《中华人民共和国网络安全法》于2017年6月1日正式实施,其中第21条明确提出国家实行网络安全等级保护制度,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行相关安全保护义务。
第五十九条做出网络运营者不履行本法第二十一条规定的网络安全保护义务的做出了相应的责任判定。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中第九条、刑法第二百八十六条之一【拒不履行信息网络安全管理义务罪】也做出了相应的司法解释和法律要求。
时至今日,在2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等级保护2.0核心国家标准,包括《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 》、《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》和《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》,标志着等保2.0时代正式来临。随着网络安全等级保护的配套法律法规、国家标准的逐步落地完善,为了让企业快速了解等保2.0的法律责任和相关标准要求,深圳网安公司对等保2.0进行了重点解读,并为企业在等级保护的合规路径上提出相应的应对方法。
等级保护2.0系列标准适用于境内分等级的非涉密对象的安全建设和监督管理。本文分别从等级保护2.0的“合理定级”和“新挑战”两个方面,重点解析企业应如何理解和应对。
等保2.0-定级备案
等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。
《GA/T 1389—2017信息安全技术网络安全等级保护定级指南》
等保2.0正式稿的控制项对比等保1.0的控制项有减少,但是网络安全等级保护系列新国家标准将等级保护对象从信息系统扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等,等保2.0标准对上述新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。并且从等保2.0安全通用要求从二级系统开始就增加了个人信息保护控制点,并且在《网络安全法》、《个人信息安全规范》里面明确对个人信息的采集、保存、使用等做出了明确规定。
企业如何应对:企业应当按照《网络安全法》、《个人信息保护法》(草案)、《个人信息安全规范》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》和等级保护2.0系列国家系列标准的相关要求:
1.梳理出定级对象并合理确定其安全保护等级、定级对象的责任主体、负责人;