据媒体报道,6月25日,网络安全标准论坛在北京召开,由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》(以下简称“条例”)拟将于本周在网上发布。
公安部网络安全保卫局总工郭启全(来源:南方都市报)
公安部网络安全保卫局总工郭启全在发言中表示:“关键信息基础设施保护是网络安全等级保护制度2.0的重点。目前中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作已经完成,正在走司法程序。”
这是继2017年6月1日我国发布《中华人民共和国网络安全法》后,在网络安全领域又一规范性条例,在操作性、指导性和强制性力度更强。
下面,我们先简单回顾一下我国网络和信息安全领域的条例的演进历史:
1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令):首次提出“计算机信息系统实行安全等级保护”概念。
1999年,《计算机信息系统安全等级保护划分准则》(GB17859);国家发布关于计算机信息系统安全保护等级划分准则强制性标准。
2005年,《重要信息系统灾难恢复指南》(国务院信息化工作办公室);发布对重要信息系统灾难恢复的规划和准备工作基本要求的内容。
2007年,《信息安全等级保护管理办法》(公通字[2007]43号):由四部委下发,旨在加快推进、规范管理等级保护建设工作。
2008年,《信息安全等级保护基本要求》(GB/T 22239-2008):明确对于各等级信息系统的安全保护基本要求。
2015年,《公共安全业务连续性管理体系指南》(GB/T 31595-2015);针对企业实施业务连续性管理体系中的方法和步骤给出了详细的指导。
2017年,《中华人民共和国网络安全法》正式发布,其中第二十一条明确:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
综上,在网络和信息安全领域,《网络安全等级保护条例》的推出,可以参照《信息安全等级保护管理办法》,但是后者规范的领域更广,不仅针对网络和信息系统,还把云计算、大数据、物联网等新业态也纳入了监管;此外,网络等保把监管对象从体制内拓展到了全社会。
“等保2.0”的概念也正是脱胎于此,它们将筑起我国网络和信息安全的重要防线,对规范相关机构、单位和企业的网络和信息安全起到指导性作用。
此外,《条例》还下调了等级测评周期。“原来第三级网络的运营者一年测评一次,第四级半年一次,刚测完又要测”,郭启全说,《条例》把上述规定改为“第三季以上网络的运营者应当每年开展一次网络安全等级测评”。
英方股份CTO周华在谈到《条例》的即将颁布时表示:“关键信息基础设施保护历来是灾备企业重要的企业使命之一,数据备份与恢复已经正式纳入到了数据安全的体系中,每一家企业都需要积极参与到安全技术的探索中来。在云计算、大数据、物联网快速发展的当下,中国企业需要也应该通过自主研发的云灾备、智能灾备等管理平台结合大数据、人工智能等安全技术,将灾备业务与用户具体场景深度融合,为用户提供更为高效、便捷、经济的灾备及业务连续性管理整体解决方案。”