前言
筆者認(rèn)為,無(wú)論是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱運(yùn)營(yíng)者0還是其他網(wǎng)絡(luò)運(yùn)營(yíng)者,在網(wǎng)絡(luò)安全保障過程中,人的因素都是至關(guān)重要的。在安全運(yùn)營(yíng)實(shí)踐中,通常認(rèn)為人、工具、流程三者融合并持續(xù)加以改進(jìn),才能做好安全運(yùn)營(yíng)工作。今天,筆者結(jié)合我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)政策、法律法規(guī)、未來(lái)即將發(fā)布的國(guó)家標(biāo)準(zhǔn)規(guī)范的相關(guān)要求,結(jié)合ITIL實(shí)踐,運(yùn)營(yíng)者網(wǎng)絡(luò)安全建設(shè)、運(yùn)行與保障實(shí)踐,來(lái)談一談運(yùn)營(yíng)者如何組建專門安全管理機(jī)構(gòu)來(lái)落實(shí)網(wǎng)絡(luò)安全主體責(zé)任,推動(dòng)各項(xiàng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。
一、專門安全管理機(jī)構(gòu)的定位
根據(jù)我國(guó)相關(guān)法律法規(guī)的規(guī)定,運(yùn)營(yíng)者作為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的主體單位,負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行、管理,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),接受國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門以及行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門(以下稱保護(hù)工作部門)的監(jiān)督管理。
運(yùn)營(yíng)者作為實(shí)體單位,其關(guān)鍵信息基礎(chǔ)保護(hù)工作需指定由內(nèi)設(shè)的部門或小組負(fù)責(zé)落實(shí)。專門安全管理機(jī)構(gòu)便是運(yùn)營(yíng)者內(nèi)部專門負(fù)責(zé)本單位關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作,履行關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)職責(zé)義務(wù)的主要實(shí)體部門。
二、運(yùn)營(yíng)者的職責(zé)義務(wù)
在談運(yùn)營(yíng)者如何組建專門安全管理機(jī)構(gòu)前,讀者需首先明白運(yùn)營(yíng)者開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需要履行的職責(zé)義務(wù)應(yīng)該包括哪些。
運(yùn)營(yíng)者開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作時(shí),除了滿足本單位的實(shí)際需要和內(nèi)在要求,還必須符合我國(guó)以及所屬行業(yè)和領(lǐng)域現(xiàn)階段的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的若干政策、法律法規(guī)以及標(biāo)準(zhǔn)規(guī)范等提出的職責(zé)義務(wù)。
各運(yùn)營(yíng)者的內(nèi)在要求各異,筆者不再列舉,另外,由于關(guān)鍵信息基礎(chǔ)設(shè)施所屬行業(yè)和領(lǐng)域分布較為廣泛,筆者以下僅列出國(guó)家層面對(duì)運(yùn)營(yíng)者提出的職責(zé)義務(wù),如下表所示:
法律法規(guī)/標(biāo)準(zhǔn)規(guī)范 相關(guān)規(guī)定
《網(wǎng)絡(luò)安全法》第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
( 一 ) 制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
( 二 ) 采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
( 三 ) 采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;
( 四 ) 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
( 五 ) 法律、行政法規(guī)規(guī)定的其他義務(wù)。
第二十五條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告。
第二十八條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助。
第三十四條 除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
( 一 ) 設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;
( 二 ) 定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;
( 三 ) 對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份;
( 四 ) 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;
( 五 ) 法律、行政法規(guī)規(guī)定的其他義務(wù)。
第三十五條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。
第三十六條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。
第三十七條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
第四十條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度。
第四十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。
第四十二條 網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
第四十七條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶發(fā)布的信息的管理,發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?,?yīng)當(dāng)立即停止傳輸該信息,采取消除等處置措施,防止信息擴(kuò)散,保存有關(guān)記錄,并向有關(guān)主管部門報(bào)告。第四十九條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度,公布投訴、舉報(bào)方式等信息,及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)。網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)網(wǎng)信部門和有關(guān)部門依法實(shí)施的監(jiān)督檢查,應(yīng)當(dāng)予以配合。
第五十五條 發(fā)生網(wǎng)絡(luò)安全事件,應(yīng)當(dāng)立即啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查和評(píng)估,要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取技術(shù)措施和其他必要措施,消除安全隱患,防止危害擴(kuò)大,并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。第五十六條 省級(jí)以上人民政府有關(guān)部門在履行網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)中,發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn)或者發(fā)生安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ摼W(wǎng)絡(luò)的運(yùn)營(yíng)者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改,消除隱患。
《中華人民共和國(guó)密碼法》第十四條 在有線、無(wú)線通信中傳遞的國(guó)家秘密信息,以及存儲(chǔ)、處理國(guó)家秘密信息的信息系統(tǒng),應(yīng)當(dāng)依照法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定使用核心密碼、普通密碼進(jìn)行加密保護(hù)、安全認(rèn)證。
第二十七條 法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接,避免重復(fù)評(píng)估、測(cè)評(píng)。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定,通過國(guó)家網(wǎng)信部門會(huì)同國(guó)家密碼管理部門等有關(guān)部門組織的國(guó)家安全審查。
《中華人民共和國(guó)數(shù)據(jù)安全法》第二十七條 開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,履行上述數(shù)據(jù)安全保護(hù)義務(wù)。
重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。
第三十條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。
風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動(dòng)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。
第三十一條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。
《中華人民共和國(guó)個(gè)人信息保護(hù)法》第四十條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的,從其規(guī)定。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第四條 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅(jiān)持綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護(hù),強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱運(yùn)營(yíng)者)主體責(zé)任,充分發(fā)揮政府及社會(huì)各方面的作用,共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。
第六條 運(yùn)營(yíng)者依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng),保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行,維護(hù)數(shù)據(jù)的完整性、保密性和可用性。
第十一條 關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變化,可能影響其認(rèn)定結(jié)果的,運(yùn)營(yíng)者應(yīng)當(dāng)及時(shí)將相關(guān)情況報(bào)告保護(hù)工作部門。保護(hù)工作部門自收到報(bào)告之日起3個(gè)月內(nèi)完成重新認(rèn)定,將認(rèn)定結(jié)果通知運(yùn)營(yíng)者,并通報(bào)國(guó)務(wù)院公安部門。
第十二條 安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。
第十三條 運(yùn)營(yíng)者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制,保障人力、財(cái)力、物力投入。運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé),領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作,組織研究解決重大網(wǎng)絡(luò)安全問題。
第十四條 運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu),并對(duì)專門安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。審查時(shí),公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)應(yīng)當(dāng)予以協(xié)助。
第十五條 專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,履行下列職責(zé):
( 一 ) 建立健全網(wǎng)絡(luò)安全管理、評(píng)價(jià)考核制度,擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃;
( 二 ) 組織推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè),開展網(wǎng)絡(luò)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估;
( 三 ) 按照國(guó)家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,制定本單位應(yīng)急預(yù)案,定期開展應(yīng)急演練,處置網(wǎng)絡(luò)安全事件;
( 四 ) 認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位,組織開展網(wǎng)絡(luò)安全工作考核,提出獎(jiǎng)勵(lì)和懲處建議;
( 五 ) 組織網(wǎng)絡(luò)安全教育、培訓(xùn);
( 六 ) 履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任,建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度;
( 七 ) 對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理;
( 八 ) 按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件和重要事項(xiàng)。
第十六條 運(yùn)營(yíng)者應(yīng)當(dāng)保障專門安全管理機(jī)構(gòu)的運(yùn)行經(jīng)費(fèi)、配備相應(yīng)的人員,開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當(dāng)有專門安全管理機(jī)構(gòu)人員參與。
第十七條 運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估,對(duì)發(fā)現(xiàn)的安全問題及時(shí)整改,并按照保護(hù)工作部門要求報(bào)送情況。
第十八條 關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí),運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告。
發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行或者主要功能故障、國(guó)家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個(gè)人信息泄露、造成較大經(jīng)濟(jì)損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時(shí),保護(hù)工作部門應(yīng)當(dāng)在收到報(bào)告后,及時(shí)向國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門報(bào)告。
第十九條 運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的,應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過安全審查。
第二十條 運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議,明確提供者的技術(shù)支持和安全保密義務(wù)與責(zé)任,并對(duì)義務(wù)與責(zé)任履行情況進(jìn)行監(jiān)督。
第二十一條 運(yùn)營(yíng)者發(fā)生合并、分立、解散等情況,應(yīng)當(dāng)及時(shí)報(bào)告保護(hù)工作部門,并按照保護(hù)工作部門的要求對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行處置,確保安全。
《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》(征求意見稿)第六條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)依法開展網(wǎng)絡(luò)定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和自查等工作,采取管理和技術(shù)措施,保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運(yùn)行安全、數(shù)據(jù)安全和信息安全,有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動(dòng)。
第二十條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)依法履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)和信息安全:
( 一 ) 確定網(wǎng)絡(luò)安全等級(jí)保護(hù)工作責(zé)任人,建立網(wǎng)絡(luò)安全等級(jí)保護(hù)工作責(zé)任制,落實(shí)責(zé)任追究制度;
( 二 ) 建立安全管理和技術(shù)保護(hù)制度,建立人員管理、教育培訓(xùn)、系統(tǒng)安全建設(shè)、系統(tǒng)安全運(yùn)維等制度;
( 三 ) 落實(shí)機(jī)房安全管理、設(shè)備和介質(zhì)安全管理、網(wǎng)絡(luò)安全管理等制度,制定操作規(guī)范和工作流程;
( 四 ) 落實(shí)身份識(shí)別、防范惡意代碼感染傳播、防范網(wǎng)絡(luò)入侵攻擊的管理和技術(shù)措施;
( 五 ) 落實(shí)監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件、違法犯罪活動(dòng)的管理和技術(shù)措施,并按照規(guī)定留存六個(gè)月以上可追溯網(wǎng)絡(luò)違法犯罪的相關(guān)網(wǎng)絡(luò)日志;
( 六 ) 落實(shí)數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
( 七 ) 依法收集、使用、處理個(gè)人信息,并落實(shí)個(gè)人信息保護(hù)措施,防止個(gè)人信息泄露、損毀、篡改、竊取、丟失和濫用;
( 八 ) 落實(shí)違法信息發(fā)現(xiàn)、阻斷、消除等措施,落實(shí)防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施;
( 九 ) 落實(shí)聯(lián)網(wǎng)備案和用戶zhenshi身份查驗(yàn)等責(zé)任;
( 十 ) 對(duì)網(wǎng)絡(luò)中發(fā)生的案事件,應(yīng)當(dāng)在二十四小時(shí)內(nèi)向?qū)俚毓矙C(jī)關(guān)報(bào)告;泄露國(guó)家秘密的,應(yīng)當(dāng)同時(shí)向?qū)俚乇C苄姓芾聿块T報(bào)告。
( 十一 ) 法律、行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護(hù)義務(wù)。
第二十一條 第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者除履行本條例第二十條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)外,還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
( 一 ) 確定安全管理機(jī)構(gòu),明確網(wǎng)絡(luò)安全等級(jí)保護(hù)的工作職責(zé),對(duì)網(wǎng)絡(luò)變更、網(wǎng)絡(luò)接入、運(yùn)維和技術(shù)保障單位變更等事項(xiàng)建立逐級(jí)審批制度;
( 二 ) 制定并落實(shí)網(wǎng)絡(luò)安全總體規(guī)劃和整體安全防護(hù)策略,制定安全建設(shè)方案,并經(jīng)專業(yè)技術(shù)人員評(píng)審?fù)ㄟ^;
( 三 ) 對(duì)網(wǎng)絡(luò)安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查,落實(shí)持證上崗制度;
( 四 ) 對(duì)為其提供網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、運(yùn)維和技術(shù)服務(wù)的機(jī)構(gòu)和人員進(jìn)行安全管理;
( 五 )落實(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警措施,建設(shè)網(wǎng)絡(luò)安全防護(hù)管理平臺(tái),對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為、網(wǎng)絡(luò)安全案事件等進(jìn)行動(dòng)態(tài)監(jiān)測(cè)分析,并與同級(jí)公安機(jī)關(guān)對(duì)接;
( 六 ) 落實(shí)重要網(wǎng)絡(luò)設(shè)備、通信鏈路、系統(tǒng)的冗余、備份和恢復(fù)措施;
( 七 ) 建立網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度,定期開展等級(jí)測(cè)評(píng),并將測(cè)評(píng)情況及安全整改措施、整改結(jié)果向公安機(jī)關(guān)和有關(guān)部門報(bào)告;
( 八 ) 法律和行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護(hù)義務(wù)。
第五十條 縣級(jí)以上公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開展下列網(wǎng)絡(luò)安全工作情況進(jìn)行監(jiān)督檢查:
( 一 ) 日常網(wǎng)絡(luò)安全防范工作;
( 二 ) 重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患整改情況;
( 三 ) 重大網(wǎng)絡(luò)安全事件應(yīng)急處置和恢復(fù)工作;
( 四 ) 重大活動(dòng)網(wǎng)絡(luò)安全保護(hù)工作落實(shí)情況;
( 五 ) 其他網(wǎng)絡(luò)安全保護(hù)工作情況。公安機(jī)關(guān)對(duì)第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者每年至少開展一次安全檢查。涉及相關(guān)行業(yè)的可以會(huì)同其行業(yè)主管部門開展安全檢查。必要時(shí),公安機(jī)關(guān)可以委托社會(huì)力量提供技術(shù)支持。公安機(jī)關(guān)依法實(shí)施監(jiān)督檢查,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)協(xié)助、配合,并按照公安機(jī)關(guān)要求如實(shí)提供相關(guān)數(shù)據(jù)信息。
第五十五條 公安機(jī)關(guān)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定處置網(wǎng)絡(luò)安全事件,開展事件調(diào)查,認(rèn)定事件責(zé)任,依法查處危害網(wǎng)絡(luò)安全的違法犯罪活動(dòng)。必要時(shí),可以責(zé)令網(wǎng)絡(luò)運(yùn)營(yíng)者采取阻斷信息傳輸、暫停網(wǎng)絡(luò)運(yùn)行、備份相關(guān)數(shù)據(jù)等緊急措施。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)配合、支持公安機(jī)關(guān)和有關(guān)部門開展事件調(diào)查和處置工作。
第六十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者和技術(shù)支持單位應(yīng)當(dāng)為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供支持和協(xié)助。
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)以等級(jí)保護(hù)三級(jí)為例
8.1.7**安全管理機(jī)構(gòu)
8.1.7.1 崗位設(shè)置
本項(xiàng)要求包括:
a) 應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán);
b) 應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);
c) 應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位,并定義部門及各個(gè)工作崗位的職責(zé)。
8.1.7.2 人員配備
本項(xiàng)要求包括:
a) 應(yīng)配備一定數(shù)鼠的系統(tǒng)管理員、審計(jì)管理員和安全管理員等;
b) 應(yīng)配備專職安全管理員,不可兼任。
8.1.7.3 授權(quán)和審批
本項(xiàng)要求包括:
a) 應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等;
b) 應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過程,對(duì)重要活動(dòng)建立逐級(jí)審批制度;
c) 應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。
8.1.7.4 溝通和合作
本項(xiàng)要求包括:
a) 應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通,定期召開協(xié)調(diào)會(huì)議,共同協(xié)作處理網(wǎng)絡(luò)安全問題;
b) 應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通;
c) 應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。
8.1.7.5 審核和檢查
本項(xiàng)要求包括:
a) 應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況;
b) 應(yīng)定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;
c) 應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。
8.1.8**安全管理人員
8. 1.8. 1 人員錄用
本項(xiàng)要求包括:
a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;
b) 應(yīng)對(duì)被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核;
c) 應(yīng)與被錄用人員簽署保密協(xié)議,與關(guān)鍵崗位人員簽署崗位責(zé)任協(xié)議。
8.1.8.2 人員離崗
本項(xiàng)要求包括:
a) 應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限,取回各種shenfen證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;
b) 應(yīng)banli嚴(yán)格的調(diào)離手續(xù),并承諾調(diào)離后的保密義務(wù)后方可離開。
8. 1.8.3 安全意識(shí)教育和培訓(xùn)
本項(xiàng)要求包括:
a) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn),并告知相關(guān)的安全責(zé)任和懲戒措施;
b) 應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn);
c) 應(yīng)定期對(duì)不同崗位的人員進(jìn)行技能考核。
8. 1.8.4 外部人員訪問管理
本項(xiàng)要求包括:
a) 應(yīng)在外部人員物理訪問受控區(qū)域前先提出書面申請(qǐng),批準(zhǔn)后由專人全程陪同,并登記備案;
b) 應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請(qǐng),批準(zhǔn)后由專人開設(shè)賬戶、分配權(quán)限,并登記備案;
c) 外部人員離場(chǎng)后應(yīng)及時(shí)清除其所有的訪間權(quán)限;
d) 獲得系統(tǒng)訪間授權(quán)的外部人員應(yīng)簽署保密協(xié)議,不得進(jìn)行非授權(quán)操作,不得復(fù)制和泄露任何敏感信息。
《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(送審稿)
6.3安全管理機(jī)構(gòu)
a) 運(yùn)營(yíng)者應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,由組織主要負(fù)責(zé)人擔(dān)任其領(lǐng)導(dǎo)職務(wù),設(shè)置專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu)(以下簡(jiǎn)稱“安全管理機(jī)構(gòu)”),明確機(jī)構(gòu)負(fù)責(zé)人及崗位,建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)機(jī)制。
b) 安全管理機(jī)構(gòu)主要人員應(yīng)參與本組織信息化決策。
c) 安全管理機(jī)構(gòu)相關(guān)人員應(yīng)參加國(guó)家、行業(yè)或業(yè)界網(wǎng)絡(luò)安全相關(guān)活動(dòng),及時(shí)獲取網(wǎng)絡(luò)安全動(dòng)態(tài),并傳達(dá)到相關(guān)部門及人員。
6.4 安全管理人員
運(yùn)營(yíng)者應(yīng):
a) 對(duì)安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查和安全技能考核,符合要求的人員方能上崗,關(guān)鍵崗位包括與關(guān)鍵業(yè)務(wù)系統(tǒng)直接相關(guān)的系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等崗位。關(guān)鍵崗位應(yīng)專人負(fù)責(zé),并配備2人以上共同管理。
b) 建立網(wǎng)絡(luò)安全教育培訓(xùn)制度,定期開展基于崗位的網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核,應(yīng)規(guī)定適當(dāng)?shù)年P(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員和網(wǎng)絡(luò)安全關(guān)鍵崗位從業(yè)人員的年度培訓(xùn)時(shí)長(zhǎng),教育培訓(xùn)內(nèi)容應(yīng)包括網(wǎng)絡(luò)安全相關(guān)制度和規(guī)定、網(wǎng)絡(luò)安全保護(hù)技術(shù)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)等。
c) 在上崗前對(duì)人員進(jìn)行安全背景審查,當(dāng)必要時(shí)或人員的身份、安全背景等發(fā)生變化時(shí)(例如取得非中國(guó)國(guó)籍)應(yīng)根據(jù)情況重新進(jìn)行安全背景審查。應(yīng)在人員發(fā)生內(nèi)部崗位調(diào)動(dòng)時(shí),重新評(píng)估調(diào)動(dòng)人員對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的邏輯和物理訪問權(quán)限,修改訪問權(quán)限并通知相關(guān)人員或角色。應(yīng)在人員離崗時(shí),及時(shí)終止離崗人員的所有訪問權(quán)限,收回與身份鑒別相關(guān)的軟硬件設(shè)備,進(jìn)行離職面談并通知相關(guān)人員或角色。
d) 明確從業(yè)人員安全保密職責(zé)和義務(wù),包括安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期限等。必要時(shí),簽訂安全保密協(xié)議。保密法律、行政法規(guī),軍事網(wǎng)絡(luò)的安全保護(hù)法律法規(guī),本行業(yè)、本單位的相關(guān)規(guī)定,運(yùn)營(yíng)者自身等提出的職責(zé)與業(yè)務(wù)。
注1:《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》(征求意見稿)、《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(送審稿)在正式發(fā)布后,運(yùn)營(yíng)者應(yīng)按照最新的要求梳理相關(guān)職責(zé)義務(wù)。
注2:《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式施行后,運(yùn)營(yíng)者應(yīng)依法履行相關(guān)職責(zé)義務(wù)。
三、專門安全管理機(jī)構(gòu)組建的主要工作要求
運(yùn)營(yíng)者在組建專門安全管理機(jī)構(gòu)時(shí),應(yīng)明確其主要工作要求。其主要工作要求包括:
( 1 ) 運(yùn)營(yíng)者組建專門安全管理機(jī)構(gòu)時(shí),應(yīng)符合國(guó)家以及所在行業(yè)和領(lǐng)域的相關(guān)政策、法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求和滿足自身關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)際需要。
( 2 ) 運(yùn)營(yíng)者在組建專門安全管理機(jī)構(gòu)時(shí),應(yīng)按照“同步規(guī)劃、同步建設(shè)、同步使用”的“三同步”原則,同步規(guī)劃、建設(shè)和運(yùn)轉(zhuǎn)專門安全管理機(jī)構(gòu)。
( 3 ) 運(yùn)營(yíng)者在組建專門安全管理機(jī)構(gòu)時(shí),遵循定方案、定崗、定位、定員、定目標(biāo)、定制度和定工作流程的要求。
( 4 ) 運(yùn)營(yíng)者在組建專門安全管理機(jī)構(gòu)時(shí),應(yīng)標(biāo)識(shí)關(guān)鍵崗位,開展安全背景審查,明確授權(quán)審批事項(xiàng)、程序與信息化決策參與機(jī)制,完成職責(zé)分離,建立各崗位之間,安全管理機(jī)構(gòu)與使用部門、外部國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門、保護(hù)工作部門的溝通合作機(jī)制。同時(shí)通過安全管理制度對(duì)以上所描述的內(nèi)容進(jìn)行指導(dǎo)、規(guī)范和約束。
( 5 ) 運(yùn)營(yíng)者應(yīng)從人員審查、人員篩選、人員調(diào)動(dòng)、人員離職、職責(zé)分離以及安全意識(shí)教育、專業(yè)技能培訓(xùn)等方面設(shè)計(jì)安全從業(yè)人員的管理工作機(jī)制。通過安全管理制度加以明確,為開展安全從業(yè)人員管理相關(guān)工作提供指導(dǎo)、約束和規(guī)范。
( 6 ) 安全管理機(jī)構(gòu)的崗位設(shè)置應(yīng)以滿足常態(tài)化安全保護(hù)工作和覆蓋需常態(tài)化開展的網(wǎng)絡(luò)安全活動(dòng)為原則。
( 7 ) 運(yùn)營(yíng)者應(yīng)盡可能的在開發(fā)建設(shè)階段完成安全管理機(jī)構(gòu)的組建或調(diào)整。若因無(wú)法調(diào)度足夠的人力組建或調(diào)整完成安全管理機(jī)構(gòu),應(yīng)制定崗位建立健全計(jì)劃,逐步組建或調(diào)整完成安全管理機(jī)構(gòu)或邀請(qǐng)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)派人協(xié)助參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作。
( 8 ) 網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的,運(yùn)營(yíng)者應(yīng)與其簽訂保密協(xié)議。
四、專門安全管理機(jī)構(gòu)的設(shè)計(jì)
筆者接下來(lái)結(jié)合我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)政策、法律法規(guī)、未來(lái)即將發(fā)布的國(guó)家標(biāo)準(zhǔn)規(guī)范的相關(guān)要求,結(jié)合ITIL實(shí)踐、運(yùn)營(yíng)者網(wǎng)絡(luò)安全建設(shè)、運(yùn)行與保障實(shí)踐,來(lái)談一談專門安全管理機(jī)構(gòu)的設(shè)計(jì)。專門安全管理機(jī)構(gòu)的組織架構(gòu)如下圖所示:
注:圖中虛線框表示該崗可能有多個(gè)實(shí)體角色組成。
4.1 網(wǎng)絡(luò)安全工作委員會(huì)/領(lǐng)導(dǎo)小組
建立指導(dǎo)和管理關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組,由本單位的第一責(zé)任人擔(dān)任最高領(lǐng)導(dǎo)。運(yùn)營(yíng)者主要負(fù)責(zé)人是本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作第一責(zé)任人,統(tǒng)籌領(lǐng)導(dǎo)和組織關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)各方面的工作,負(fù)責(zé)建立健全網(wǎng)絡(luò)安全責(zé)任制并組織落實(shí),對(duì)本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作全面負(fù)責(zé)。
4.2 首席網(wǎng)絡(luò)安全官
設(shè)置首席網(wǎng)絡(luò)安全官,向網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組負(fù)責(zé),具體負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的各項(xiàng)事務(wù)。首席網(wǎng)絡(luò)安全官可根據(jù)具體實(shí)際需要,設(shè)置助理員若干名,協(xié)助開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作。助理員一般應(yīng)從關(guān)鍵崗位中選拔。不同的運(yùn)營(yíng)者對(duì)首席網(wǎng)絡(luò)安全官可能有不同的稱呼,重點(diǎn)是運(yùn)營(yíng)者應(yīng)設(shè)置類似首席網(wǎng)絡(luò)安全官一類的崗位或角色,來(lái)具體負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的各項(xiàng)事務(wù)。
4.3 網(wǎng)絡(luò)安全管理機(jī)構(gòu)
安全管理機(jī)構(gòu)將運(yùn)營(yíng)者的網(wǎng)絡(luò)安全職責(zé)從信息化職責(zé)中剝離出來(lái),配備專職的網(wǎng)絡(luò)安全人員從事關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)工作。安全管理機(jī)構(gòu)由從事關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)具體不同工作的專職人員組成。根據(jù)從事網(wǎng)絡(luò)安全工作的不同,可分為安全值守崗、分析識(shí)別崗、安全防護(hù)崗、檢測(cè)評(píng)估崗、監(jiān)測(cè)預(yù)警崗、響應(yīng)處置崗、開發(fā)建設(shè)崗、安全運(yùn)維崗、安全管理崗、安全審計(jì)崗以及其他臨時(shí)任務(wù)編組等角色。
4.3.1 安全值守崗
安全值守崗可作為一類實(shí)體崗位,至少由2人組成,實(shí)行A/B角。主要履行以下職責(zé)義務(wù):
(1)負(fù)責(zé)受理外部輸入的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)要求,梳理、分析國(guó)家以及運(yùn)營(yíng)者所在行業(yè)和領(lǐng)域關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)政策、法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等的監(jiān)管以及合規(guī)要求;
(2)負(fù)責(zé)受理內(nèi)部關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)和使用部門的網(wǎng)絡(luò)安全需求輸入、咨詢;關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)值守等;(3)協(xié)助安全管理人員建立健全安全值守類文件。
4.3.2 開發(fā)建設(shè)崗
開發(fā)建設(shè)崗非單一類崗位,可能由運(yùn)營(yíng)者的多個(gè)部門的相關(guān)角色組成,如在產(chǎn)品或服務(wù)采購(gòu)時(shí)涉及采購(gòu)角色。運(yùn)營(yíng)者應(yīng)指定專人負(fù)責(zé)開發(fā)建設(shè)相關(guān)的工作管理,并建立協(xié)調(diào)機(jī)制。主要履行以下職責(zé)義務(wù):
(1)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施(含新建、改建或擴(kuò)建)的等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)、協(xié)調(diào)整改等工作;
(2)安全設(shè)計(jì)、建設(shè)、實(shí)施等方案的編制、變更、評(píng)審等;
(3)網(wǎng)絡(luò)產(chǎn)品或服務(wù)的采購(gòu),包括協(xié)助對(duì)可能影響國(guó)家安全的產(chǎn)品或服務(wù)進(jìn)行審查;
(4)自行與外包軟件開發(fā)管理;
(5)工程實(shí)施、驗(yàn)收與交付管理;
(6)供應(yīng)鏈管理;
(7)協(xié)助安全管理人員制定本單位網(wǎng)絡(luò)安全中長(zhǎng)期發(fā)展規(guī)劃,編制網(wǎng)絡(luò)安全預(yù)算等;(8)協(xié)助安全管理人員建立健全定級(jí)備案,等級(jí)測(cè)評(píng),工程規(guī)劃、實(shí)施、驗(yàn)收、交付,網(wǎng)絡(luò)產(chǎn)品或服務(wù)采購(gòu),自行與外包軟件管理,服務(wù)供應(yīng)商選擇與管理,供應(yīng)鏈管理等方面的安全管理制度、操作規(guī)程等文件。
4.3.3 安全運(yùn)維崗
安全運(yùn)維崗可作為一類實(shí)體崗位,根據(jù)實(shí)際需要,由多人組成,負(fù)責(zé)開展常態(tài)化的安全運(yùn)維工作。主要履行以下職責(zé)義務(wù):
(1)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)涉及的各類設(shè)備的統(tǒng)一運(yùn)行維護(hù)管理;
(2)維護(hù)網(wǎng)絡(luò)安全基線;
(3)維護(hù)基本配置信息,包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),版本及補(bǔ)丁信息等,并實(shí)施變更控制;
(4)備份與恢復(fù)管理,包括定期備份,制定備份恢復(fù)策略和程序等;(5)安全運(yùn)維行為規(guī)范管理;(6)協(xié)助安全管理人員建立健全安全運(yùn)維類的制度、操作規(guī)程等文件。
4.3.4 安全管理崗
安全管理崗可作為一類實(shí)體崗位,根據(jù)實(shí)際需要,由多人組成,負(fù)責(zé)開展常態(tài)化的安全管理工作。主要履行以下職責(zé)義務(wù):
(1)關(guān)鍵崗位管理;
(2)物理環(huán)境管理;
(3)資產(chǎn)管理;
(4)介質(zhì)管理;
(5)密碼管理;
(6)變更管理;
(7)外包運(yùn)維管理;
(8)安全測(cè)評(píng)管理;
(9)培訓(xùn)管理;
(10)協(xié)助首席網(wǎng)絡(luò)安全官制定本單位網(wǎng)絡(luò)安全中長(zhǎng)期發(fā)展規(guī)劃,編制網(wǎng)絡(luò)安全預(yù)算等;
(11)協(xié)助安全審計(jì)員開展安全管理體系內(nèi)審。
(12)協(xié)助首席網(wǎng)絡(luò)安全官統(tǒng)籌資源,建立健全和實(shí)施本單位關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的若干制度、操作規(guī)程,網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)機(jī)制文件等;(13)制定各類安全管理制度、流程、規(guī)范與操作規(guī)程等文件。
4.3.5 安全審計(jì)崗
安全審計(jì)崗可作為一類實(shí)體崗位,根據(jù)實(shí)際需要,由多人組成,負(fù)責(zé)開展常態(tài)化的安全審計(jì)工作。主要履行以下職責(zé)義務(wù):
(1)負(fù)責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)網(wǎng)絡(luò)安全行為活動(dòng)進(jìn)行審計(jì),審計(jì)各項(xiàng)活動(dòng)是否符合運(yùn)營(yíng)者已建立的安全策略和操作規(guī)程,并評(píng)估它們的有效性和準(zhǔn)確性,發(fā)現(xiàn)安全違規(guī),掌握安全狀態(tài),提出改進(jìn)建議;
(2)負(fù)責(zé)安全管理體系內(nèi)審;
(3)協(xié)助安全管理人員制定安全審計(jì)相關(guān)制度文件。
4.3.6 分析識(shí)別崗
分析識(shí)別崗可作為一類實(shí)體崗位,根據(jù)實(shí)際需要,由多人組成,負(fù)責(zé)開展常態(tài)化的分析識(shí)別工作。主要履行以下職責(zé)義務(wù):
(1)負(fù)責(zé)關(guān)鍵業(yè)務(wù)(鏈)、供應(yīng)鏈等的業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別以及漏洞、威脅等的風(fēng)險(xiǎn)識(shí)別等;
(2)關(guān)鍵信息基礎(chǔ)設(shè)施的邊界識(shí)別;
(3)維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施清單;
(4)維護(hù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃;
(5)協(xié)助安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、技術(shù)對(duì)抗、事件處置等環(huán)節(jié)的相關(guān)工作;
(6)協(xié)助安全管理人員建立健全關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別類文件。
4.3.7 安全防護(hù)崗
安全防護(hù)崗可作為一類實(shí)體崗位,根據(jù)實(shí)際需要,由多人組成,負(fù)責(zé)開展常態(tài)化的安全防護(hù)工作。主要履行以下職責(zé)義務(wù):
(1)根據(jù)網(wǎng)絡(luò)安全合規(guī)體系要求,我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的若干政策法律法規(guī)要求,運(yùn)營(yíng)者內(nèi)部網(wǎng)絡(luò)安全基線,本單位的特殊安全防護(hù)需求以及網(wǎng)絡(luò)安全綜合防御體系要求,制定安全防護(hù)策略;
(2)維護(hù)并保證安全防護(hù)措施的有效性;
(3)協(xié)助開展事件處置、應(yīng)急處置以及攻防對(duì)抗等工作;
(4)協(xié)助分析識(shí)別、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警等環(huán)節(jié)的相關(guān)工作;
(5)協(xié)助安全管理人員建立健全網(wǎng)絡(luò)安全保護(hù)的相關(guān)制度、策略、操作規(guī)程等文件。
4.3.8 檢測(cè)評(píng)估崗
檢測(cè)評(píng)估崗可作為一類實(shí)體崗位,根據(jù)實(shí)際需要,由多人組成,負(fù)責(zé)開展常態(tài)化的檢測(cè)評(píng)估工作。主要履行以下職責(zé)義務(wù):
(1)自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估,對(duì)發(fā)現(xiàn)的安全問題及時(shí)整改,對(duì)發(fā)現(xiàn)的問題提出修復(fù)整改建議,協(xié)助相關(guān)部門安全整改,跟蹤處置過程;
(2)建立常規(guī)安全檢測(cè)評(píng)估與全面安全檢測(cè)評(píng)估體系;
(3)負(fù)責(zé)檢測(cè)評(píng)估發(fā)現(xiàn)的重大風(fēng)險(xiǎn)隱患的報(bào)告;
(4)定期進(jìn)行安全檢查,包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等,形成安全檢查報(bào)告并通報(bào);
(5)配合保護(hù)工作部門開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測(cè)工作;
(6)協(xié)助分析識(shí)別、安全防護(hù)、監(jiān)測(cè)預(yù)警、技術(shù)對(duì)抗、事件處置等環(huán)節(jié)的相關(guān)工作;(7)協(xié)助安全管理人員建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估制度和流程。
4.3.9 監(jiān)測(cè)預(yù)警崗
監(jiān)測(cè)預(yù)警崗可作為一類實(shí)體崗位,根據(jù)實(shí)際需要,由多人組成,負(fù)責(zé)開展常態(tài)化的監(jiān)測(cè)預(yù)警工作。主要履行以下職責(zé)義務(wù):
(1)開展本單位常態(tài)化的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)工作,包括接收來(lái)自外部的網(wǎng)絡(luò)安全通報(bào)信息和預(yù)警信息以及向安全管理機(jī)構(gòu)或首席網(wǎng)絡(luò)安全官或直接負(fù)責(zé)主管報(bào)告監(jiān)測(cè)預(yù)警情況;
(2)建立監(jiān)測(cè)預(yù)警與信息通報(bào)工作機(jī)制;
(3)制定監(jiān)測(cè)策略,包括明確監(jiān)測(cè)對(duì)象、流程和內(nèi)容;
(4)明確本組織的預(yù)警信息分級(jí)標(biāo)準(zhǔn),建立預(yù)警信息響應(yīng)處置程序,明確不同級(jí)別預(yù)警信息的報(bào)告、響應(yīng)和處置流程;
(5)協(xié)助分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、技術(shù)對(duì)抗、事件處置等環(huán)節(jié)的相關(guān)工作;
(6)協(xié)助安全管理人員建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與信息通報(bào)類文件。
4.3.10 響應(yīng)處置崗
響應(yīng)處置崗非單一類崗位,可能由運(yùn)營(yíng)者的多個(gè)部門的相關(guān)角色組成,如在事件處置時(shí)涉及業(yè)務(wù)部門的系統(tǒng)管理員相關(guān)角色。運(yùn)營(yíng)者應(yīng)指定專人負(fù)責(zé)響應(yīng)處置相關(guān)的工作管理,并建立協(xié)調(diào)機(jī)制。主要履行以下職責(zé)義務(wù):
(1)開展本單位的網(wǎng)絡(luò)安全事件響應(yīng)處置工作,消除安全隱患,防止危害擴(kuò)大,能夠恢復(fù)關(guān)鍵業(yè)務(wù)和信息系統(tǒng)到已知的狀態(tài);
(2)向可能受影響的內(nèi)部部門或人員,外部關(guān)鍵業(yè)務(wù)鏈涉及的、與事件相關(guān)的其他單位或組織報(bào)告安全事件;
(3)開展必要的網(wǎng)絡(luò)安全溯源、調(diào)查取證分析工作。
(4)組織本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案編制、應(yīng)急演練、攻防對(duì)抗等工作并持續(xù)改進(jìn);(5)協(xié)助分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警等環(huán)節(jié)的相關(guān)工作;(6)協(xié)助安全管理人員建立健全網(wǎng)絡(luò)安全事件管理類制度、應(yīng)急預(yù)案。
4.4 其他臨時(shí)任務(wù)編組
其他臨時(shí)任務(wù)編組區(qū)別于常設(shè)的崗位,是當(dāng)有特定任務(wù)或需求,抽調(diào)資源臨時(shí)組建完成某一類任務(wù)或需求的臨時(shí)性崗位。例如:
—當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施需要停運(yùn)時(shí),運(yùn)營(yíng)者抽調(diào)相關(guān)部門人員,必要時(shí)邀請(qǐng)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、外部專家加入,共同組建退役廢棄工作小組,規(guī)范退役廢棄活動(dòng)的實(shí)施過程,保障整個(gè)退役廢棄活動(dòng)順利進(jìn)行。退役廢棄活動(dòng)結(jié)束后,工作小組解散。
4.5 網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)
運(yùn)營(yíng)者還可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),協(xié)助本單位從事關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)工作。但根據(jù)“誰(shuí)主管,誰(shuí)負(fù)責(zé);誰(shuí)運(yùn)營(yíng),誰(shuí)負(fù)責(zé)”的原則,運(yùn)營(yíng)者應(yīng)履行“安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變”的基本要求。
五、專門安全管理機(jī)構(gòu)的運(yùn)轉(zhuǎn)
以上崗位的設(shè)計(jì)并不是固定不變的,運(yùn)營(yíng)者可根據(jù)本單位實(shí)際情況,對(duì)崗位進(jìn)行重組。
運(yùn)營(yíng)者還可以對(duì)以上所描述的崗位做進(jìn)一步的職能細(xì)分。根據(jù)關(guān)鍵業(yè)務(wù)的重要性、安全保障工作的繁重程度等因素,每個(gè)崗位也可以是工作小組形式。工作小組根據(jù)具體工作的性質(zhì),也可分為常設(shè)小組和臨時(shí)任務(wù)編組。例如:
——為保證關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行,運(yùn)營(yíng)者設(shè)計(jì)運(yùn)行維護(hù)團(tuán)隊(duì)為常設(shè)工作小組開展常態(tài)化運(yùn)行維護(hù)工作。
運(yùn)營(yíng)者根據(jù)實(shí)際情況,還可對(duì)以上崗位應(yīng)履行的職責(zé)與業(yè)務(wù)做進(jìn)一步的明確,使得崗位及其角色的職責(zé)與義務(wù)的設(shè)計(jì)更能滿足和符合本單位的需要。
運(yùn)營(yíng)者依托安全管理機(jī)構(gòu)開展常態(tài)化的安全保護(hù)工作。
運(yùn)營(yíng)者應(yīng)根據(jù)崗位職責(zé)設(shè)計(jì)并明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等,針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過程,對(duì)重要活動(dòng)建立逐級(jí)審批制度;定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。例如:
——監(jiān)測(cè)預(yù)警崗位為工作小組形式的,小組成員需要發(fā)布通報(bào)信息或預(yù)警信息,應(yīng)先向工作小組組長(zhǎng)、首席網(wǎng)絡(luò)安全官報(bào)告,必要時(shí)首席網(wǎng)絡(luò)安全官還應(yīng)向網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組的第一負(fù)責(zé)人報(bào)告,經(jīng)同意后,才可通過相關(guān)程序發(fā)布通報(bào)信息或預(yù)警信息。
運(yùn)營(yíng)者應(yīng)建立安全管理機(jī)構(gòu)人員參與網(wǎng)絡(luò)安全和信息化有關(guān)的決策的事項(xiàng)清單、工作機(jī)制等。運(yùn)營(yíng)者應(yīng)從人員審查、人員篩選、人員調(diào)動(dòng)、人員離職、職責(zé)分離以及安全意識(shí)教育、專業(yè)技能培訓(xùn)等方面設(shè)計(jì)安全從業(yè)人員的管理工作機(jī)制。
運(yùn)營(yíng)者應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通,定期召開協(xié)調(diào)會(huì)議,共同協(xié)作處理網(wǎng)絡(luò)安全問題;加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通;建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。例如:
——運(yùn)營(yíng)者可設(shè)計(jì)聯(lián)席會(huì)議制度,加強(qiáng)各崗位或工作小組之間溝通合作,定期或不定期召開聯(lián)席會(huì)議,共同協(xié)作處理網(wǎng)絡(luò)安全問題。同時(shí),加強(qiáng)與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、網(wǎng)絡(luò)安全研究機(jī)構(gòu)、業(yè)界專家、保護(hù)工作部門以及其他安全組織的合作溝通。
運(yùn)營(yíng)者應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況;定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。
原文來(lái)源:FreeBuf