网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度的内在关系

X0_0X2023-12-22 14:40:57

本文介绍网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度的内在关系。在网络安全保护环节,个人信息纳入数据安全保护范畴,因此,这里只介绍上述三个制度的关系。

一、网络安全等级保护制度是基础,关键信息基础设施安全保护制度和数据安全保护制度是重点

《网络安全法》第二十一条规定,国家实行网络安全等级保护制度,该制度是网络安全的基本制度、基本国策、基本方法,是网络与数据安全的基础;《网络安全法》第三十一条和《关键信息基础设施安全保护条例》第六条规定:关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;《数据安全法》第二十七条规定:利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行数据安全保护义务。

《关键信息基础设施安全保护条例》和《数据安全法》将网络安全等级保护制度延伸到关键信息基础设施安全保护领域和数据安全保护领域,并将网络安全等级保护制度做为二者的基础,国家从法律层面确定了三个制度之间的关系。因此,从政策层面、标准层面,对三个制度应依法进行有效衔接。

二、建立科学的网络安全制度体系

网络安全制度体系如图所示。若要建立科学的网络安全制度体系,一是从图中的纵向看,每个制度的建立需要在法律、政策、标准等三个方面协调一致;二是从图中的横向看,网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度,三个制度间需要分别从法律、政策、标准等方面协调一致。

图示:三个制度的内在关系

1. 建立科学的网络安全等级保护制度

我国建立了在法律、政策、标准等方面协调一致,比较完备的科学的网络安全等级保护制度。一是《网络安全法》等法律法规对网络安全等级保护制度作出明确规定;二是公安部依据法律规定,出台了与法律法规有机衔接的一系列网络安全等级保护政策文件,例如《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)和《关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见》(公网安〔2022〕1058号)等;三是在法律、政策的指引下,国家出台了与法律、政策有机衔接的国家标准、行业标准,例如《网络安全等级保护定级指南》《网络安全等级保护基本要求》《网络安全等级保护测评要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护实施指南》等。由此,国家建立了科学的网络安全等级保护制度体系。

2. 建立科学的关键信息基础设施安全保护制度

关键信息基础设施是网络安全保护的重中之重,建立科学的关键信息基础设施安全保护制度是网络安全领域的重要任务之一。从国家层面,一是出台了《关键信息基础设施安全保护条例》;二是出台了有关政策文件,公安部也出台了有关加强关键信息基础设施安全保护的政策文件;三是出台了《关键信息基础设施安全保护要求》国家标准。但是,关键信息基础设施安全保护标准体系尚未建立。因此,需要加快制定与法律、政策相衔接的国家标准、行业标准,形成在法律、政策、标准等方面协调一致的关键信息基础设施安全保护制度。

3. 建立科学的数据安全保护制度

重要数据也是网络安全保护的重中之重,建立科学的数据安全保护制度也是网络安全领域的重要任务之一。国家出台了《数据安全法》,中央出台了有关加强数据安全保护的政策文件,但重要的数据安全国家标准尚未出台。因此,需要建立与法律、政策相衔接的数据安全标准体系,加快建立科学的数据安全保护制度。

三、从法律、政策、标准三个层面有机衔接、协调一致,建立科学的网络安全制度体系

1. 三个制度在法律层面有机衔接、协调一致。法律明确了三个制度的关系,即网络安全等级保护制度是基础,关键信息基础设施安全保护制度、数据安全保护制度在网络安全等级保护制度基础上实施。法律明确了三个制度的关系,便于全社会遵守和实施。

2. 三个制度在政策层面需要有机衔接、协调一致。由于法律法规对三个制度的关系做出了明确规定,政策方面必然要依据法律要求,协调一致、有机衔接。一是国家出台的关键信息基础设施安全保护政策、数据安全保护政策与网络安全等级保护政策进行了有机衔接;二是公安部出台的关键信息基础设施安全保护政策与网络安全等级保护政策进行了有机衔接。出台数据安全保护政策文件,也应与网络安全等级保护政策有机衔接、协调一致。

3. 三个制度在标准层面需要有机衔接、协调一致。由于法律、政策对三个制度的关系做出了明确规定,因此,三个制度在标准方面必然要依据法律、政策要求,协调一致、有机衔接。一是国家出台的《网络安全等级保护定级指南》《网络安全等级保护基本要求》《网络安全等级保护测评要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护实施指南》等系列标准,科学化、体系化强,经过多年检验和实践证明,是科学实用的。二是关键信息基础设施安全保护方面,《关键信息基础设施安全保护条例》出台后,目前只出台了《关键信息基础设施安全保护要求》一个国家标准;《数据安全法》出台后,数据安全保护国家标准尚未出台,这两个制度方面的标准,需要与网络安全等级保护标准有机衔接、协调一致,科学制定,才能将法律规定的网络安全三个重要制度建立好并落到实处。

四、协调落实网络安全等级保护制度与关键信息基础设施安全保护制度

网络安全等级保护制度和关键信息基础设施安全保护制度是《网络安全法》和《关键信息基础设施安全保护条例》确定的基本制度和重要制度,二者关系密切,如何确保这两个制度科学、协调落实至关重要。为此,要深入贯彻落实网络安全等级保护制度,建立良好的网络安全保护生态,建立并实施关键信息基础设施安全保护制度,突出保护重点,大力加强关键信息基础设施安全保卫、保护和保障,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力应对网络战威胁,有效处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障国家网络空间主权、国家安全和社会公共利益。

1.网络安全等级保护制度与关键信息基础设施安全保护制度的法定关系

《网络安全法》规定,国家实行网络安全等级保护制度,关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。法律规定了网络安全等级保护是关键信息基础设施安全保护的基础,开展网络安全等级保护工作是开展关键信息基础设施安全保护工作的前提和重要保障。

2.落实网络安全等级保护制度和关键信息基础设施安全保护制度应坚持协调一致性

国家基本建立了网络安全等级保护制度体系,包括组织领导体系、法律体系、政策体系、标准体系、技术支撑体系、保护体系、人才队伍体系、教育训练体系和保障体系,网络安全等级保护制度得到进一步落实。关键信息基础设施安全保护制度是国家网络安全工作的新制度,建立关键信息基础设施安全保护制度体系,包括法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系,以确保将关键信息基础设施安全保护制度落到实处。在贯彻实施网络安全等级保护制度和关键信息基础设施安全保护制度过程中,从制定出台法律法规、政策,研究制定标准,采取重要措施等方面,两个制度应保持协调一致、有机衔接,以体现法律对两个制度的定位和要求。

3.落实网络安全等级保护制度和关键信息基础设施安全保护制度有不同的侧重点

网络安全等级保护制度是国家网络安全的基本制度、基本国策,具有普适性,全覆盖性质,全社会都要按照网络安全等级保护制度要求开展网络安全保护工作。同时,网络安全等级保护制度侧重于将保护对象分等级进行保护,不同等级的保护对象采取不同的保护措施和保护强度;关键信息基础设施安全保护制度是国家网络安全重点保护制度,对关键信息基础设施安全强调保卫、保护和保障。在保卫方面,体现在针对危害关键信息基础设施的违法犯罪活动,公安机关、国家安全机关等部门大力开展侦查打击,加强对关键信息基础设施的安全保卫;在保护方面,体现在关键信息基础设施在满足网络安全等级保护基本要求、基线要求、合规要求的基础上,采取先进技术和重要措施加强保护、增强保护;在保障方面,体现在发改、财政、教育、编制、科技等部门,在工程项目、经费、人才培养、机构编制、科研等方面对关键信息基础设施提供充足保障。

网络安全数据安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。此次对滴滴公司的网络安全审查相关行政处罚,与一般的行政处罚不同,具有特殊性。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。
国家互联网信息办公室有关负责人就案件相关问题回答了记者提问。
根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。期间,国家互联网信息办公室进行了调查询问、技术取证,责令滴滴公司提交了相关证据材料,对本案证据材料深入核查分析,并充分听取滴滴公司意见,保障滴滴公司合法权利。据此,本案违法行为主体认定为滴滴公司。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。
滴滴被罚80.26亿!
2022-07-21 16:47:03
根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。期间,国家互联网信息办公室进行了调查询问、技术取证,责令滴滴公司提交了相关证据材料,对本案证据材料深入核查分析,并充分听取滴滴公司意见,保障滴滴公司合法权利。据此,本案违法行为主体认定为滴滴公司。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。
7月,著名网络安全公司Crypsis发布了一份有关数据泄密的报告——《2020事件响应和数据泄露报告》。该报告对Crypsis在2019年进行的超过1000项调查的数据进行分析,范围包括勒索软件、商业电子邮件泄露(BEC)、数据泄露事件等。该报告旨在提供信息,使人们丰富、深入了解现实世界的网络安全风险。本文对该报告主要内容进行解读,并提出几点认识与思考。
今天,国家互联网信息办公室发布对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。国家网信办表示,
7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。根据相关通报,滴滴共存在16项违法事实,“情节严重、性质恶劣”。滴滴被处80.26亿元罚款,可谓“从严从重”。据悉,还有部分问题因涉及国家安全,依法不公开。此次,相关部门依法处罚滴滴,使用法律的手段维护网络安全,维护国家与人民的利益,也是在为企业发展营造良好的法治环境。
7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。根据相关通报,滴滴共存在16项违法事实,“情节严重、性质恶劣”。滴滴被处80.26亿元罚款,可谓“从严从重”。据悉,还有部分问题因涉及国家安全,依法不公开。此次,相关部门依法处罚滴滴,使用法律的手段维护网络安全,维护国家与人民的利益,也是在为企业发展营造良好的法治环境。
X0_0X
暂无描述