前言
法律法规,尤其是上位法(相对)是咬文嚼字、晦涩难懂的,常常阅读过后无法得到清晰、明确的理解。
但作为IT从业人员,无论是乙方争取项目机会、实施或设计过程中的合规程度评判,亦或是甲方请求上级领导的财政支持,往往都离不开强而有力的法律法规要求作为支点,这便必须要透彻理解法律法规。本文将介绍常见的信息安全法律法规,同时尽可能的将个人的理解精华部分附着而上,希望能对大家有所有帮助。
网络安全法
2017年6月1日,《中华人民共和国网络安全法》正式实施,标志着网络安全被提升至国家安全战略的新高度,网络安全保护成为必须遵守的法则和义务。
个人理解该法律关键核心有以下几点:
1、为等保赋予法律效益;
2、法律责任,制定惩罚措施标准;
3、规定或鼓励安全服务(活动)的进行;
4、提出关键基础设施相关概念;
1、赋予等保法律效益
| 第二十一条 |
|---|
| 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: |
| (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; |
| (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; |
| (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施; |
| (五)法律、行政法规规定的其他义务。 |
2、法律责任,制定惩罚措施标准
《中华人民共和国网络安全法》第六章“法律责任”五十九至七十五条均为相关惩罚措施描述;
五十九条作为二十一条的惩罚措施,换而言之,该条例可作为系统不做等保时单位遭受到处罚的依据,故常常被提及;
| 五十九条 |
|---|
| 网络运营者不履行本法第 二十一条 、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 |
3、规定或鼓励安全服务(活动)的进行
| 第二十六条 |
|---|
| 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。 |
| 第三十九条 |
|---|
| 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施: |
| (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估; |
| (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力; |
| (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、 网络安全服务机构等之间的网络安全信息共享; |
| (四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。 |
4、提出关键基础设施相关概念
《中华人民共和国网络安全法》第三章“网络运行安全”分为两个小节部分,其中第二小节为“关键信息基础设施的运行安全”;三十一条至三十九条均为关基相关要求,后续《关键信息基础设施安全保护条例》奠定了基础,其中三十一条提及关基行业及领域,为较为重要。
| 第三十一条 |
|---|
| 国家对公共通信和 信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 |
等保
等保全称网络安全等级保护(等保1.0时期为信息系统安全等级保护),其关键核心思想是根据信息系统的重要程度采取分等级的安全保护措施。尽管测评等保2.0由“信息系统安全”更名为更加广泛“网络安全”,不过根据核心思想,测评对象几乎仍然以信息系统为单位。1
1、等保的发展历程
纵观等保的发展历程,最重要的两个核心节点为2017年的网络安全法颁布、2019年的等保标准更正升级。
强制性国家标准的代号为“GB”,推荐性国家标准的代号为“GB/T”。等保作为GB/T系列的国家标准,仅仅作为推荐,而上述介绍到《网络安全法》21条赋予了等保法律效益。2
2019年的等保标准更正升级,在原有的安全通用要求之外,增加安全扩展要求,其中包括云物移工要求。另外修正了技术要求的框架,“一个中心,三重防护3”的安全体系便出至于等保2.0中的技术要求,一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安全通信网络。
2、等保流程
3、详细重要标准
以下标准跟按照上述等保流程排序
公开标准,前接国标库均可直接查询阅读: 国标库查询地址.
GB/T 22240-2019 信息安全技术 网络安全等级保护定级指南
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
分保
涉密信息系统分级保护制度。是指按照涉密信息系统所处理国家秘密信息的不同等级,将系统划分秘密、机密(细分为机密一般、机密加强)、绝密三个等级,分别采取不同强度的技术防护措施和管理模式实施保护。
与等保的核心思想相似,最大不同是分保标准是为涉密信息系统制定、等级保护由公安部门监管,分级保护由国家保密局监管。
常见的涉密信息系统场景:政府单位电子政务内网、军工单位国密网。
所有使用在涉密场景内的设备均需涉密资质,前往国家保密科技测评中心可查:链接: 国家保密科技测评中心查询地址。
具体内容以及保密标准均为涉密内容,未授权的情况下简单上述内容以及等保区别了解即可。
数据安全法
《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,现予公布,自2021年9月1日起施行。
《数安法》共7章51条,分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。
个人理解该法律关键核心有以下几点:
1、定义数据及相关概念;
2、监管办法;
3、数据分级分类管理办法;
4、推进建立数据安全标准体系;
5、法律责任,制定惩罚措施标准;
1、定义数据及相关概念
| 第三条 |
|---|
| 本法所称 数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力 |
2、监管办法
| 第五条 |
|---|
| 中央国家安全领导机构 负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。 |
| 第六条 |
|---|
| 各地区、各部门对本地区、本部门工作 中收集和产生的数据及数据安全负责。 |
| 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 |
| 公安机关、国家安全机关 等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。 |
| 国家网信部门 依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。 |
3、数据分级分类管理办法
国家:制定分级分类制度标准
各部门、各地区:根据国家制定标准对管控内数据进行分级分类
| 第二十一条 |
|---|
| 国家建立数据 分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 |
| 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 |
| 各地区、各部门应当按照 数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。 |
4、推进建立数据安全标准体系
| 第十七条 |
|---|
| 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。 |
5、法律责任,制定惩罚措施标准
《数据安全法》第六章“法律责任”四十四至五十二条均为相关惩罚措施描述;
| 第四十四条 |
|---|
| 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。 |
结论:《数据安全法》明确了数据以及相关名词的定义,奠定了国内“自上而下,分级分类分行业“”的数据安全体系,该法例推进数据安全体系标准、制定了各类相关触及数据安全的各类法律责任。同时,该法律对于数据交易、跨境数据交互标准、方式提出要求,上述未提及,可详见原文。