网络安全等级保护制度是国家网络安全保障工作的基本制度,关键信息基础设施是网络安全等级保护的重点,网络安全等级保护制度涵盖关键信息基础设施保护。
什么是关键信息基础设施
关系国家重大利益、人民生命财产安全和社会生产生活秩序,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施、信息系统和数据资源。
关键信息基础设施这个概念中央第一次正式提出,是在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议,习近平总书记指示,“要抓紧制定互联网信息内容管理、国家关键信息基础设施保护等方面的专项法规,解决工作急需”,随后下发的文件中提到,要建设网络强国,要有良好的信息基础设施,形成实力雄厚的信息经济,要完善关键信息基础设施保护等法律法规等。
在《网络安全法》出台以前,现有法律条文中并没有给出关键信息基础设施的明确概念,仅是部分法规文件从重大基础设施、重点领域网络与信息系统等几个方面做出了规定。
● 重大基础设施:“《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号”中使用了“重大基础设施”的概念,并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别。
● 重点领域网络与信息系统:《2012年重点领域网络与信息安全检查总结报告》中指出各重点领域的“重要网络与信息系统”,其中的调查报告则初步列举了我国多个关系国家安全、经济秩序正常运行和社会稳定的“关键网络与信息系统”。初步划定了我国信息安全保障的重点。
2017年6月1日《网络安全法》正式实施,其中第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。现在,国家关键信息基础设施已经纳入网络安全等级保护制度进行管理,在实现网络安全等级保护相关要求的基础上,增强实现更强的要求,具体要求正在起草制定中。(关键信息基础设施保护标准体系,如:关键信息基础设施保护条例正在制定中,关键信息基础设施安全保护要求、关键信息基础设施安全控制要求、关键信息基础设施安全控制评估方法都在起草当中。)
正确理解网络安全等级保护制度与关键信息基础设施保护的关系
1.等级保护制度是普适性的制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。
2.等级保护制度和关键信息基础设施保护是网络安全的两个重要方面,不可分割。关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。
3.网络运营者应当在第三级(含)以上网络中确定关键信息基础设施。
4.关键信息基础设施保护,要落实公安机关、保密部门、密码部门的保卫、保护、监管责任,落实网络运营者和行业主管部门的主体责任。
5.公安机关在情报侦察、追踪溯源、快速处置、打击犯罪、等级保护、通报预警、互联网管理等方面,发挥职能作用,发挥主力军作用,保卫关键信息基础设施安全。
实施网络安全等级保护制度的根本目的就是保护国家关键信息基础设施
依据一:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)要求,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
依据二:公安部、国家保密局、国家密码管理局和原国务院信息办联合印发的《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)规定,国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统。
依据三:公安部、国家保密局、国家密码管理局和原国务院信息办联合印发的《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)规定,信息和信息系统的安全保护等级共分为五级,第三级、第四级、第五级属于国家重要信息系统,涵盖所有关键信息基础设施。
网络安全等级保护与关键信息基础设施保护的关系:
一是从保护的对象上看,网络安全等级保护包含全国所有第二级(含)以上安全保护对象,关键信息基础设施保护对象是网络安全等级保护对象中的一小部分;
二是从保护的策略上看,网络安全等级保护是分等级进行的,所有网络划分为五个等级,对第三级(含)以上系统采取重点保护,而对关键信息基础设施同样实行重点保护;
三是从保护的措施上看,第三级(含)以上网络采取的保护措施,与关键信息基础设施采取的保护措施基本一致;
四是从发展上看,中央《关于加强社会治安防控体系建设的意见》《关于全面深化公安改革若干重大问题的框架意见》,要求健全网络安全等级保护制度。
公安部正在会同有关部门研究落实健全网络安全等级保护制度的具体措施,覆盖所有保护对象和保护方法。
现在确定了47个行业、276家重点单位为网络安全重点保卫单位,确定了500个信息系统为国家重要信息系统,47个行业涵盖电信、广电、电力、石油、银行、证券、保险、交通、民航、铁路、教育、卫生、税务、海关等国家关键信息基础设施领域。
等级保护合规对关键信息基础设施要求
a)确定关键信息基础设施安全保护的定级对象及其安全保护等级;其中,定级对象包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工控系统等。
b)根据定级对象的安全保护等级,按照GB/T 22239相应等级的安全要求,进行安全建设、管理和运维,确保定级对象具有相应等级的安全保护能力。
c)在落实GB/T 22239相应等级的总体安全策略基础上,对关键信息基础设施实施分区分域管理,并根据承载业务的重要程度和数据敏感程度,制定不同的安全策略,避免重要网络、系统和资产遭受未经授权的访问,防止重要数据泄露或者被窃取、篡改。