法律合规视角下的等级保护条例

一、重装上阵

近日，公安部发布了《网络安全等级保护条例（征求意见稿）》（简称“保护条例”），等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来，各种配套法规不完善一直为各方所诟病，而等级保护制度作为《网络安全法》中的核心制度之一，更是迫切需要尽快完善。

等级保护制度可谓历史悠久，早在1994年国务院颁布的《计算机信息系统安全保护条例 》中就规定计算机信息系统实行安全等级保护，随后有多部法规、国家标准对信息安全进行了规定。因此，等级保护虽然需要完善，但并不是一片空白。在《网络安全法》生效后，就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护，直到2013年开始《网络安全法》提上议事日程，“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变，从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中，最为重要的主体是“网络运营者”，也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛，导致几乎所有的企事业单位都可以被划入网络运营者的范畴，故等级保护制度有必要得到所有单位的重视。 

在保护条例中，对《网络安全法》中部分义务进行了扩张，比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务，在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意，但保护条例如此规定仍有越位的嫌疑。

二、九龙治水

对于人工智能、大数据、物联网这新兴技术，同样被要求按照等级保护的要求进行防护。这也不是新鲜的要求了，工信部早在2012年就发布了《互联网新技术新业务信息安全评估管理办法（试行）》（未公开），后在2017年发布《互联网新业务安全评估管理办法（征求意见稿）》。不同部门所主导的安全评估，只希望能够尽量协调不同监管体系的查阅，减少新技术创新所面临的重叠监管。在执法方式上，除了传统的处罚手段，还新增了约谈制度，公安部门、保密管理部门、密码管理管理可以直接约谈企业的法定代表人。目前来看，约谈也是使用频率最高的执法措施。

三、关键控制点

不同的等级会对应不同的安全措施，以三级是一个重要的分界线，在承担的义务上显著加强。三级也是定级时常用的一道标准，比如在今年年初，深圳市公安局要求IDC、云平台信息安全等级保护不得低于三级。上海也在今年要去要求P2P金融机构与主流网络游戏定级在三级。

单位如果有多套系统，则需要分别进行等级保护测评工作，即等级保护是按照网络系统为主体进行识别，而非以单位为主体进行识别。等级保护工作启动的起点是规划设计阶段，实际上是要求Security by Design。另外，在网络内部或外部环境发送重大变化，也需要重新进行定级。

定级评审中，如果是二级以上，则需要进行专家评审以及行业主管部门核准。而目前的等级保护工作也主要是以行业为单位推进，如上海在今年推动的P2P金融与网络游戏行业等级保护工作，行业主管部门在等级保护工作中已经扮演了重要的角色。

四、义务与责任

对于企事业单位来说，更为需要关注的是等级保护的义务。等级保护中的义务以三级为分界线，三级以上的单位需要承担特殊安全义务。

同样需要留意的是三级以上系统要求在境内进行维护，原则上不得境外远程维护，确需境外维护的，需要网络安全评估。在去年《关键信息基础设施安全保护条例（征求意见稿）》中，就要求过关键信息基础设施应当在境内维护。实际上，等保三级以上的网络系统与关键信息基础设施的范围是高度重合的，所有二者在保护方法上有类似的要求也不足为奇。根据2017年底全国人大发布的《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》，截止2017年12月，“已累计受理备案14万个信息系统，其中三级以上重要信息系统1.7万个，基本涵盖了所有关键信息基础设施。”其中尤其需要注意的是，保护条例要求网络安全事件24小时内报告，远高于欧盟GDPR的72小时报告的义务。如果没有对预案进行过充分的演练，这一义务几乎不可能履行。等保要求网络运营者处置网络安全事件应当保护现场，记录并留存相关数据信息，并及时向公安机关和行业主管部门报告。

对于人员，三级以上网络也有一些有意思的义务，比如要求运营者的关键岗位人员或提供安全服务的人员，不得擅自参加境外组织的网络攻防活动。

五、法律合规视角下的等级保护：法言法语遇上TCP/IP

等级保护的升级之路早已开始，而从去年《网络安全法》生效后，更是将原来行政法规与部门规章中的制度升格为法律规定，网信办这一强势部门也加入等级保护的管理工作中。从法律的角度来看，《网络安全法》生效后有大量执法案例围绕着等级保护制度，大多是在网站发生安全事故以后，被公安部门所处罚，而且不乏对企业负责人的处罚。《网络安全法》与等级保护已经已经不是仅需要IT或者安全部门关注的事项，同样成为企业法务、合规工作中不可回避的问题。

当面对政府的约谈、调查、问询时，或是发生网络安全事故、数据泄露事件时，都需要法务人员与外部律师有效的介入，提供法律层面的指引。这也就需要技术人员与法务合规人员经常坐在一起，能够听懂彼此的语言，让法言法语与C语言、JAVA语言能够有效沟通。这当然不是一件容易的事情，但却是需要从当下开始做的事情。

本文作者：acstar

声明：本文来自FreeBuf，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。