网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度的内在关系
本文介绍网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度的内在关系。在网络安全保护环节,个人信息纳入数据安全保护范畴,因此,这里只介绍上述三个制度的关系。
一、网络安全等级保护制度是基础,关键信息基础设施安全保护制度和数据安全保护制度是重点
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度,该制度是网络安全的基本制度、基本国策、基本方法,是网络与数据安全的基础;《网络安全法》第三十一条和《关键信息基础设施安全保护条例》第六条规定:关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;《数据安全法》第二十七条规定:利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行数据安全保护义务。
《关键信息基础设施安全保护条例》和《数据安全法》将网络安全等级保护制度延伸到关键信息基础设施安全保护领域和数据安全保护领域,并将网络安全等级保护制度做为二者的基础,国家从法律层面确定了三个制度之间的关系。因此,从政策层面、标准层面,对三个制度应依法进行有效衔接。
二、建立科学的网络安全制度体系
网络安全制度体系如图所示。若要建立科学的网络安全制度体系,一是从图中的纵向看,每个制度的建立需要在法律、政策、标准等三个方面协调一致;二是从图中的横向看,网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度,三个制度间需要分别从法律、政策、标准等方面协调一致。
图示:三个制度的内在关系
1. 建立科学的网络安全等级保护制度
我国建立了在法律、政策、标准等方面协调一致,比较完备的科学的网络安全等级保护制度。一是《网络安全法》等法律法规对网络安全等级保护制度作出明确规定;二是公安部依据法律规定,出台了与法律法规有机衔接的一系列网络安全等级保护政策文件,例如《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)和《关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见》(公网安〔2022〕1058号)等;三是在法律、政策的指引下,国家出台了与法律、政策有机衔接的国家标准、行业标准,例如《网络安全等级保护定级指南》《网络安全等级保护基本要求》《网络安全等级保护测评要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护实施指南》等。由此,国家建立了科学的网络安全等级保护制度体系。
2. 建立科学的关键信息基础设施安全保护制度
关键信息基础设施是网络安全保护的重中之重,建立科学的关键信息基础设施安全保护制度是网络安全领域的重要任务之一。从国家层面,一是出台了《关键信息基础设施安全保护条例》;二是出台了有关政策文件,公安部也出台了有关加强关键信息基础设施安全保护的政策文件;三是出台了《关键信息基础设施安全保护要求》国家标准。但是,关键信息基础设施安全保护标准体系尚未建立。因此,需要加快制定与法律、政策相衔接的国家标准、行业标准,形成在法律、政策、标准等方面协调一致的关键信息基础设施安全保护制度。
3. 建立科学的数据安全保护制度
重要数据也是网络安全保护的重中之重,建立科学的数据安全保护制度也是网络安全领域的重要任务之一。国家出台了《数据安全法》,中央出台了有关加强数据安全保护的政策文件,但重要的数据安全国家标准尚未出台。因此,需要建立与法律、政策相衔接的数据安全标准体系,加快建立科学的数据安全保护制度。
三、从法律、政策、标准三个层面有机衔接、协调一致,建立科学的网络安全制度体系
1. 三个制度在法律层面有机衔接、协调一致。法律明确了三个制度的关系,即网络安全等级保护制度是基础,关键信息基础设施安全保护制度、数据安全保护制度在网络安全等级保护制度基础上实施。法律明确了三个制度的关系,便于全社会遵守和实施。
2. 三个制度在政策层面需要有机衔接、协调一致。由于法律法规对三个制度的关系做出了明确规定,政策方面必然要依据法律要求,协调一致、有机衔接。一是国家出台的关键信息基础设施安全保护政策、数据安全保护政策与网络安全等级保护政策进行了有机衔接;二是公安部出台的关键信息基础设施安全保护政策与网络安全等级保护政策进行了有机衔接。出台数据安全保护政策文件,也应与网络安全等级保护政策有机衔接、协调一致。
3. 三个制度在标准层面需要有机衔接、协调一致。由于法律、政策对三个制度的关系做出了明确规定,因此,三个制度在标准方面必然要依据法律、政策要求,协调一致、有机衔接。一是国家出台的《网络安全等级保护定级指南》《网络安全等级保护基本要求》《网络安全等级保护测评要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护实施指南》等系列标准,科学化、体系化强,经过多年检验和实践证明,是科学实用的。二是关键信息基础设施安全保护方面,《关键信息基础设施安全保护条例》出台后,目前只出台了《关键信息基础设施安全保护要求》一个国家标准;《数据安全法》出台后,数据安全保护国家标准尚未出台,这两个制度方面的标准,需要与网络安全等级保护标准有机衔接、协调一致,科学制定,才能将法律规定的网络安全三个重要制度建立好并落到实处。
四、协调落实网络安全等级保护制度与关键信息基础设施安全保护制度
网络安全等级保护制度和关键信息基础设施安全保护制度是《网络安全法》和《关键信息基础设施安全保护条例》确定的基本制度和重要制度,二者关系密切,如何确保这两个制度科学、协调落实至关重要。为此,要深入贯彻落实网络安全等级保护制度,建立良好的网络安全保护生态,建立并实施关键信息基础设施安全保护制度,突出保护重点,大力加强关键信息基础设施安全保卫、保护和保障,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力应对网络战威胁,有效处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障国家网络空间主权、国家安全和社会公共利益。
1.网络安全等级保护制度与关键信息基础设施安全保护制度的法定关系
《网络安全法》规定,国家实行网络安全等级保护制度,关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。法律规定了网络安全等级保护是关键信息基础设施安全保护的基础,开展网络安全等级保护工作是开展关键信息基础设施安全保护工作的前提和重要保障。
2.落实网络安全等级保护制度和关键信息基础设施安全保护制度应坚持协调一致性
国家基本建立了网络安全等级保护制度体系,包括组织领导体系、法律体系、政策体系、标准体系、技术支撑体系、保护体系、人才队伍体系、教育训练体系和保障体系,网络安全等级保护制度得到进一步落实。关键信息基础设施安全保护制度是国家网络安全工作的新制度,建立关键信息基础设施安全保护制度体系,包括法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系,以确保将关键信息基础设施安全保护制度落到实处。在贯彻实施网络安全等级保护制度和关键信息基础设施安全保护制度过程中,从制定出台法律法规、政策,研究制定标准,采取重要措施等方面,两个制度应保持协调一致、有机衔接,以体现法律对两个制度的定位和要求。
3.落实网络安全等级保护制度和关键信息基础设施安全保护制度有不同的侧重点
网络安全等级保护制度是国家网络安全的基本制度、基本国策,具有普适性,全覆盖性质,全社会都要按照网络安全等级保护制度要求开展网络安全保护工作。同时,网络安全等级保护制度侧重于将保护对象分等级进行保护,不同等级的保护对象采取不同的保护措施和保护强度;关键信息基础设施安全保护制度是国家网络安全重点保护制度,对关键信息基础设施安全强调保卫、保护和保障。在保卫方面,体现在针对危害关键信息基础设施的违法犯罪活动,公安机关、国家安全机关等部门大力开展侦查打击,加强对关键信息基础设施的安全保卫;在保护方面,体现在关键信息基础设施在满足网络安全等级保护基本要求、基线要求、合规要求的基础上,采取先进技术和重要措施加强保护、增强保护;在保障方面,体现在发改、财政、教育、编制、科技等部门,在工程项目、经费、人才培养、机构编制、科研等方面对关键信息基础设施提供充足保障。