2018年以來各地公安網安部門加強了網絡安全等保測評執法檢查力度,逐步要求屬地企業必須落實網絡安全等保定級備案義務,否則被約談或處罰。事實上網絡安全等保測評制度早在1994年的《計算機信息系統安全保護條例》中即已確立。公安部先后發布了《信息安全等級保護管理辦法》、《關于開展全國重要信息系統安全等級保護定級工作的通知》、《信息安全等級保護備案實施細則》等幾個規定。2017年《網絡安全法》首次將等保制度上升到法律層面。2018年初全國信安標委更新、發布了一系列等保有關的指引性標準。
下面陜西弈聰軟件信息技術股份有限公司結合企業辦理等保定級備案、測評的實務經驗,簡要分享網絡安全等保定級備案及測評有關的幾個實務問題。
一、哪些企業必須執行網絡安全等保制度
盡管在早些時候,等保制度實行自主定級、自主保護的原則,但是隨著2017年《網絡安全法》實施,國家實行普遍性網絡安全等級保護制度。所有網絡運營者(網絡的所有者、管理者和網絡服務提供者)都應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。所以一切具有聯網功能的網絡信息系統的運營、使用單位或者其主管部門(參照《信息安全等級保護管理辦法》規定,統稱為“備案主體”),都必須執行網絡安全等級保護制度,并根據定級情況履行等定級保備案義務。
根據更新后的《信息安全技術 網絡安全等級保護基本要求(送審稿)》規定,不同新技術行業(例如通用網絡、云計算、移動互聯網、物聯網、工業控制系統等)執行的等級保護標準和要求略有差異。此外根據特定行業適用的法律規范不一樣,特定行業在服務器放置、數據留存、系統安全、個人信息保護等方面有一些特殊合規要求,這將影響網絡安全等保測評的標準適用及整改措施的執行。
值得注意的是,企業必須執行網絡安全等級保護制度,但并不一定必須辦理公安等保備案。只有運營二級(含)以上網絡系統的企業,才需要辦理公安等保備案。但實踐中哪些網絡系統屬于二級以上,相關標準較為模糊,企業往往極難把握。從降低企業合規風險的角度,往往需要向公安網安部門遞交書面文件后,由他們最終確定等級認定情況。
根據近期監管執法實踐,應當辦理等保定級備案而拒不備案的,公安機關應當根據《計算機信息系統安全保護條例》、《網絡安全法》等有關規定,責令限期整改;逾期仍不備案的,予以警告,并可以對企業處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
二、企業等保定級備案機構、流程等實務問題
根據《信息安全等級保護管理辦法》、《信息安全技術 網絡安全等級保護基本要求(送審稿)》等規定,已運營的二級以上信息系統應當在安全保護等級確定后30日內,新建第二級以上信息系統應當在投入運行后30日內,由其運營、使用單位到所在地公安機關辦理備案手續。根據等保定級備案實踐,企業可以向注冊地或者實際經營地所在區網安部門(我們建議向企業網站的公安聯網備案的辦理機構)遞交備案申請,最終由市局審核并出具備案證明。
具體流程方面,各地實際備案流程略有差異。根據上海市的情況,由企業先行確定定級對象及初步的等級,并根據業務及系統實際情況,自行或者委托第三方機構(陜西弈聰軟件信息技術股份有限公司團隊可以代為辦理)填報《信息系統安全等級保護備案表》及其附表并遞交至屬地網安部門。網安部門根據申報材料及初步審查情況,對不符合等保要求的,會要求備案單位進行整改(通常是讓企業委托第三方測評機構開展網絡安全等保測評),整改合格(測評結果合格)的,頒發《信息系統安全等級保護備案證明》。
企業有多個網絡系統的,可以集中一次辦理等級定級備案,備案長期有效,無需每年辦理公安等保定級備案(非測評)。但是如果企業的網絡系統發生變更或者定級變更的,應當辦理變更手續或者重新辦理備案。
三、信息系統等保定級標準及合規要求
我國現有等保定級采取自主定級申報模式,但實踐中定級標準較為模糊、主觀,企業很難把握。
根據《信息安全等級保護管理辦法》、《信息安全技術 網絡安全等級保護基本要求(送審稿)》等規定,根據等級保護對象受到破壞后對客體造成侵害的程度不同,我國等保實行五級分級保護制度:
但在實踐中,如何區分“公民、法人和其他組織的合法權益”與“社會秩序、公共利益”,如何量化“一般損害”、“嚴重損害”等具體標準,成為企業合規定級的最大障礙。當然,匯業黃春林律師團隊在協助企業辦理定級備案過程中,如何通過企業信息系統所處的行業、作用,以及用戶數量的多少等因素,也慢慢積累了一些定性、定量定級的經驗和慣例,例如用戶數量超過100萬量級的電商網站,被認定為三級的可能性較大。
值得注意的是,盡管備案是每個企業備案一次,但是定級是每個系統單獨定級,并以較高者確定最終等級。此外,根據備案實踐,企業的網絡系統(例如公共網站、APP應用、財務系統及CRM系統等)只要具備聯網功能,是不論內外網性質均要定級的。例如在備案申請時填報的《信息系統情況》子表中03選項就是“業務類型”,進而區分“內部辦公”還是“公眾服務”等;05選項就是“系統網絡平臺”,進而區分“局域網”還是“廣域網”等。
根據我們的經驗,作為定級對象的信息系統應該是由配套的設備、設施、軟件組合而成的整體。某個單一的系統組件(如服務器、終端、網絡設備等)不會單獨作為定級對象。所以,企業的單個系統的在不同的地方分別有服務器的,仍然按照一個系統定級備案。若公安網安部門認定企業自主定級與實際不符或者不準確的,可以要求申報備案單位重新定級并重新遞交備案材料。企業最終的等級認定,應當以公安出具的出具的《信息系統安全等級保護備案審核結果通知》及《信息系統安全等級保護備案證明》認定的等級為準。
四、信息系統等保測評有關的幾個實務問題
法律上第三方測評機構主導的信息系統等保測評,并不是企業開展等保定級備案的一項必經程序,事實上通常僅發生在如下兩種情況:(1)公安機關受理后認為企業定級備案需要整改的;(2)三級以上等保單位需要每年測評一次。
企業應當委托具有資質的、當地公安網安部門認可的等保測評機構開展測評。實踐中每家測評機構提供的服務范圍各不相同,部分測評機構僅提供測評服務,不負責代理備案申報、整改等事務。測評服務費也各有差異,通常情況下二級等保測評約為6-8萬(不含整改費用,下同),三級等保測評約為10-15萬,具體根據委托企業的行業、系統數量各有差異。測評期限也跟測評機構的業務繁忙程度(例如近期部分測評機構主要忙于互金平臺等保測評,普通測評等待時間較長)、測評人員規模各有差異。
具體測評中,測評機構重點關注信息系統的“技術標準”和“管理標準”兩項指標。例如“管理標準”指標中,根據等級不同,重點關注企業是否有合規的安全策略、管理制度、應急預案等,以及企業是否有配置合規的網絡安全管理崗位、人員,并開展相應的教育培訓等。
【全文完】版權聲明:
1、陜西弈聰網站內容中凡注明“來源:XXX(非陜西弈聰網站)”的作品,轉載自其它媒體,轉載目的在于傳遞更多信息,其中涉及的網站建設,網站優化,百度關鍵詞優化,西安軟件開發等技術細節并不代表本站贊同支持其觀點,并不對其真實性負責。對于署名“陜西弈聰”的作品系本站版權所有,任何人轉載請署名來源,否則陜西弈聰將追究其相關法律責任。
2、本站內容中未聲明為“原創”的內容可能源自其它網站,但并不代表本站支持其觀點,對此帶來的法律糾紛及其它責任與我方無關。如果此內容侵犯了您的權益,請聯系我方進行刪除。