2018年6月27日，公安部正式發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》(以下稱(chēng)“《等保條例》”)，標(biāo)志著《網(wǎng)絡(luò)安全法》(以下稱(chēng)“《網(wǎng)安法》”)第二十一條所確立的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度有了具體的實(shí)施依據(jù)與有力抓手?！兜缺l例》共八章七十三條，包括總則、支持與保障、網(wǎng)絡(luò)的安全保護(hù)、涉密網(wǎng)絡(luò)的安全保護(hù)、密碼管理、監(jiān)督管理、法律責(zé)任和附則。相較于2007年實(shí)施的《信息安全等級(jí)保護(hù)管理辦法》(以下稱(chēng)“《管理辦法》”)所確立的等級(jí)保護(hù)1.0體系，《等保條例》在國(guó)家支持、定級(jí)備案、密碼管理等多個(gè)方面進(jìn)行了更新與完善，適應(yīng)了現(xiàn)階段網(wǎng)絡(luò)安全的新形勢(shì)、新變化以及新技術(shù)、新應(yīng)用發(fā)展的要求，標(biāo)志著等級(jí)保護(hù)正式邁入2.0時(shí)代。

[[236681]]

《等保條例》的具體規(guī)定

《管理辦法》由公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室共同發(fā)布，作為等保1.0體系的核心規(guī)定，其法律效力為部門(mén)規(guī)范性文件。另根據(jù)《管理辦法》第一條規(guī)定，其制定依據(jù)為國(guó)務(wù)院行政法規(guī)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。

《等保條例》雖尚在征求意見(jiàn)稿階段，根據(jù)《行政法規(guī)制定程序條例》第五條，行政法規(guī)的名稱(chēng)一般稱(chēng)“條例”，國(guó)務(wù)院各部門(mén)和地方人民政府制定的規(guī)章不得稱(chēng)“條例”，因此，《等保條例》應(yīng)當(dāng)屬于行政法規(guī)范疇。此外，《等保條例》第一條規(guī)定了其制定依據(jù)為《網(wǎng)安法》與《保守國(guó)家秘密法》。

綜上可知，《管理辦法》為依據(jù)行政法規(guī)制定的部門(mén)規(guī)范性文件，而《等保條例》則屬于依據(jù)國(guó)家法律制定的行政法規(guī)，顯然，無(wú)論是自身法律效力亦或法律依據(jù)的效力位階，等保2.0均優(yōu)于等保1.0。

等級(jí)保護(hù)的適用范圍

對(duì)于適用范圍，《等保條例》概括性地規(guī)定為適用于網(wǎng)絡(luò)運(yùn)營(yíng)者在我國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用網(wǎng)絡(luò)，開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)以及監(jiān)督管理工作，而個(gè)人及家庭自建自用的網(wǎng)絡(luò)除外，內(nèi)容較為簡(jiǎn)略。2018年1月19日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南2.0(征求意見(jiàn)稿)》(以下稱(chēng)“《定級(jí)指南2.0》”)，為等保的具體適用提供了指引。

等保1.0體系中，《管理辦法》在第十條明確提到信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(以下稱(chēng)“《定級(jí)指南1.0》”)確定信息系統(tǒng)的安全保護(hù)等級(jí)。因此，《定級(jí)指南2.0》的出臺(tái)很大程度上得益于《定級(jí)指南1.0》的已有規(guī)定。

相比《定級(jí)指南1.0》將等級(jí)保護(hù)的對(duì)象籠統(tǒng)地定義為信息安全等級(jí)保護(hù)工作直接作用的具體的信息和信息系統(tǒng)，《定級(jí)指南2.0》細(xì)化了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度定級(jí)對(duì)象的具體范圍，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個(gè)系統(tǒng)平臺(tái)。另外，作為定級(jí)對(duì)象的網(wǎng)絡(luò)還應(yīng)當(dāng)滿足三個(gè)基本特征：第一，具有確定的主要安全責(zé)任主體;第二，承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用;第三，包含相互關(guān)聯(lián)的多個(gè)資源

根據(jù)《定級(jí)指南2.0》，定級(jí)對(duì)象在滿足上述基本特征后仍需遵循相關(guān)要求。對(duì)于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類(lèi)型、服務(wù)地域和安全責(zé)任主體等因素將其劃分為不同的定級(jí)對(duì)象，而跨省業(yè)務(wù)專(zhuān)網(wǎng)既可以作為一個(gè)整體定級(jí)，也可根據(jù)區(qū)域劃分為若干對(duì)象定級(jí)。對(duì)于工業(yè)控制系統(tǒng)，應(yīng)將現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制和過(guò)程控制等要素應(yīng)作為一個(gè)整體對(duì)象定級(jí)，而生產(chǎn)管理要素可以單獨(dú)定級(jí)。對(duì)于云計(jì)算平臺(tái)，則應(yīng)區(qū)分為服務(wù)提供方與租戶(hù)方，各自分別作為定級(jí)對(duì)象。對(duì)于物聯(lián)網(wǎng)，雖然其包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等多種特征因素，但仍應(yīng)將以上要素作為一個(gè)整體的定級(jí)對(duì)象，各要素并不單獨(dú)定級(jí)。采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)與物聯(lián)網(wǎng)類(lèi)似，應(yīng)將移動(dòng)終端、移動(dòng)應(yīng)用、無(wú)線網(wǎng)絡(luò)等要素與相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)作為整體對(duì)象定級(jí)。對(duì)于大數(shù)據(jù)，除安全責(zé)任主體相同的平臺(tái)和應(yīng)用可以整體定級(jí)外，應(yīng)單獨(dú)定級(jí)。

網(wǎng)絡(luò)等級(jí)

《等保條例》繼受了《管理辦法》所確立的五級(jí)安全保護(hù)等級(jí)體系，但進(jìn)一步強(qiáng)化了對(duì)公民、法人和其他組織合法權(quán)益的保護(hù)?！豆芾磙k法》并未在主文中規(guī)定當(dāng)遭受破壞后會(huì)對(duì)公民、法人和其他組織合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害的信息系統(tǒng)應(yīng)當(dāng)如何定級(jí)，《定級(jí)指南1.0》僅在之后定級(jí)要素與安保等級(jí)關(guān)系的表格中顯示上述信息系統(tǒng)應(yīng)列為第二級(jí)，而《等保條例》則進(jìn)行了相應(yīng)修改，當(dāng)?shù)燃?jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時(shí)，相應(yīng)系統(tǒng)應(yīng)當(dāng)定為第三級(jí)保護(hù)對(duì)象。具體等級(jí)劃分請(qǐng)參照以下表格：

網(wǎng)絡(luò)安全保護(hù)義務(wù)

《管理辦法》第五條規(guī)定信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照該辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任，但并未明確對(duì)應(yīng)的義務(wù)。作為《網(wǎng)安法》配套法規(guī)的《等保條例》則沿襲了《網(wǎng)安法》已有的規(guī)定，就網(wǎng)絡(luò)運(yùn)營(yíng)者的一般和特殊安全保護(hù)義務(wù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)、應(yīng)急預(yù)案制定等進(jìn)行了詳細(xì)的規(guī)定。

對(duì)于安全保護(hù)義務(wù)，除《網(wǎng)安法》第二十一條已經(jīng)明確的內(nèi)容外，一般網(wǎng)絡(luò)運(yùn)營(yíng)者還應(yīng)：一、建立安全管理和技術(shù)保護(hù)制度，建立人員管理、教育培訓(xùn)、系統(tǒng)安全建設(shè)、系統(tǒng)安全運(yùn)維等制度;二、落實(shí)機(jī)房安全管理、設(shè)備和介質(zhì)安全管理、網(wǎng)絡(luò)安全管理等制度，制定操作規(guī)范和工作流程;三、在收集使用和處理個(gè)人信息時(shí)采取保護(hù)措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實(shí)違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實(shí)防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施;五、落實(shí)違法信息發(fā)現(xiàn)、阻斷、消除等措施，防范違法信息大量傳播和違法犯罪證據(jù)的滅失。第三級(jí)以上的網(wǎng)絡(luò)運(yùn)營(yíng)者除上述義務(wù)外，還應(yīng)當(dāng)著重落實(shí)網(wǎng)絡(luò)安全管理負(fù)責(zé)人、關(guān)鍵崗位技術(shù)人員的安全背景審查和持證上崗制度，同時(shí)定期開(kāi)展等級(jí)測(cè)評(píng)工作。

對(duì)于網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采購(gòu)、使用符合國(guó)家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采用與其安全保護(hù)等級(jí)相適應(yīng)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，對(duì)重要部位使用的網(wǎng)絡(luò)產(chǎn)品，還應(yīng)當(dāng)委托專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行專(zhuān)項(xiàng)測(cè)試。2017年6月1日生效的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄(第一批)》與國(guó)家認(rèn)監(jiān)委等四部門(mén)于2018年3月15日發(fā)布的《承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全認(rèn)證和安全檢測(cè)任務(wù)機(jī)構(gòu)名錄(第一批)》對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者使用的網(wǎng)絡(luò)產(chǎn)品的要求進(jìn)行了詳細(xì)的規(guī)定，因此建議網(wǎng)絡(luò)運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)要求供應(yīng)商提供專(zhuān)業(yè)機(jī)構(gòu)出具的安全認(rèn)證或檢測(cè)證書(shū)，以減少運(yùn)營(yíng)法律風(fēng)險(xiǎn)。

對(duì)于應(yīng)急預(yù)案的制定，第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練。除及時(shí)記錄并留存事件數(shù)據(jù)信息，向公安機(jī)關(guān)和行業(yè)主管部門(mén)報(bào)告外，網(wǎng)絡(luò)運(yùn)營(yíng)者還應(yīng)當(dāng)為重大網(wǎng)絡(luò)安全事件處置和恢復(fù)提供支持和協(xié)助。根據(jù)工信部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》，報(bào)告網(wǎng)絡(luò)安全事件信息時(shí)，還應(yīng)當(dāng)說(shuō)明事件發(fā)生時(shí)間、初步判定的影響范圍和危害、已采取的應(yīng)急處置措施和有關(guān)建議等。

網(wǎng)絡(luò)安全保護(hù)要求

近年來(lái)，隨著人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等的快速發(fā)展，安全趨勢(shì)和形勢(shì)的急速變化，2008年發(fā)布的《GB/T22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(簡(jiǎn)稱(chēng)等保1.0)已經(jīng)不再適用于當(dāng)前安全要求。從2015年開(kāi)始，等級(jí)保護(hù)的安全要求逐步開(kāi)始制定2.0標(biāo)準(zhǔn)，包括5個(gè)部分：安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制安全擴(kuò)展要求。2017年8月，公安部評(píng)估中心根據(jù)網(wǎng)信辦和安標(biāo)委的意見(jiàn)將等級(jí)保護(hù)在編的5個(gè)基本要求分冊(cè)標(biāo)準(zhǔn)進(jìn)行了合并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》一個(gè)標(biāo)準(zhǔn)。等保1.0標(biāo)準(zhǔn)更偏重于對(duì)于防護(hù)的要求，而等保2.0標(biāo)準(zhǔn)更適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，結(jié)合《網(wǎng)安法》中對(duì)于持續(xù)監(jiān)測(cè)、威脅情報(bào)、快速響應(yīng)類(lèi)的要求提出了具體的落地措施。等保2.0與等保1.0標(biāo)準(zhǔn)的變化內(nèi)容請(qǐng)參照以下表格：