小贝案语

■ 《数据安全法》和《网络数据安全管理条例(征求意见稿)》(以下简称《条例》)均提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。不仅如此,《条例》还专设第五章“重要数据安全”。这意味着,我国正在通过立法建立重要数据安全监管制度,重要数据处理者要履行一系列法定义务。因此,什么是“重要数据”,成为我国数据安全工作中急迫需要解决的问题。2020年,全国信息安全标准化技术委员会立项制定国家标准《重要数据识别指南》。2021年9月,标准起草组在小贝说安全公布了最新的标准草案。《条例》在2021年11月14日公开征求意见后,根据全国信息安全标准化技术委员会秘书处的工作安排,标准起草组又对《重要数据识别指南》作了修改。本次修改后,标准内容发生重大变化,起草组在此公开标准草案最新版,并披露了修改思路。需要指出,该版本是经《重要数据识别指南》编制组授权,在小贝说安全首发,仅供各方参考和提出意见、建议。据悉,标准即将在全国信息安全标准化技术委员会官方网站正式征求意见。

近期,起草中的国家标准《重要数据识别指南》发生重大修改。2022年1月7日,全国信息安全标准化技术委员会秘书处组织了对该标准的审议,根据会议意见,编制组已修改形成征求意见稿。本期文章将介绍此次重大修改的基本思路,并经编制组授权首次公布标准当前进展情况。标准正式文本以近期官方网站公布为准。


标准的主要改动体现在,取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。为此,标准编制组进一步调研了全球其他国家在网络安全、数据安全领域制定类似标准的情况,并选择了美国制定的《国家安全系统识别指南》作为参照。该指南已运行13年之久,其可操作性已得到充分证明。目前,《重要数据识别指南》的起草思路与其类似。

一、美国制定“国家安全系统”识别指南的背景

一些人关心,美国对信息系统是如何分类以及如何保护的?各部门分工如何?简言之,美国目前将信息系统分为国家安全系统和非国家安全系统。

美国2002年的《联邦信息安全管理法》对“国家安全系统”作了定义:

(A)指任何由(联邦)机构、(联邦)机构的合同商或其他代表(联邦)机构的组织所使用或运行的信息系统(包括任何电信系统)——

(ⅰ)其功能、运行或使用——

(Ⅰ)涉及到情报活动;

(Ⅱ)涉及到与国家安全相关的密码活动;

(Ⅲ)涉及到军队的指挥和控制;

(Ⅳ)涉及到武器或武器系统的装备;或

(Ⅴ)对直接实现军队或情报使命至为关键的装备;

(ⅱ)含有根据行政令或国会法案制定的准则、出于对国防或外交政策利益而被列为涉密的信息,这些系统要持续得到特定流程的保护。

(B)第(A)(ⅰ)(Ⅴ)中的系统不包括用于日常行政管理与事务处理的系统(包括薪水支付、财务、后勤和人事管理应用)。

美国国家安全系统管理制度的历史沿革如下:

1984年9月17日,美国发布第145号国家安全决定令(NSDD No.145)《关于电信和自动化信息系统安全的国家政策》,该指令在1990年7月5日被第42号国家安全令(NSD No.42)《关于国家安全电信和信息系统安全的国家政策》所取代。NSDD No.145明确了国家安全系统的主管机关和领导,规定由国家电信和信息系统安全委员会(NTISSC)负责国家安全系统的管理。此后,NSD No.42将NTISSC改称为国家安全电信和信息系统安全委员会(NSTISSC)。“911”之后,美国于2001年10月16日发布了第13231号总统令《信息时代的关键基础设施保护》,再次将NSTISSC改称为国家安全系统委员会(CNSS)

CNSS委员会由负责指挥、通信和情报的助理国防部长担任主席,由来自美国政府各部局的有表决权的代表组成。这些部局的主管将负责指派一名主代表和一位或多位替补代表,来履行委员会的职能并参加其会议或活动。CNSS代表一般包括:总统国家安全事务助理、国务卿、财政部长、国防部长、管理和预算办公室主任、司法部长、商务部长、运输部长、能源部长、中央情报局长、参谋长联席会议主席、国家安全局长、总务管理局长、联邦调查局长、联邦应急管理局长、美国陆军参谋长、海军作战部长、美国空军参谋长、美国陆战队总司令、国防情报局长、国家通信系统总监。

美国的国家安全系统不是孤立存在的,往往分布在各个行政部局中,与大量的非国家安全系统交织在一起。2002年美国颁布的《联邦信息安全管理法》对政府中非国家安全系统的信息安全工作做出了部署。但是,在实践中也出现了对这两类系统区分模糊、导致适用法规文件不明确的问题。为此,美国国家标准和技术研究院(NIST)在2003年8月与国防部联合制定并颁布了NIST 800-59《国家安全系统识别指南》,提出了判断国家安全系统的方法。该指南迄今仍在使用。

二、美国《国家安全系统识别指南》

三、《重要数据识别指南》最新进展

《条例》第二十七条规定,各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。这意味着,各地区、各部门将制定自己的重要数据识别细则,故国家标准《重要数据识别指南》必须是原则性的,触角不能深入到各地区、各部门的具体数据类别之中。

美国《国家安全系统识别指南》的核心思路是,不对国家安全系统进行细致分类,而是从其可能产生的影响角度描述其重要特征。且为了便于操作,其采取了回答问题的方式。这一思路对制定我国标准《重要数据识别指南》提供了很好的借鉴。

为此,《重要数据识别指南》借鉴以上思路进行修改,形成了目前的征求意见稿。

小贝结语

■  编制《重要数据识别指南》是一项意义重大但难度也同样巨大的工作。目前的《重要数据识别指南》(征求意见稿)也只是编制组在一个时期内阶段性思考的结果。就标准制修订进程而言,其仍处在初级阶段,不代表政策走向。特别是,本阶段的重要工作是明确了标准的重大修改思路,至于标准中提出的重要数据识别因素,则完全有可能根据各方意见进行调整。小贝说安全编发本文,主要是起到提供更多信息的目的,希望对大家的工作有所帮助。如有任何的意见、建议,也欢迎给我们留言。