《数据安全法》作为我国数据安全领域的基础性法律,与“三保一评”这一网络安全保障体系密切相关,共同构建了我国网络安全和数据保护的法规框架。
1.等保(网络安全等级保护):《网络安全法》第二十一条明确规定了国家实行网络安全等级保护制度,要求网络运营者按照网络安全等级保护制度的要求,采取相应措施保护网络免受干扰、破坏或未经授权的访问。《数据安全法》在此基础上进一步强化了数据安全的等级化保护要求,强调对不同级别、类型的数据应采取与其安全风险相适应的保护措施。这意味着在网络安全等级保护制度下,数据处理者不仅要遵循一般性的网络安全规定,还要特别关注数据的分类、标识、存储、传输、使用、销毁等全生命周期过程的安全管理,确保数据安全防护措施与数据安全等级相匹配。
2.分保(涉密信息系统分级保护):《数据安全法》对于涉及国家秘密的数据有特别的规定,要求严格遵守国家保密法律法规,确保国家秘密数据的安全。分保制度正是针对涉密信息系统的特殊保护机制,其依据包括《国家保密法》及其配套的《涉及国家秘密的信息系统分级保护管理办法》等。在《数据安全法》的背景下,涉密数据的处理必须遵循分保要求,进行严格的分级保护,确保涉密信息系统的建设和使用符合相应的保密标准和规范,防止国家秘密数据的泄露。
3.关保(关键信息基础设施保护):《数据安全法》对关键信息基础设施的数据安全给予了高度重视,规定关键信息基础设施的运营者应落实国家网络安全等级保护制度,并采取更为严格的数据安全保护措施。《关键信息基础设施安全保护条例》是关保的具体执行依据,它明确了关键信息基础设施运营者在数据采集、存储、处理、使用、提供、销毁等环节的安全保护责任。结合《数据安全法》,关键信息基础设施运营者在实施关保时,不仅需确保基础设施本身的网络安全,还必须强化数据全生命周期的安全管理,防范数据泄露、篡改、破坏等风险,保障关键数据资源的安全。
4.密评(商用密码应用安全评估):《数据安全法》鼓励数据处理者采用商用密码进行数据加密等安全保护措施,并要求密码应用应当符合法律、行政法规和国家有关规定。《密码法》的出台为商用密码的使用和管理提供了法律依据,其中的密评制度旨在对使用商用密码保护重要信息系统的安全性进行评估。在《数据安全法》的约束下,数据处理者在设计、建设和运行信息系统时,应合理、合规地运用商用密码技术,确保数据加密有效,并通过密评检查密码应用的合规性和安全性,及时发现并整改潜在风险,提升数据加密防护水平。
等保(网络安全等级保护)
网络安全等级保护的覆盖对象比较广泛,在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作的所有组织和个人,除非个人及家庭自建自用的网络。这涵盖了各类政府机关、企事业单位、社会组织、互联网服务提供商、电信运营商、金融机构、教育机构、医疗机构、能源行业、交通系统等各行各业的网络和信息系统,包括但不限于内部办公系统、业务处理系统、数据中心、云计算平台、物联网系统、工业控制系统、公共服务网站、移动应用程序、社交平台、电子商务平台、大数据分析系统等。不论是涉及国家秘密、工作秘密、商业秘密、个人隐私、重要数据,还是普通业务数据的信息系统,均在等级保护制度的覆盖范围内。
根据信息系统的重要程度、面临的风险和可能造成的危害,将信息系统的安全保护等级划分为五个级别:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。不同级别的信息系统对应不同的安全保护要求和管理措施。
第一级为自主保护级,通常不需要向公安机关进行备案,但应参照相关标准和指南自行实施必要的安全保护措施。
第二级及以上信息系统:应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关公共信息网络安全监察部门(或指定的相应层级公安机关)办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案。非在京的中央单位及其他信息系统,由当地省级公安机关公共信息网络安全监察部门(或指定的地市级公安机关)受理备案。跨省或全国统一联网运行的分支系统,由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。备案时,单位需提交相关的定级报告、备案表、系统描述材料、安全保障措施方案等文件。公安机关在收到备案材料后,会进行审查,并对符合条件的给予备案回执或证书。备案完成后,单位需定期进行自查、整改,并向备案机关报告安全状况,接受公安机关的监督、检查和指导。
分保(涉密信息系统分级保护)
涉密信息系统分级保护主要适用于涉及处理、存储、传输国家秘密信息的信息系统。政府机关、军事机构、科研单位、企事业单位等在履行职能或业务活动中使用的信息系统,如果它们处理、存储、传输国家秘密信息,不论系统规模大小、网络形态如何,均需纳入涉密信息系统分级保护的范畴。涉及国家秘密的内部办公系统、业务处理系统、数据库管理系统、通信网络、远程协作平台、移动终端应用等各类信息系统设施。与涉密工作密切相关的外围设备、安全保密产品(如加密设备、安全隔离设备、保密检查工具等),以及支持涉密信息系统运行的硬件、软件、网络设备、安全防护设施等。涉密信息系统分级保护的目的是确保国家秘密信息在生成、处理、存储、传输、销毁等全生命周期中的安全,防止未经授权的访问、泄露、篡改或破坏,保障国家利益不受损害。
涉密信息系统分级保护工作主要由国家保密行政管理部门监督指导:
国家保密局:在国家层面,国家保密局负责制定涉密信息系统分级保护的政策、标准和规范,对全国涉密信息系统分级保护工作进行宏观指导、协调和监督。
地方保密局:在地方层面,地方各级保密局(如省、市、县保密局)负责本行政区域内涉密信息系统分级保护工作的具体指导、监督和检查。他们对涉密信息系统的建设、运行、维护、使用单位进行保密管理,确保其按照国家保密标准和要求进行系统定级、建设、测评、审批、运行维护等工作。
中央和国家机关保密工作机构:对于中央和国家机关内部及所管辖系统内的涉密信息系统,由本部门、本系统的保密工作机构负责具体的分级保护管理工作,包括指导和监督所属单位实施分级保护措施,协调解决工作中遇到的问题,定期向上级保密行政管理部门报告工作情况。
涉密信息系统分级保护的适用范围是所有处理国家秘密信息的信息系统及相关设施,其工作受国家保密行政管理部门,特别是国家保密局、地方保密局以及中央和国家机关保密工作机构的监督指导。涉密信息系统建设使用单位负有直接的管理和保护责任,并接受上述保密行政管理部门的监管。
关保(关健信息基础设施保护)
关键信息基础设施保护的适用范围包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施和系统。
关键信息基础设施是指支撑社会经济活动正常进行的重要网络设施和信息系统,它们对国家安全、经济运行至关重要。《网络安全法》及其相关配套法规对这些基础设施的保护提出了具体要求,明确了它们的范围和运营者的责任义务。这些要求不仅包括了具体的行业和领域,还涉及到了这些基础设施的功能和影响。一旦这些基础设施出现问题,可能会对国家安全和公共利益造成严重影响,因此它们被特别界定并加以保护。
关键信息基础设施保护工作由国家网信部门统筹协调,并由各行业主管机关根据各自职责负责监督指导。
在《中华人民共和国网络安全法》的框架下,各级国家机关和相关部门按照“谁主管谁负责”的原则,对本行业、本领域的关键信息基础设施安全保护承担着明确的责任。这些责任包括但不限于制定安全规划、建立监测预警制度、组织应急演练、指导应对网络安全事件、定期开展安全检查等。
密评(商用密码应用安全评估)
商用密码应用安全评估适用于采用商用密码技术、产品和服务的各类信息系统及其中涉及的密码设施、密码模块等关键组件的安全性评价。
商用密码应用安全评估适用于基础信息网络、重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。
这些系统或基础设施因其在国计民生和信息安全方面的重要性,需要通过安全评估确保所使用的商用密码技术、产品和服务在合规性、正确性和有效性方面达到国家相关标准。这样的措施有助于维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
商用密码应用安全评估工作由国家密码管理局负责管理,县级以上地方各级密码管理部门负责管理本行政区域内的相关工作。
国家机关和涉及商用密码工作的单位在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。
“三保一评”四项必须全做?
“三保一评”即等保(网络安全等级保护)、分保(涉密信息系统分级保护)、关保(关键信息基础设施保护)和密评(商用密码应用安全评估),通常情况下并不是所有系统都需要全部执行这四项措施。然而,对于特定领域的一些系统,特别是涉及国家安全、社会经济运行、公众利益及重要数据的系统,出于法规要求和安全考虑,必须全面实施“三保一评”。以下举例说明:
政府机关及事业单位:
涉密信息系统:如国防、外交、公安、国安等部门的内部通信系统、情报分析系统、决策支持系统等,这些系统处理国家秘密信息,必须执行分保,确保信息在不同密级下的安全防护。
关键信息基础设施:如电力调度系统、交通指挥系统、供水供气控制系统、应急指挥平台等,它们对国家安全、社会稳定和公共利益至关重要,必须执行关保,防止因网络安全事件导致的大规模服务中断或严重后果。
一般信息系统:如政务服务网站、社保信息系统、公共资源交易平台等,虽然不直接处理涉密信息,但因其涉及大量公民个人信息、敏感政务数据,且影响公共服务的正常提供,需执行等保。
密码应用:对于上述各类系统中使用商用密码进行加密、签名等操作的部分,必须进行密评,确保密码应用的安全有效。
金融机构:
核心业务系统:如银行的存款、贷款、结算系统,证券公司的交易、清算、登记系统等,这些系统直接关乎金融市场的稳定和用户财产安全,属于关键信息基础设施,需执行关保。
内部办公系统:如内部邮件系统、文档管理系统等,可能涉及金融敏感信息,虽非直接面向公众服务,但仍需执行等保。
涉密信息系统:部分金融机构可能涉及国家金融安全相关的敏感信息处理,需要按照分保要求进行保护。
密码应用:金融交易、客户数据加密、身份认证等环节广泛使用商用密码,必须进行密评以符合监管要求。
电信运营商:
通信网络设施:包括核心网、传输网、数据中心等,作为国家关键信息基础设施的一部分,必须执行关保。
计费、客户服务系统:处理大量用户信息和个人通信数据,应执行等保。
涉密信息系统:如有涉及国家安全或企业敏感战略信息的内部系统,需进行分保。
密码应用:在用户数据加密、通信信令保护、身份认证等方面广泛应用密码技术,必须进行密评。
能源、交通、水利等关键行业:
生产调度系统、监控系统:如智能电网调度系统、轨道交通信号控制系统、水坝监控系统等,直接影响国家能源供应、交通运输安全及重大基础设施安全,必须执行关保。
内部管理和业务支持系统:处理行业敏感数据,执行等保。
涉密信息系统:如有涉及行业秘密或国家战略信息的系统,需进行分保。
密码应用:在数据传输、设备认证、远程控制等方面使用密码技术,需进行密评。