国务院发布关基保护条例,落实安全责任义务需遵循何种标准?
|小贝案语|
■ 2021年8月17日,“中国政府网”公布了国务院第745号令《关键信息基础设施安全保护条例》(后文简称《条例》)。《条例》于4月27日经国务院常务会议审议通过,将于9月1日起施行。《条例》对关键信息基础设施运营者提出了一系列安全要求,因属法定义务,故受到各方密切关注。那么,运营者应当如何落实这些义务?今后主管部门将依据什么对运营者进行监督检查?此前的网络安全等级保护工作中,监督检查要以GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》为依据,且基于此建立了一整套等级保护标准体系。与此类似,关键信息基础设施安全保护也有安全标准体系设计,其中与GB/T 22239-2019同等地位的是两个基础标准《信息安全技术 关键信息基础设施安全保护要求》和《信息安全技术 关键信息基础设施安全控制措施》。今天,小贝团队对关键信息基础设施安全保护基础标准作解读。解读的重点不在技术细节,而是分析《条例》中安全责任义务如何落实,介绍有关工作进展,阐述标准起草思路。
《条例》规定,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。这是我国网络安全保护的重中之重,是各行各业安全生产的基础,保关键信息基础设施就是保国家安全。
同时,由于各类大型互联网平台不但拥有海量用户,且支撑了经济社会很多基础功能的运转,不排除会有一批大型互联网平台被列为关键信息基础设施。因此,《条例》受到了普遍关注。
显然,这是一项影响广泛的重要制度。鉴于9月1日施行日期已然临近,如何理解并落实《条例》中的法定责任义务要求成为当务之急。
对于法律法规中规定的运营者责任义务,很多人认识上可能存在误区,认为法律法规中规定了几条就是几条,逐条落实就可以了。实则不然。国外有一种文件类型叫做“技术性法规”,它首先是法规,靠法律实施机制去保证落实,但其规范的又是技术问题,所以可能会写得很厚,上百页不足为奇。大家耳熟能详的欧盟《通用数据保护条例》(GDPR)便是一例。这在我们国家是不可想象的,因为我们的法律规定必然是抽象的、原则的,不可能写成技术文档。
但网络安全的技术要求又不可能几句话说清楚,怎么办?
一般而言,法律法规只会列举几条或几款主要要求,但往往很难穷尽,更重要的是规定相应的保护制度,明确主管部门。后续由主管部门建立和实施保护制度,并组织制定标准,在标准中提出具体的安全要求。只有遵循法律法规中确立的保护制度,落实主管部门的标准要求,这才算履行了法律法规的安全责任义务。
这两天,各方都在积极解读《条例》,一些企业甚至宣称已经推出了《条例》合规产品与服务,事实上这是不可能的。
因为存在着关键信息基础设施安全标准体系,而落实这些标准,特别是落实安全保护方面的基础标准、主要标准,才能算是真正意义上落实了《条例》的责任义务要求。因此,在谈及落实《条例》时,绝对不可回避的事项是关键信息基础设施安全标准体系。
《条例》规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。目前,在公安部指导下,在全国信息安全标准化技术委员会的组织下,这个标准体系正在抓紧建立。就安全保护的责任义务而言,其中最基础的两个标准是《信息安全技术关键信息基础设施安全保护要求》(以下简称《保护要求》)和《信息安全技术关键信息基础设施安全控制措施》(以下简称《控制措施》)。
一、关键信息基础设施安全标准体系
《条例》指出,关键信息基础设施运营者应当在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。因此,运营者首先需要遵循网络安全等级保护系列标准,以及其他可适用的标准。除此之外,也还需要针对关键信息基础设施保护制定若干新的专门标准。就其功能而言,这些专门标准可分为重要标准、支撑标准以及特定领域标准(如金融类关键信息基础设施安全保护要求)。
下图列出了关键信息基础设施安全保护的重要标准(不含支撑标准和特定领域标准),分别从分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节展开。其中,以绿色方框表示的标准正在制定之中,以黄色方框表示的标准正在规划。需要指出,该图仅为示意,不代表最终状态,一些标准的名称也可能会发生变化。为方便展示,图中将“关键信息基础设施”简写为“CII”,并略去了标准名中的“信息安全技术”前缀。
上图中,《保护要求》和《控制措施》是安全保护的基础标准,也是运营者在法律意义上不可或缺的责任义务要求。
二、《信息安全技术关键信息基础设施安全保护要求》和《信息安全技术关键信息基础设施安全控制措施》进展
《保护要求》和《控制措施》是什么关系呢?这与信息安全管理体系系列标准中的ISO/IEC 27001和ISO/IEC 27002关系类似。ISO/IEC 27001是总体要求,ISO/IEC 27002则是实现ISO/IEC 27001总体要求的具体措施。这就相当于,某标准提出了要保护数据的保密性,但不指定具体实现方式,另一标准则规定了要使用密码技术来保护数据。
换言之,《保护要求》提出的是原则性要求,侧重于安全保护的基本措施、目标效果;《控制措施》则对《保护要求》作了充分展开,规定了达到目标效果的具体实现方式。
《保护要求》和《控制措施》均于2017年在国家标准化管理委员会立项,由全国信息安全标准化技术委员会归口管理。《保护要求》的牵头起草单位是中国电子技术标准化研究院,《控制措施》的牵头起草单位是中国信息安全研究院。
总体看来,这两个标准的进度慢于预期。近几年,关键信息基础设施安全保护职责经历了一个协调的过程,两个标准进度滞后与此有关。职责明确后,《保护要求》和《控制措施》正在公安部的指导和周密组织下,加速推进。
需要指出,《保护要求》和《控制措施》最初先后经历了草稿、征求意见稿、送审稿阶段,并已于2019年形成报批稿、2020年4月上报国标委。现在一些人手上拿到的“报批稿”即为2019年的报批稿状态。但在关键信息基础设施安全明确由国家网信部门统筹协调、国务院公安部门指导监督后,公安部根据国内外网络安全形势发展和实际工作需要,对《保护要求》和《控制措施》提出了更具体的要求,这也是为了同《条例》保持一致。为保证标准的科学性合理性,公安部网络安全保卫局的领导亲自参加起草组,直接领导标准起草,花费了大量心血。因此,《保护要求》和《控制措施》绝不等同于一般的标准,其反映了关键信息基础设施安全保护指导监督部门的意志。
因此,虽然《保护要求》和《控制措施》已经报批,但此后还是经历了较大改动。为科学严谨计,两个标准退回到最初状态,重新经过评审与严格把关。目前,《保护要求》已经通过了送审稿的审查,按程序将进入报批稿阶段;《控制措施》尚处于草稿阶段(这与《控制措施》需看齐《保护要求》有关)。建议各方不要以2019年的报批稿作为合规依据。
随着《条例》的公布和即将实施,《保护要求》和《控制措施》的制定速度料将加快。仅仅将《条例》的条款作为责任义务来源显然不够。
三、关键信息基础设施安全基础标准的起草思路和主要内容
《保护要求》提出,关键信息基础设施安全保护应遵循以下基本原则:
——在等级保护制度基础上加强保护。关键信息基础设施安全保护应首先符合网络安全等级保护制度相关要求,在满足“合规性”防护的基础上,重点加强关键信息基础设施关键业务的风险识别能力、抗攻击能力、可恢复能力,确保关键信息基础设施业务稳定、持续运行。
——以关键业务为核心的整体防控。关键信息基础设施安全保护应以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全保障体系。
——以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效的防范应对安全风险。
——以信息共享为基础的协同联控。在国家监管部门、保护工作部门建立的联防联控机制下,积极构建与国家监管部门、保护工作部门以及其他相关组织的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对国家级网络攻击威胁的能力。
《保护要求》将关键信息基础设施安全保护分为分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节。“技术对抗”容易引起歧义。这里指的是运营者以对攻击行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施,提升对网络威胁与攻击行为的识别、分析和对抗能力。
在分析识别环节,《保护要求》规定了业务识别、资产识别、风险识别,并要求在关键信息基础设施发生改建、扩建、所有人变更等重大变化有可能影响认定结果时(如网络拓扑改变、业务链改变等),重新开展识别工作,并更新资产清单。
在安全防护环节,《保护要求》规定了贯彻落实网络安全等级保护制度,并要求在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面开展工作。
在检测评估环节,《保护要求》规定了运营者应建立健全关键信息基础设施安全检测评估制度,应包括但不限于检测评估流程、方式方法、周期、人员组织、资金保障等。《保护要求》还明确了检测评估方式和内容。
在监测预警环节,《保护要求》规定了监测预警制度的主要内容,并分别对监测和预警提出了较为具体的要求。
在技术对抗环节,《保护要求》规定了收敛暴露面、识别和分析攻击行为、攻防演练等内容。
在事件处置环节,《保护要求》提出了事件管理制度、应急预案、响应和处置、重新识别等要求。
《控制措施》则提出了对《保护要求》的具体实现方式。
|小贝结语|
■ 建立关键信息基础设施安全保护标准体系,完善相关责任义务要求,这将是一个较长的过程。我们在参与有关工作的过程中,得到了很多方面的指导和支持。本文仅就安全保护方面两部最基础的标准作了说明,但这两个标准对落实《条例》而言却是必不可少和最核心的。由于标准尚未制定完成,若标准内容在后续有重大变化,小贝说安全将及时向业界更新。
总编辑|小贝