【建纬观点】谈承发包视角下新基建的数据安全治理之规范梳理(上)——从信息网络安全、涉密信息保护角度
袁健建纬律师事务所建设工程部专职律师
执业期间,参与住建部2022年版《建筑工人实名制管理办法(试行)》部分条款的修订;参与编写建纬所《工程总承包仲裁审理指南》及相关课题;参与中咨协《新基建数字化项目管理指南》课题;参与中国房地产业协会《中国长租房市场可持续发展研究:政治经济学意涵、顶层设计与实施路径》课题等;参与编写中国工程咨询协会的团标《政府投资项目工程总承包风险管理工作指南》等。
另,袁健律师持有医师资格证书,有多年的从医工作经历,极擅长解决医患争端;曾在某大型金融企业任法务主管,极擅长解决保险类金融纠纷。2012年正式入职律师事务所。
摘 要 随着我国的网络安全、数据安全、个人信息保护等法律规范的发布,为数据发展与安全提供了法律依据,但承发包视角下,新基建的数字化项目中的数据安全如何治理,需要梳理与总结。
关键词 新基建;数字化项目;数据安全治理;网络安全等级保护;数据分类分级保护制度。
新基建,全称为新型基础设施建设,是为了区别于传统基建的一个提法。谈新基建,首先得明确新型基础设施的概念,2020年4月22日,国家发改委政研室对其的定义是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系,并进一步确定了新基建的范围:“新型基础设施主要包括3个方面内容:一是信息基础设施。主要是指基于新一代信息技术演化生成的基础设施,比如,以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施,以人工智能、云计算、区块链等为代表的新技术基础设施,以数据中心、智能计算中心为代表的算力基础设施等。二是融合基础设施。主要是指深度应用互联网、大数据、人工智能等技术,支撑传统基础设施转型升级,进而形成的融合基础设施,比如,智能交通基础设施、智慧能源基础设施等。三是创新基础设施。主要是指支撑科学研究、技术开发、产品研制的具有公益属性的基础设施,比如,重大科技基础设施、科教基础设施、产业技术创新基础设施等。当然,伴随着技术革命和产业变革,新型基础设施的内涵、外延也不是一成不变的,我们将持续跟踪研究。”。2021年11月12日,国家发改委高技术司再次重申了上述新型基础设施的定义及范围。
上面的定义来源于在2018年12月19日至21日,中央经济工作会议上对基础设施建设的重新定义,即把5G、人工智能、工业互联网、物联网定义为“新型基础设施建设” [1]。2019年政府工作报告提出了“加强新一代信息基础设施建设” [2]。随后,新基建一词出现在公众及各大媒体报端。各地的新基建项目如火如荼。2020年5月7日,从上海市政府新闻发布会上介绍的《上海市推进新型基础设施建设行动方案(2020-2022年)》获悉,上海初步梳理排摸了这一领域未来三年实施的第一批48个重大项目和工程包,预计总投资约2700亿元[3]。
通过上面的梳理,我们不难发现,新基建将在我国的基础建设中的投资比例会越来越大,也将在经济建设中发挥越来越大的作用,是未来国民经济发展的重要推手,也是面向高质量发展和增进人民福祉的重要保证,意义重大。同时,我们也发现,无论新基建以后如何发展,信息网络是基础,数字化项目中的数据是新基建发展的引擎,而信息网络与数据安全是基石。谈信息网络及数据的发展,首先得明白如何才能保障信息网络及数据的安全。所以我们现在也不难理解为何国家在立法上连续出台相关法律规范,比如2016年的《网络安全法》,其后的《数据安全法》、《个人信息保护法》,都在不同的角度规制信息网络安全。另外,我国的标准化委员会也连续发布了网路及数据安全的管理规范及技术标准。
那么,在新基建的承发包模式下的工程总承包及专业分包中,发包人、总承包人、信息网络及数字化项目的专业分包人、工程师、监理单位、工程咨询单位如何保障新基建的网络安全及数据安全,是个全新的课题,需要研究与总结。
本文从信息网络安全、涉密信息系统分级保护管理、密码管理与数据安全四个治理角度,分别梳理目前我国相关的数据安全规范及治理要求,并予以总结,以期为将来制定标准或者指南做些有益的探索。
一、信息网络安全的规范及治理要求。法律规范依据有《中华人民共和国网络安全法》、《信息安全等级保护管理办法》、《关键信息基础设施安全保护条例》。定级等技术要求依据国家标准。
总则的要求
(一)维护网络安全的总体要求。建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。(《网络安全法》第十条)
(二)网络运营者的基本义务。网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。(《网络安全法》第九条)
(三)网络活动参与者的权利与义务。国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。(《网络安全法》第十二条)
(四)网络安全标准。国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。(《网络安全法》第十五条)
(五)网络安全社会化服务体系建设。国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。(《网络安全法》第十七条)
网络运行安全的一般规定
(六)国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1、制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3、采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4、采取数据分类、重要数据备份和加密等措施;
5、法律、行政法规规定的其他义务。(《网络安全法》第二十一条)
(七)国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。(《信息安全等级保护管理办法》第六条)
(八)依据《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020中的“5.确定定级对象”:
1、信息系统。具有的特征要求为:(1)具有确定的主要安全责任主体;(2)承载相对独立的义务应用;(3)包含相互关联的多个资源。
2、云计算平台/系统。在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
3、物联网。物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
4、工业控制系统。工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
5、采用移动互联网技术的系统。采用移动互联技术的系统主要包括移动终端,移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
6、通信网络设施。对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
当安全责任主体相同时,跨省的行业或单位的专用通信网可作为一个整体对象定级;当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。
7、数据资源。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级:当安全责任主体不同时,大数据应独立定级。
(九)关于定级。
1、首先,按照《信息安全等级保护管理办法》第七条,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2、其次,依据《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020中的“7.确定安全保护等级”:
安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级:审核通过后最终确定定级对象的安全保护等级。
对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
3、再次,依据《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019中的“5.定级对象的定级与备案”:定级、评审、备案。
4、最后,信息系统运营、使用单位应当依据本办法和《信息安全技术 网络安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。(《信息安全等级保护管理办法》第十条)
(十)信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。(《信息安全等级保护管理办法》第十一条)
(十一)信息系统运营、使用单位依据《信息安全等级保护管理办法》和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
(十一)依据《信息技术安全 网络安全等级保护基本要求》,分为安全通用要求及安全扩展要求,对于不同的级别(1-4级),按以下方面有不同的要求。
1、网络按安全通用要求执行,按如下要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全建设管理、安全运维管理。
2、云计算、移动互联、物联网、工业控制系统按安全扩展要求执行,具体见《信息技术安全 网络安全等级保护基本要求》。
(十二)信息系统运营、使用单位应当按照《信息技术安全 网络安全等级保护实施指南》具体实施等级保护工作。实施基本流程如下:
1、等级保护对象定级、评审与备案:定级、评审、备案。
2、总体安全规划:需求分析、总体设计、建设规划。
3、安全设计与实施:详细设计、技术实现、管理实现。
4、安全运行与维护:
(1)正常状态:运行管控、变更管控、状态监控、服务商管控、等级测评、检查改进。
(2)异常状态:应急准备、应急预案、监测响应、评估改进、应急保障。
5、定级对象终止:信息处理、设备处理、存储介质处理。
(十三)在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T 20272-2019)【原文标准与此同名,标准号为(GB/T20272-2006)已被替代】、《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2019)【原文标准与此同名,标准号为(GB/T20273-2006)已被替代】、服务器技术安全方面的标准【《信息安全技术 服务器技术要求》是原文标准,但未查到,查到的只有《信息安全技术 服务器安全技术要求和测评准则》(GB/T 39680-2020)】、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。(《信息安全等级保护管理办法》第十二条)
(十四)运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)【原文标准为《信息安全技术 网络安全等级保护基本要求》,已被替代】等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。(《信息安全等级保护管理办法》第十三条)
(十五)信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)【原文标准为《信息系统安全等级保护测评要求》】等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。(《信息安全等级保护管理办法》第十四条)
(十六)已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。(《信息安全等级保护管理办法》第十五条)
(十七)办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。(《信息安全等级保护管理办法》第十六条)
(十八)已运行的信息系统,信息系统运营、使用单位定期自检如下内容:
(一) 信息系统安全需求是否发生变化,原定保护等级是否准确;
(二) 运营、使用单位安全管理制度、措施的落实情况;
(三) 运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四) 系统安全等级测评是否符合要求;
(五) 信息安全产品使用是否符合要求;
(六) 信息系统安全整改情况;
(七) 备案材料与运营、使用单位、信息系统的符合情况;
(八) 其他应当进行自行检查的事项。(《信息安全等级保护管理办法》第十八条)
(十九) 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一) 信息系统备案事项变更情况;
(二) 安全组织、人员的变动情况;
(三) 信息安全管理制度、措施变更情况;
(四) 信息系统运行状况记录;
(五) 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六) 对信息系统开展等级测评的技术测评报告;
(七) 信息安全产品使用的变更情况;
(八) 信息安全事件应急预案,信息安全事件应急处置结果报告;
(九) 信息系统安全建设、整改结果报告。(《信息安全等级保护管理办法》第十九条)
(二十)第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。(《信息安全等级保护管理办法》第二十一条)
(二十一)第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一) 在中华人民共和国境内注册成立(港澳台地区除外);
(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三) 从事相关检测评估工作两年以上,无违法记录;
(四) 工作人员仅限于中国公民;
(五) 法人及主要业务、技术人员无犯罪记录;
(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八) 对国家安全、社会秩序、公共利益不构成威胁。(《信息安全等级保护管理办法》第二十二条)
(二十二)网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。(《网络安全法》第二十二条法条要点:网络产品和服务提供者的安全义务)
(二十三)网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。(《网络安全法》第二十三条法条要点:网络关键设备和安全专用产品的认证检测)
(二十四)网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。(《网络安全法》第二十四条法条要点:网络用户身份管理制度)
(二十五)网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。(《网络安全法》第二十五条法条要点:网络运营者的应急处置措施)
(二十六)开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。(《网络安全法》第二十六条法条要点:国家网络安全事件应急预案)
(二十七)任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。(《网络安全法》第二十七条法条要点:禁止危害网络安全的行为)
关键信息基础设施的运行安全
(二十八)国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。(《网络安全法》第三十一条法条要点:关键信息基础设施保护制度)
(二十九)本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。(《关键信息基础设施安全保护条例》第二条)
(三十)关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。(《关键信息基础设施安全保护条例》第四条)
(三十一)运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。(《关键信息基础设施安全保护条例》第六条)
(三十二)安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。(《关键信息基础设施安全保护条例》第十二条)
(三十三)运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。(《关键信息基础设施安全保护条例》第十三条)
(三十四)运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。(《关键信息基础设施安全保护条例》第十四条)
(三十五)专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。(《关键信息基础设施安全保护条例》第十五条)
(三十六)运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。(《关键信息基础设施安全保护条例》第十六条)
(三十七)运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。(《关键信息基础设施安全保护条例》第十七条)
(三十八) 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。(《关键信息基础设施安全保护条例》第十八条)
(三十九)运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。(《关键信息基础设施安全保护条例》第十九条)
(四十)运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。(《关键信息基础设施安全保护条例》第二十条)
(四十一)存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。
关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。(《关键信息基础设施安全保护条例》第五十条)
(四十二)建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。(《网络安全法》第三十三条法条要点:关键信息基础设施建设的安全要求)
(四十三)除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。(《网络安全法》第三十四条法条要点:关键信息基础设施运营者的安全保护义务)
(四十四)关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。(《网络安全法》第三十五条法条要点:关键信息基础设施采购的国家安全审查)
(四十五)关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。(《网络安全法》第三十六条法条要点:关键信息基础设施采购的安全保密义务)
(四十六)关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。(《网络安全法》第三十七条法条要点:关键信息基础设施数据的境内存储和对外提供)
(四十七)关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。(《网络安全法》第三十八条法条要点:关键信息基础设施的定期安全检测评估)
网络信息安全
(四十八)网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。(《网络安全法》第四十条法条要点:建立用户信息保护制度)
(四十九)网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。(《网络安全法》第四十一条法条要点:个人信息收集使用规则)
(五十)网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。(《网络安全法》第四十二条法条要点:网络运营者的个人信息保护义务)
(五十一)网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。(《网络安全法》第四十七条法条要点:网络运营者处置违法信息的义务)
(五十二)任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。(《网络安全法》第四十八条法条要点:电子信息和应用软件的信息安全要求及其提供者处置违法信息的义务)
(五十三)网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。(《网络安全法》第四十九条法条要点:投诉举报及配合监督检查的义务)
(五十四)因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。(《网络安全法》第五十七条法条要点:突发事件和生产安全事故的处置)
(五十五)本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。(《网络安全法》第七十六条法条要点:有关用语的含义)
(五十六)存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。(《网络安全法》第七十七条法条要点:涉密网络安全保护)
(五十七)军事网络的安全保护,由中央军事委员会另行规定。(《网络安全法》第七十八条法条要点:军事网络安全保护)
通过以上梳理,我们国家的网络安全治理以网络安全等级保护制度为基本制度。对关键信息基础设施,是在网络安全等级保护制度的基础上,实行重点保护。对网络信息安全,制定相应的制度及规则。
二、涉及国家秘密信息系统的分级保护管理
(一)涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。(《信息安全等级保护管理办法》第二十四条)
(二)涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。(《信息安全等级保护管理办法》第二十五条)
(三)涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。(《信息安全等级保护管理办法》第二十六条)
(四)涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。(《信息安全等级保护管理办法》第二十七条)
(五)涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。(《信息安全等级保护管理办法》第二十八条)
(六)涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。(《信息安全等级保护管理办法》第二十九条)
(七)涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
1、系统设计、实施方案及审查论证意见;
2、系统承建单位资质证明材料;
3、系统建设和工程监理情况报告;
4、系统安全保密检测评估报告;
5、系统安全保密组织机构和管理制度情况;
6、其他有关材料。(《信息安全等级保护管理办法》第三十条)
(八)涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。(《信息安全等级保护管理办法》第三十一条)
(九)涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。(《信息安全等级保护管理办法》第三十二条)
经过上面的梳理,我们发现,涉密信息系统在国家信息安全等级保护的基本上,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护,并接受保密部门的监督与审查。
(未完待续)
END
作者 | 袁健
编辑 | 建纬品牌部
精彩回顾
◎【建纬观点】是否所有实际施工人都不享有建设工程价款优先受偿权?
◎【建纬观点】审计报告不真实、不客观或不符合约定时的结算依据认定
◎【建纬观点】保证合同中法定代表人名章及签名效力的司法认定
◎【建纬观点】同期延误情形下工程索赔的处理
◎【建纬观点】实际施工人以最高院《关于审理建设工程施工合同纠纷案件适用法律问题的解释(一)》第四十三条规定直接起诉发包人(下)
◎【建纬观点】实际施工人以最高院《关于审理建设工程施工合同纠纷案件适用法律问题的解释(一)》第四十三条规定直接起诉发包人(上)
