网络安全法与企业数据保护——等级保护2.0的实施要点
网络安全法自正式实施以来,已经成为我国网络安全领域的基础性法律,对企业网络安全和数据保护工作产生了深远影响。与网络安全法配套实施的网络安全等级保护制度(即等保2.0),将网络安全保护从原来的信息系统的安全保护扩展到了更广泛的网络安全保护范畴。对于企业而言,准确理解和有效落实网络安全法和等级保护2.0的要求,不仅是履行法律义务的基本要求,也是保护企业核心数据和业务连续性的关键举措。
网络安全法构建了网络安全管理的核心制度框架。法律明确规定了网络运营者的安全保护义务,包括制定内部安全管理制度和操作规程、采取技术措施防范网络攻击和入侵、采取数据分类和备份措施、制定网络安全事件应急预案等。网络运营者应当对收集的用户信息严格保密,建立健全的用户信息保护制度。在网络安全等级保护制度方面,法律要求网络运营者按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络安全法还建立了网络安全监测预警和信息通报制度、关键信息基础设施的特别保护制度和网络安全事件的应急处置制度。企业违反网络安全法的相关规定,将面临警告、罚款、责令暂停相关业务、停业整顿、关闭网站和吊销相关业务许可证等行政处罚,情节严重的还可能承担刑事责任。
网络安全等级保护2.0制度的核心变化体现在保护范围的扩展和防护要求的提升。等保1.0主要针对信息系统进行安全保护,而等保2.0将保护范围从信息系统扩展到了所有网络基础设施和网络服务,包括工业控制系统、物联网、云计算平台、大数据平台和移动互联网等新型网络形态。等保2.0将安全保护等级划分为五级,其中一级最低,五级最高。大部分企业的信息系统和网络安全设施属于二级或三级保护等级。等级保护2.0的实施流程包括系统定级、备案、安全建设整改、等级测评和监督检查五个步骤。系统定级是根据业务重要性、系统规模和可能造成的损害程度,确定网络系统的安全保护等级。定级完成后需要向公安机关进行备案。备案通过后,企业按照对应等级的安全保护要求开展安全建设和整改工作。建设和整改完成后,邀请具备资质的等级测评机构进行安全测评。测评通过后在运营过程中持续接受公安机关的监督检查。
数据分类分级是网络安全法和数据安全法共同强调的核心要求。企业应当建立健全的数据分类分级管理制度,对收集和产生的数据进行科学分类和合理分级。数据分类按照业务属性进行划分,常见的分类维度包括客户数据、员工数据、财务数据、研发数据、运营数据和战略数据等。数据分级按照数据安全受到破坏后对国家安全、公共利益、企业利益和个人权益造成的影响程度进行划分,级别越高表示数据的重要性和敏感性越高。对于不同分类分级的数据,企业应当采取差异化的安全保护措施。高等级数据在存储、传输、使用和销毁等环节需要更为严格的控制手段,包括加密存储、访问控制、操作审计和行为监控等。数据分类分级工作应当在企业数据治理框架下统一开展,确保与业务部门的协同配合。
企业在落实网络安全法和等保2.0要求时,需要重点关注以下几个实施要点。网络安全组织架构建设是第一要务。企业应当明确网络安全工作的领导机构、管理机构和执行机构,配备专职的网络安全管理人员。组织架构应当覆盖决策层、管理层和执行层三个层面,确保网络安全工作有人管、有人抓、有人干。中小型企业虽然可以适当简化组织架构,但网络安全的责任主体和管理流程必须清晰。安全管理制度建设是企业落实法律义务的基础。制度体系应当包括网络安全总体方针、网络安全管理办法、各专项安全管理制度和操作规程三个层次。制度的编写应当结合实际业务场景,具有针对性和可操作性,而不是简单照搬法律条文。安全技术防护体系建设是等保2.0的核心内容。技术防护应当覆盖物理安全、网络安全、主机安全、应用安全和数据安全五个层面。物理安全包括机房和环境的安全防护。网络安全包括网络架构安全、网络边界防护、入侵检测和恶意代码防护。主机安全包括服务器安全配置、操作系统加固和漏洞管理。应用安全包括应用系统安全开发和Web应用安全防护。数据安全包括数据加密、数据脱敏、数据备份和数据防泄漏。安全运维管理是企业实现安全防护长效化的保障。运维管理包括资产管理、漏洞管理、安全事件管理、应急响应管理和安全审计管理等。企业应当建立常态化的安全运维机制,通过安全监控平台实现对网络和系统安全的实时监控和预警。
关键信息基础设施的运营者还需要承担额外的法律义务。根据网络安全法的规定,关键信息基础设施的运营者在网络安全等级保护制度的基础上,还应当履行以下义务:设置专门安全管理机构和安全管理负责人并对该负责人和关键岗位人员进行安全背景审查,定期对从业人员进行网络安全教育培训和技能考核,对重要系统和数据库进行容灾备份,制定网络安全事件应急预案并定期组织演练,每年至少进行一次网络安全检测和风险评估,向公安机关和行业主管部门报送网络安全监测预警信息。关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。同时,关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要确需向境外提供的,应当按照国家规定进行安全评估。等级保护测评是检验企业网络安全防护水平的重要手段。企业应当选择具备相应资质的等级测评机构进行测评,测评周期不少于每年一次。测评报告应当详细记录测评过程中发现的安全问题和风险隐患,并针对发现的问题提出整改建议。企业应根据测评报告制定整改计划,在规定时限内完成整改并接受复查。测评结果作为企业网络安全工作考核的重要依据,也作为监管部门监督检查的技术参考。
常见问题解答。问:等保2.0测评没有通过会有什么后果?答:测评未通过可能面临公安机关的限期整改通知,逾期未改正的将依法予以行政处罚,严重情况可能影响企业的业务经营和资质认定。问:企业如何进行网络安全定级?答:定级应根据业务重要性、系统规模和可能造成的损害程度综合确定,必要时可以委托专业机构提供定级咨询服务,定级结果需报公安机关备案。问:等保2.0和ISO27001有什么区别和联系?答:等保2.0是我国的强制性国家标准,具有法律强制效力;ISO27001是国际标准,适用于企业信息安全管理体系的国际认证,两者在安全控制要求上有很多相通之处,可以相互补充。问:小型企业是否需要做等保2.0?答:只要是网络运营者都需要按照法律要求履行安全保护义务,小型企业可以根据自身条件选择适合的保护等级和措施,不必追求高等级但必须保证基本安全。
北京企密安信息安全技术有限公司 010-63711822 / jess@baomiwang.com
