網絡安全制度的內在關系
責編:gltian |2023-12-22 15:47:19本文介紹網絡安全等級保護制度、關鍵信息基礎設施安全保護制度和數據安全保護制度的內在關系。在網絡安全保護環節,個人信息納入數據安全保護范疇,因此,這里只介紹上述三個制度的關系。
一、網絡安全等級保護制度是基礎,關鍵信息基礎設施安全保護制度和數據安全保護制度是重點
《網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度,該制度是網絡安全的基本制度、基本國策、基本方法,是網絡與數據安全的基礎;《網絡安全法》第三十一條和《關鍵信息基礎設施安全保護條例》第六條規定:關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護;《數據安全法》第二十七條規定:利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行數據安全保護義務。
《關鍵信息基礎設施安全保護條例》和《數據安全法》將網絡安全等級保護制度延伸到關鍵信息基礎設施安全保護領域和數據安全保護領域,并將網絡安全等級保護制度做為二者的基礎,國家從法律層面確定了三個制度之間的關系。因此,從政策層面、標準層面,對三個制度應依法進行有效銜接。
二、建立科學的網絡安全制度體系
網絡安全制度體系如圖所示。若要建立科學的網絡安全制度體系,一是從圖中的縱向看,每個制度的建立需要在法律、政策、標準等三個方面協調一致;二是從圖中的橫向看,網絡安全等級保護制度、關鍵信息基礎設施安全保護制度和數據安全保護制度,三個制度間需要分別從法律、政策、標準等方面協調一致。
圖示:三個制度的內在關系
1. 建立科學的網絡安全等級保護制度
我國建立了在法律、政策、標準等方面協調一致,比較完備的科學的網絡安全等級保護制度。一是《網絡安全法》等法律法規對網絡安全等級保護制度作出明確規定;二是公安部依據法律規定,出臺了與法律法規有機銜接的一系列網絡安全等級保護政策文件,例如《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網安〔2020〕1960號)和《關于落實網絡安全保護重點措施 深入實施網絡安全等級保護制度的指導意見》(公網安〔2022〕1058號)等;三是在法律、政策的指引下,國家出臺了與法律、政策有機銜接的國家標準、行業標準,例如《網絡安全等級保護定級指南》《網絡安全等級保護基本要求》《網絡安全等級保護測評要求》《網絡安全等級保護安全設計技術要求》《網絡安全等級保護實施指南》等。由此,國家建立了科學的網絡安全等級保護制度體系。
2. 建立科學的關鍵信息基礎設施安全保護制度
關鍵信息基礎設施是網絡安全保護的重中之重,建立科學的關鍵信息基礎設施安全保護制度是網絡安全領域的重要任務之一。從國家層面,一是出臺了《關鍵信息基礎設施安全保護條例》;二是出臺了有關政策文件,公安部也出臺了有關加強關鍵信息基礎設施安全保護的政策文件;三是出臺了《關鍵信息基礎設施安全保護要求》國家標準。但是,關鍵信息基礎設施安全保護標準體系尚未建立。因此,需要加快制定與法律、政策相銜接的國家標準、行業標準,形成在法律、政策、標準等方面協調一致的關鍵信息基礎設施安全保護制度。
3. 建立科學的數據安全保護制度
重要數據也是網絡安全保護的重中之重,建立科學的數據安全保護制度也是網絡安全領域的重要任務之一。國家出臺了《數據安全法》,中央出臺了有關加強數據安全保護的政策文件,但重要的數據安全國家標準尚未出臺。因此,需要建立與法律、政策相銜接的數據安全標準體系,加快建立科學的數據安全保護制度。
三、從法律、政策、標準三個層面有機銜接、協調一致,建立科學的網絡安全制度體系
1. 三個制度在法律層面有機銜接、協調一致。法律明確了三個制度的關系,即網絡安全等級保護制度是基礎,關鍵信息基礎設施安全保護制度、數據安全保護制度在網絡安全等級保護制度基礎上實施。法律明確了三個制度的關系,便于全社會遵守和實施。
2. 三個制度在政策層面需要有機銜接、協調一致。由于法律法規對三個制度的關系做出了明確規定,政策方面必然要依據法律要求,協調一致、有機銜接。一是國家出臺的關鍵信息基礎設施安全保護政策、數據安全保護政策與網絡安全等級保護政策進行了有機銜接;二是公安部出臺的關鍵信息基礎設施安全保護政策與網絡安全等級保護政策進行了有機銜接。出臺數據安全保護政策文件,也應與網絡安全等級保護政策有機銜接、協調一致。
3. 三個制度在標準層面需要有機銜接、協調一致。由于法律、政策對三個制度的關系做出了明確規定,因此,三個制度在標準方面必然要依據法律、政策要求,協調一致、有機銜接。一是國家出臺的《網絡安全等級保護定級指南》《網絡安全等級保護基本要求》《網絡安全等級保護測評要求》《網絡安全等級保護安全設計技術要求》《網絡安全等級保護實施指南》等系列標準,科學化、體系化強,經過多年檢驗和實踐證明,是科學實用的。二是關鍵信息基礎設施安全保護方面,《關鍵信息基礎設施安全保護條例》出臺后,目前只出臺了《關鍵信息基礎設施安全保護要求》一個國家標準;《數據安全法》出臺后,數據安全保護國家標準尚未出臺,這兩個制度方面的標準,需要與網絡安全等級保護標準有機銜接、協調一致,科學制定,才能將法律規定的網絡安全三個重要制度建立好并落到實處。
四、協調落實網絡安全等級保護制度與關鍵信息基礎設施安全保護制度
網絡安全等級保護制度和關鍵信息基礎設施安全保護制度是《網絡安全法》和《關鍵信息基礎設施安全保護條例》確定的基本制度和重要制度,二者關系密切,如何確保這兩個制度科學、協調落實至關重要。為此,要深入貫徹落實網絡安全等級保護制度,建立良好的網絡安全保護生態,建立并實施關鍵信息基礎設施安全保護制度,突出保護重點,大力加強關鍵信息基礎設施安全保衛、保護和保障,健全完善國家網絡安全綜合防控體系,有效防范網絡安全威脅,有力應對網絡戰威脅,有效處置網絡安全事件,嚴厲打擊危害網絡安全的違法犯罪活動,切實保障國家網絡空間主權、國家安全和社會公共利益。
1.網絡安全等級保護制度與關鍵信息基礎設施安全保護制度的法定關系
《網絡安全法》規定,國家實行網絡安全等級保護制度,關鍵信息基礎設施在網絡安全等級保護制度的基礎上,實行重點保護。法律規定了網絡安全等級保護是關鍵信息基礎設施安全保護的基礎,開展網絡安全等級保護工作是開展關鍵信息基礎設施安全保護工作的前提和重要保障。
2.落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度應堅持協調一致性
國家基本建立了網絡安全等級保護制度體系,包括組織領導體系、法律體系、政策體系、標準體系、技術支撐體系、保護體系、人才隊伍體系、教育訓練體系和保障體系,網絡安全等級保護制度得到進一步落實。關鍵信息基礎設施安全保護制度是國家網絡安全工作的新制度,建立關鍵信息基礎設施安全保護制度體系,包括法律體系、政策體系、標準體系、保護體系、保衛體系和保障體系,以確保將關鍵信息基礎設施安全保護制度落到實處。在貫徹實施網絡安全等級保護制度和關鍵信息基礎設施安全保護制度過程中,從制定出臺法律法規、政策,研究制定標準,采取重要措施等方面,兩個制度應保持協調一致、有機銜接,以體現法律對兩個制度的定位和要求。
3.落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度有不同的側重點
網絡安全等級保護制度是國家網絡安全的基本制度、基本國策,具有普適性,全覆蓋性質,全社會都要按照網絡安全等級保護制度要求開展網絡安全保護工作。同時,網絡安全等級保護制度側重于將保護對象分等級進行保護,不同等級的保護對象采取不同的保護措施和保護強度;關鍵信息基礎設施安全保護制度是國家網絡安全重點保護制度,對關鍵信息基礎設施安全強調保衛、保護和保障。在保衛方面,體現在針對危害關鍵信息基礎設施的違法犯罪活動,公安機關、國家安全機關等部門大力開展偵查打擊,加強對關鍵信息基礎設施的安全保衛;在保護方面,體現在關鍵信息基礎設施在滿足網絡安全等級保護基本要求、基線要求、合規要求的基礎上,采取先進技術和重要措施加強保護、增強保護;在保障方面,體現在發改、財政、教育、編制、科技等部門,在工程項目、經費、人才培養、機構編制、科研等方面對關鍵信息基礎設施提供充足保障。
來源:關鍵信息基礎設施安全保護聯盟