網(wǎng)絡安全制度的內在關系
責編:gltian |2023-12-22 15:47:19本文介紹網(wǎng)絡安全等級保護制度、關鍵信息基礎設施安全保護制度和數(shù)據(jù)安全保護制度的內在關系。在網(wǎng)絡安全保護環(huán)節(jié),個人信息納入數(shù)據(jù)安全保護范疇,因此,這里只介紹上述三個制度的關系。
一、網(wǎng)絡安全等級保護制度是基礎,關鍵信息基礎設施安全保護制度和數(shù)據(jù)安全保護制度是重點
《網(wǎng)絡安全法》第二十一條規(guī)定,國家實行網(wǎng)絡安全等級保護制度,該制度是網(wǎng)絡安全的基本制度、基本國策、基本方法,是網(wǎng)絡與數(shù)據(jù)安全的基礎;《網(wǎng)絡安全法》第三十一條和《關鍵信息基礎設施安全保護條例》第六條規(guī)定:關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護;《數(shù)據(jù)安全法》第二十七條規(guī)定:利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動,應當在網(wǎng)絡安全等級保護制度的基礎上,履行數(shù)據(jù)安全保護義務。
《關鍵信息基礎設施安全保護條例》和《數(shù)據(jù)安全法》將網(wǎng)絡安全等級保護制度延伸到關鍵信息基礎設施安全保護領域和數(shù)據(jù)安全保護領域,并將網(wǎng)絡安全等級保護制度做為二者的基礎,國家從法律層面確定了三個制度之間的關系。因此,從政策層面、標準層面,對三個制度應依法進行有效銜接。
二、建立科學的網(wǎng)絡安全制度體系
網(wǎng)絡安全制度體系如圖所示。若要建立科學的網(wǎng)絡安全制度體系,一是從圖中的縱向看,每個制度的建立需要在法律、政策、標準等三個方面協(xié)調一致;二是從圖中的橫向看,網(wǎng)絡安全等級保護制度、關鍵信息基礎設施安全保護制度和數(shù)據(jù)安全保護制度,三個制度間需要分別從法律、政策、標準等方面協(xié)調一致。
圖示:三個制度的內在關系
1. 建立科學的網(wǎng)絡安全等級保護制度
我國建立了在法律、政策、標準等方面協(xié)調一致,比較完備的科學的網(wǎng)絡安全等級保護制度。一是《網(wǎng)絡安全法》等法律法規(guī)對網(wǎng)絡安全等級保護制度作出明確規(guī)定;二是公安部依據(jù)法律規(guī)定,出臺了與法律法規(guī)有機銜接的一系列網(wǎng)絡安全等級保護政策文件,例如《貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網(wǎng)安〔2020〕1960號)和《關于落實網(wǎng)絡安全保護重點措施 深入實施網(wǎng)絡安全等級保護制度的指導意見》(公網(wǎng)安〔2022〕1058號)等;三是在法律、政策的指引下,國家出臺了與法律、政策有機銜接的國家標準、行業(yè)標準,例如《網(wǎng)絡安全等級保護定級指南》《網(wǎng)絡安全等級保護基本要求》《網(wǎng)絡安全等級保護測評要求》《網(wǎng)絡安全等級保護安全設計技術要求》《網(wǎng)絡安全等級保護實施指南》等。由此,國家建立了科學的網(wǎng)絡安全等級保護制度體系。
2. 建立科學的關鍵信息基礎設施安全保護制度
關鍵信息基礎設施是網(wǎng)絡安全保護的重中之重,建立科學的關鍵信息基礎設施安全保護制度是網(wǎng)絡安全領域的重要任務之一。從國家層面,一是出臺了《關鍵信息基礎設施安全保護條例》;二是出臺了有關政策文件,公安部也出臺了有關加強關鍵信息基礎設施安全保護的政策文件;三是出臺了《關鍵信息基礎設施安全保護要求》國家標準。但是,關鍵信息基礎設施安全保護標準體系尚未建立。因此,需要加快制定與法律、政策相銜接的國家標準、行業(yè)標準,形成在法律、政策、標準等方面協(xié)調一致的關鍵信息基礎設施安全保護制度。
3. 建立科學的數(shù)據(jù)安全保護制度
重要數(shù)據(jù)也是網(wǎng)絡安全保護的重中之重,建立科學的數(shù)據(jù)安全保護制度也是網(wǎng)絡安全領域的重要任務之一。國家出臺了《數(shù)據(jù)安全法》,中央出臺了有關加強數(shù)據(jù)安全保護的政策文件,但重要的數(shù)據(jù)安全國家標準尚未出臺。因此,需要建立與法律、政策相銜接的數(shù)據(jù)安全標準體系,加快建立科學的數(shù)據(jù)安全保護制度。
三、從法律、政策、標準三個層面有機銜接、協(xié)調一致,建立科學的網(wǎng)絡安全制度體系
1. 三個制度在法律層面有機銜接、協(xié)調一致。法律明確了三個制度的關系,即網(wǎng)絡安全等級保護制度是基礎,關鍵信息基礎設施安全保護制度、數(shù)據(jù)安全保護制度在網(wǎng)絡安全等級保護制度基礎上實施。法律明確了三個制度的關系,便于全社會遵守和實施。
2. 三個制度在政策層面需要有機銜接、協(xié)調一致。由于法律法規(guī)對三個制度的關系做出了明確規(guī)定,政策方面必然要依據(jù)法律要求,協(xié)調一致、有機銜接。一是國家出臺的關鍵信息基礎設施安全保護政策、數(shù)據(jù)安全保護政策與網(wǎng)絡安全等級保護政策進行了有機銜接;二是公安部出臺的關鍵信息基礎設施安全保護政策與網(wǎng)絡安全等級保護政策進行了有機銜接。出臺數(shù)據(jù)安全保護政策文件,也應與網(wǎng)絡安全等級保護政策有機銜接、協(xié)調一致。
3. 三個制度在標準層面需要有機銜接、協(xié)調一致。由于法律、政策對三個制度的關系做出了明確規(guī)定,因此,三個制度在標準方面必然要依據(jù)法律、政策要求,協(xié)調一致、有機銜接。一是國家出臺的《網(wǎng)絡安全等級保護定級指南》《網(wǎng)絡安全等級保護基本要求》《網(wǎng)絡安全等級保護測評要求》《網(wǎng)絡安全等級保護安全設計技術要求》《網(wǎng)絡安全等級保護實施指南》等系列標準,科學化、體系化強,經(jīng)過多年檢驗和實踐證明,是科學實用的。二是關鍵信息基礎設施安全保護方面,《關鍵信息基礎設施安全保護條例》出臺后,目前只出臺了《關鍵信息基礎設施安全保護要求》一個國家標準;《數(shù)據(jù)安全法》出臺后,數(shù)據(jù)安全保護國家標準尚未出臺,這兩個制度方面的標準,需要與網(wǎng)絡安全等級保護標準有機銜接、協(xié)調一致,科學制定,才能將法律規(guī)定的網(wǎng)絡安全三個重要制度建立好并落到實處。
四、協(xié)調落實網(wǎng)絡安全等級保護制度與關鍵信息基礎設施安全保護制度
網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度是《網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例》確定的基本制度和重要制度,二者關系密切,如何確保這兩個制度科學、協(xié)調落實至關重要。為此,要深入貫徹落實網(wǎng)絡安全等級保護制度,建立良好的網(wǎng)絡安全保護生態(tài),建立并實施關鍵信息基礎設施安全保護制度,突出保護重點,大力加強關鍵信息基礎設施安全保衛(wèi)、保護和保障,健全完善國家網(wǎng)絡安全綜合防控體系,有效防范網(wǎng)絡安全威脅,有力應對網(wǎng)絡戰(zhàn)威脅,有效處置網(wǎng)絡安全事件,嚴厲打擊危害網(wǎng)絡安全的違法犯罪活動,切實保障國家網(wǎng)絡空間主權、國家安全和社會公共利益。
1.網(wǎng)絡安全等級保護制度與關鍵信息基礎設施安全保護制度的法定關系
《網(wǎng)絡安全法》規(guī)定,國家實行網(wǎng)絡安全等級保護制度,關鍵信息基礎設施在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護。法律規(guī)定了網(wǎng)絡安全等級保護是關鍵信息基礎設施安全保護的基礎,開展網(wǎng)絡安全等級保護工作是開展關鍵信息基礎設施安全保護工作的前提和重要保障。
2.落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度應堅持協(xié)調一致性
國家基本建立了網(wǎng)絡安全等級保護制度體系,包括組織領導體系、法律體系、政策體系、標準體系、技術支撐體系、保護體系、人才隊伍體系、教育訓練體系和保障體系,網(wǎng)絡安全等級保護制度得到進一步落實。關鍵信息基礎設施安全保護制度是國家網(wǎng)絡安全工作的新制度,建立關鍵信息基礎設施安全保護制度體系,包括法律體系、政策體系、標準體系、保護體系、保衛(wèi)體系和保障體系,以確保將關鍵信息基礎設施安全保護制度落到實處。在貫徹實施網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度過程中,從制定出臺法律法規(guī)、政策,研究制定標準,采取重要措施等方面,兩個制度應保持協(xié)調一致、有機銜接,以體現(xiàn)法律對兩個制度的定位和要求。
3.落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度有不同的側重點
網(wǎng)絡安全等級保護制度是國家網(wǎng)絡安全的基本制度、基本國策,具有普適性,全覆蓋性質,全社會都要按照網(wǎng)絡安全等級保護制度要求開展網(wǎng)絡安全保護工作。同時,網(wǎng)絡安全等級保護制度側重于將保護對象分等級進行保護,不同等級的保護對象采取不同的保護措施和保護強度;關鍵信息基礎設施安全保護制度是國家網(wǎng)絡安全重點保護制度,對關鍵信息基礎設施安全強調保衛(wèi)、保護和保障。在保衛(wèi)方面,體現(xiàn)在針對危害關鍵信息基礎設施的違法犯罪活動,公安機關、國家安全機關等部門大力開展偵查打擊,加強對關鍵信息基礎設施的安全保衛(wèi);在保護方面,體現(xiàn)在關鍵信息基礎設施在滿足網(wǎng)絡安全等級保護基本要求、基線要求、合規(guī)要求的基礎上,采取先進技術和重要措施加強保護、增強保護;在保障方面,體現(xiàn)在發(fā)改、財政、教育、編制、科技等部門,在工程項目、經(jīng)費、人才培養(yǎng)、機構編制、科研等方面對關鍵信息基礎設施提供充足保障。
來源:關鍵信息基礎設施安全保護聯(lián)盟
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧