等保测评1.0到2.0的演变发展
中国等保测评的演变
作为中国强化网络安全监管制度的重要组成部分,信息安全等级保护测评不是一个新概念,可以追溯到1994年和2007年发布的多项管理规则(通常称为等保测评 1.0规则),根据这些规则,网络运营商需要将其信息系统分为五个级别,并采取适当的网络安全措施。 随着《2016年网络安全法》(“CSL”)于2017年6月生效,对等保测评的审查已经加强。
CSL第21条规定,网络运营商在履行其义务时应遵守等保测评的要求,以确保网络不受干扰、损坏或未经授权的访问,并防止网络数据被泄露、窃取或伪造。 随着CSL的实施,遵守等保测评已成为一项法定义务。
自2021 9月1日起生效的《数据安全法》(“DSL”)进一步强化了这一法律义务,该法第27条规定,网络运营商在利用互联网和其他信息网络进行数据处理活动时,必须根据等保测评履行其数据保护义务。
2019年5月,中国国家监管机构发布了以下国家标准,自2019年12月1日起生效:
《信息安全技术网络安全等级保护基线》(GB/T 22239-2019)(“等保测评 2.0基线”);
《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019); 和
GB/T 28448-2019《信息安全技术网络安全等级保护评估要求》。
这三项新的国家标准对如何实施等保测评制度提出了全面和严格的技术和管理要求。 这些标准与CSL、DSL以及随后的等保测评规则和指南一起构成了所谓的等保测评 2.0,因为与等保测评 1.0相比,它们显著扩展了应用范围并提高了合规性要求。
本文概述了等保测评 2.0基线下的关键点,并讨论了商业组织可考虑的合规性方面。
更广泛的应用
如CSL所述,等保测评适用于所有“网络运营商”,CSL对其进行了广泛定义,包括几乎所有在中国运营的企业。 与等保测评 1.0相比,等保测评 2.0将覆盖范围从传统IT系统扩展到网络基础设施、关键信息系统、网站、大数据中心、云计算、物联网、工业控制系统、移动应用、公共服务平台和其他领域,以应对新兴技术和行业发展带来的网络安全挑战。
需要注意的是,内部和外部IT系统和网络都受等保测评的约束。 从最近的执法行动来看,中国监管机构已将目标对准了公众容易访问的网络(如公司官方网站)或包含大量个人信息(员工数据、客户数据和敏感商业数据)的内部系统。 建议商业实体在规划等保测评合规工作时高度优先考虑这些IT系统和网络。
增强的安全要求
等保测评2.0基线规定,IT网络从以下两个方面按1级到5级的等级进行分级:
信息技术系统/网络在国家安全、经济发展和社会生活中的重要性程度; 和
如果IT系统/网络受损或被篡改,可能对国家安全、公共利益、个人和商业组织的合法权利造成的损害程度。
等保测评 2.0 基线为 1 级到 4 级的 IT 系统和网络提供了通用安全要求和特定扩展安全要求。 对于 IT 系统/网络的每个级别,网络运营商应遵守广泛的通用网络安全要求 物理环境、安全边界、安全通信、基础设施安全管理、安全建设、IT系统和网络的运维。
除上述一般网络安全措施外,网络运营商还需要遵守适用于云计算、移动应用、物联网和工业控制系统特定场景的某些扩展网络安全要求。 以二级云计算为例,网络运营商需要遵守一般网络安全要求,如访问控制、防火、防洪、防雷和防盗、保持适当的温度和湿度以及持续供电。 除此之外,网络运营商还需要遵守扩展的网络安全要求,即云计算基础设施必须位于中国境内的服务器上。
加强对个人信息的保护
与等保测评 1.0相比,等保测评 2.0基线包含了更全面的个人信息保护要求,具体规定网络运营商应制定和实施政策和保护机制,以合法、适当地收集和处理涵盖整个数据生命周期的个人信息。 这显然符合2021 11月1日生效的CSL、DSL和个人信息保护法(“PIPL”)中规定的法律要求。
主动防御网络攻击和数据事件
等保测评2.0基线要求网络运营商将其网络安全策略从等保测评1.0下的被动防御改为主动应对网络攻击。 这意味着网络运营商应采取主动、准确和全面的防御措施,以防止其IT系统和网络受到攻击、损害和破坏。
等保测评2.0基线规定,网络运营商必须实施适当的政策和机制,以便对受影响的个人和相关当局进行网络安全监测和检测、预警和数据事件通知。 DSL和PIPL进一步确认了这些要求。
强化监管
从监管监管角度来看,等保测评2.0基线扩展了监管执行方法,包括远程监控、现场调查、与负责人的合规性查询、数据违规检查、补救行动命令、行政处罚、紧急网络切断以及适用规则允许的其他措施。
分级过程
为了完成等保测评S认证,网络运营商应通过某些必要的程序。 首先,网络运营商必须通过确定其IT系统或相关网络的目标扇区和相关级别来进行自我评估。 如果自评估确定IT系统或网络处于2级或以上,则网络运营商必须咨询合格专家进行进一步验证。 网络运营商应遵循合格专家提出的整改建议,并进一步向当地公安部门提交信息技术系统/网络的最终认证。
执行趋势
等保测评2.0基线引入的详细和全面的要求为公司采取实际措施提供了更多的参考指导,也为监管机构检查合规状况并对不合规行为采取执法行动提供了更多参考指导。
值得注意的是,自2019年12月采用等保测评2.0以来,中国的国家和地方当局开展了更多定期和积极的调查。 当局通过对公司进行现场访问、检查等保测评认证状态、要求公司加快等保测评合规性、对等保测评的合规性进行了多轮监管,以及对违规行为进行处罚。 例如,2022年7月,一家在线驾驶学校服务提供商因未能遵守DSL下的等保测评要求而被广州市政府抓住,并受到经济制裁。
展望未来,随着CSL、DSL和PIPL的实施以及更多等保测评规则和指南的出台,人们普遍预计中国当局将在未来数月和数年内进一步加强等保测评的执行。
实用点
等保测评2.0标准的实施为商业组织提出了许多新的和增强的合规要求。 CSL和DSL中对等保测评制度的确认表明,对于IT系统和网络等级为2级及以上的公司,遵守相关等保测评要求已成为法律义务,不遵守可能导致法律风险。
自2019年12月正式采用等保测评标准以来,中国当局采取了积极的执法行动,通过监测合规性、进行调查和实施处罚。 预计在未来数月和数年内,将采取更有力的执法行动。 中国的数据和网络安全法律制度正在快速变化,从最近由政府主导的调查来看,中国当局在对违反中国数据和网络法律的公司和高级管理层实施大规模制裁时似乎从不害羞。 到目前为止,中国当局施加的经济处罚远远高于欧洲数据监管机构根据《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)施加的处罚。
与等保测评1.0相比,等保测评2.0基线扩展了应用范围,涵盖了大数据、云计算、移动应用和其他新兴技术。 公司现在需要遵守更严格的技术和组织要求,以实施政策和程序,加强对个人数据的保护,并主动防御网络攻击和数据事件。
此外,等保测评标准适用于在中国运营的所有公司,因此国际企业和中国实体应注意其在中国业务运营所使用的IT基础设施和应用程序的等保测评2.0要求,并采取适当的合规措施。 等保测评2.0标准规定了实质性的新要求,商业组织必须制定与其业务目标和合规优先事项相一致的网络和数据议程。
实现等保测评合规性可能是一项耗时的任务,因为整个过程涉及多个程序,其中包括以下程序:
定义相关IT系统和网络边界;
绘制数据清单;
对IT系统和网络进行初步分级;
根据等保测评要求进行差距分析;
起草自我评估报告; 制定补救计划;
采取补救行动; 审查和更新管理政策;
准备数据泄露响应包;
与聘请的专家和认证政府当局的沟通;
和持续监控IT系统和网络,并定期进行等保测评审查、更新和更新 利用经验丰富的法律顾问和技术顾问的专业知识将有助于有效地实现等保测评合规。