 安全体系的持续改进
组织在经过合规差距分析并建成组织、管理和技术体系之后,要推进体系的运行。如果条件许可,组织还可以建立信息安全监控运行中心(SOC),对安全运行状态进行检测与管理。组织要持续地收集体系运行数据,对体系运行状态进行测量,并根据测量结果建立信息安全绩效考核机制,这样才能把信息安全要求落实到业务流程和员工岗位之中。
组织要建立信息安全保障体系的PDCA循环模式,以推进体系建设的持续完善,全面提升组织的风险识别、安全防御、安全检测、安全响应与安全恢复能力, 终实现风险可视化、防御主动化、运行自动化、管理流程化的安全目标,积极、主动、快速地应对网络安全风险,保障业务与数据安全。