最近,一则新闻引发了网安圈的广泛讨论。
举目所见,许多安全群都在讨论这个问题。有人了如指掌,有人犯了迷糊。所以,我们有必要将这件事来捋一捋,起码可以让大家了解此事的来龙去脉、意义价值。
事情是这样的,12月8日,国家网信办发布通知称,为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家网信办起草了《网络安全事件报告管理办法(征求意见稿)》(以下称“征求意见稿”)。
此外,“征求意见稿”还并附《网络安全事件分级指南》(以下简称“《分级指南》”)以及《网络安全事件信息报告表》,并向社会公开征求意见。征求意见反馈截止时间为2024年1月7日。
其中,比较引人注目的一项是,在“征求意见稿”里规定,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
据悉,“征求意见稿”在适用范围上,是在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时,应当按照征求意见稿进行报告。
我们不妨将“征求意见稿”梳理梳理,以便业内人士理清思路,至少可以快速构建出宏观的对“征求意见稿”的认知与理解。
对于网络运营者来说,依法依规落实网络安全事件报告义务,还需要准确理解和识别网络安全事件等级。“征求意见稿”在其附件1《分级指南》中明确了确定事件级别的判断标准。
根据《分级指南》,网络安全事件可以分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。
为了帮助网络运营者更为准确地进行判断,对于这四个不同级别的网络安全事件,《分级指南》进一步给出了细致的指引。
在区分网络安全事件从轻到重四种级别的情形上,主要考量的因素集中于两个方面:
一是网络和信息系统是否处于正常运行的状态,以及安全事件造成系统或者业务的瘫痪程度或受影响范围;
二是国家秘密信息、重要敏感信息、重要数据是否完整、保密、可用。
此外,还规定了兜底情形,即其他对国家安全、社会秩序、经济建设和公众利益造成威胁、影响的事件。具体梳理如下图所示:
“征求意见稿”所称网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。
因此,在具体识别等级上,《分级指南》给出了对特别重大、重大和较大网络安全事件的可量化识别条件。
其主要考虑对党政机关门户网站,关键信息基础设施运行,正常工作和生活秩序、重要数据、个人信息等影响的程度,有害信息传播的范围,经济损失规模等方面,同时也设置了用于参照衡量和判断的兜底情形。
具体条件如下图所示:
根据“征求意见稿”的规定,虽然网络安全事件的主要报告义务人是境内建设、运营网络或者通过网络提供服务的网络运营者,但根据其不同的身份职责,他们的网安事件报告路径是不同的,详细分列如下:
对网安事件报告的具体流程也如下图所示:
“征求意见稿”第五条、第六条对运营者发生网络安全事件后所需要提交的报告内容进行了详细规定,而且颗粒度非常细。具体包括:
其中,对于1小时不能判定事发原因、影响或趋势等情况的,1小时内应优先报告第1和2项的内容。
除上表所列的报告内容以外,《网安报告管理办法》(征求意见稿)第七条进一步规定在事件处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。
这里面有一个很有意思的话题,就是为什么是“一小时”?
“征求意见稿”中明确要求,运营者在发生重大安全事件时要“一小时”内进行报告。
除此之外,还要24小时内补报和5个工作日内进行全面分析总结形成报告的要求,强调了在发生重大安全事件时及时上报、及时采取措施、及时整改和分析总结的重要性。
这是因为,在实际情况中,很多企业决策者、安全运营者、数据处理者等相关人员,在遇到问题后,首先考虑的是如何避免承担责任,这可能会耽误信息紧急处理的最佳时机。
运营者迟报、漏报、谎报或者瞒报网络安全事件,即未能及时有效完整报告,容易引发延迟启动应急预案,拖延调查和评估,延误采取技术或管理等的补救措施,进而造成重大危害后果。
因此,管理办法规定“一小时”内上报,并要求相关责任主体按照紧急预案进行处理,处理完毕后总结经验教训进行整改并上报原因,将网络安全事件的处置形成闭环,切实解决已发生的安全事件。
“征求意见稿”第十条、第十一条规定了网络安全事件报告的有关责任。
除依据有关法律、行政法规的规定进行处罚外:
“因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。”
因此,追责包含行政责任和刑事责任。
运营者未按照本办法规定报告网络安全事件的,网信部门按照有关法律、行政法规的规定进行处罚。
因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
有关部门未按照本办法规定报告网络安全事件的,由其上级机关责令改正,对直接负责的主管人员和其他直接责任人员依法给予处分。涉嫌犯罪的,依法追究刑事责任。
不过,出现网络安全事故,往往并不是由人的意志可以扭转,也不是想不发生就不发生。
因此,当出现安全事件,安全运营者并非一定要承担责任,只要按照要求处置,就可以减轻乃至豁免责任。
“征求意见稿”提到,发生网络安全事件时,同时满足以下情形,可视情免除或从轻追究运营者及有关责任人的责任:
1、运营者已采取合理必要的防护措施;
2、按照《管理办法》规定主动报告;
3、按照预案有关程序进行处置;
4、尽最大努力降低事件影响。
此外,由于考虑到运营者可能基于各方面的原因故意隐瞒不报,因此“征求意见稿”建立了网络安全事件的社会监督机制。
这个社会监督机制也包含两个方面:
1、提醒报告。即进行社会监督的乙方可以监督运营者自行报告网络安全事件,如果其拒不主动报告,则可以行使监督权。
“征求意见稿”第八条规定:“为运营者提供服务的组织或个人发现运营者发生较大、重大或特别重大网络安全事件时,应当提醒运营者按照本办法规定报告事件,运营者有意隐瞒或拒不报告的,可向属地网信部门或国家网信部门报告。”
2、 对“较大以上程度的网络安全事件”实施社会普遍监督。
“征求意见稿”第九条规定:“鼓励社会组织和个人向网信部门报告较大、重大或特别重大网络安全事件。”
法律法规的制定,往往慎之又慎,一般都是基于现实因素。
当前时期,为何要制定“征求意见稿”呢?自然是为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全。
因为近些年来,我国发生了多起网络安全事件,包括数据泄露、漏洞和攻击等,年年如此,数不胜数,目不暇接。可见网络安全已经到了影响国计民生的地步。
根据各类媒体渠道的公开报道显示,每年都有大量的网络安全事件发生。这对企业和个人的数据安全造成了日益严重的威胁,也广泛引发了对网络安全的重视和讨论。
也正因如此,“征求意见稿”得以制定。
并且,制定“征求意见稿”也是有相关法律依据和条款渊源,说白了亟需在相关法律的基础上,制定更为详细的实操要求与量化标准,以更好地执法,维护网络安全。
根据《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规制定“征求意见稿”。具体依据条款:
《网络安全法》第25条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《网络安全法》第34条:除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(四)制定网络安全事件应急预案,并定期进行演练。
《数据安全法》第29条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
《个人信息保护法》第51条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(五)制定并组织实施个人信息安全事件应急预案。
《关键信息基础设施安全保护条例》第13条:运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
Gfeng(资深安全工程师)认为,“征求意见稿”的出台,进一步充实和完善我国安全事件报告机制。这个机制的价值和作用相当重要,值得持续关注。
但是,“征求意见稿”中也有问题。比如第四条里规定的“属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。”我觉得这一项执行起来可能会很难。
这里面有一个认知概念,尤其值得注意。就是说,这1小时内,到底怎么界定?是网络安全事件发生之时的一小时内,还是发现网络安全事件后的一小时内。
因为网络安全事件的发生,往往最开始很难去察觉,可能有些安全事件发生了好几个小时,才可能会有所察觉。
业内人士都知道,当前网络安全技术很难做到每件安全事件发生时,都能第一时间去发现它。技术上很难做到“发生即发现”。
就算能够“发生即发现”,立即响应,立即调查安全事件成因并对照“征求意见稿”第五项规定内容,如实写进报告表中,也可能很难实现,起码安全运营人员需要具备技术与法规的双重素养才行。
此外,每家公司都有不同的安全事件汇报流程,走流程可能也需要时间。安全运营者越级直接上报的话,恐怕也不是一件容易的事。
所以我觉得在“1小时”这件事情上,还需要做更多的细化工作,标注更多的细化量化条款才行。
渊者(高级安全运维专家):“征求意见稿”此次面对的对象和适用主体很明显是 “网络运营者”。即“在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者。”
有个值得深思的问题,比如像《数据安全法》、《个人信息保护法》等法律法规都有规定域外适用,那么对于境外适用《个人信息保护法》的个人信息处理者,如果发生个人信息泄漏,是否需要按照“征求意见稿”来管理?该怎么上报,怎么处理?
不过有一项是值得赞扬的,即是运营者应当按照《网络安全事件信息报告表》报告事件。这就相当于有了一个报告模版,这个实用性很强。
以前我们写报告,些数据泄露或攻击勒索,总担心哪些问题会疏漏,哪些问题写得不够完善。现在报告表条条分明,正好解决了这个问题。
朱巍(中国政法大学传播法研究中心副主任)认为,网络安全事件的级别,以前没有明确的划分,相关规定比较模糊。
进行划分是为了按照不同的级别和主体,规定在特定的时间段内,由特定的主体向对应的管理部门进行报告。
根据一定的级别规定,不同主体需在规定时间内向对应管理部门报告情况。
具体的划分根据法律规定不同而有所不同,因此每个平台的主要业务类型也可能不同,所以可能无法简单地用一刀切的方式来梳理清楚。
在之前的网络安全法中,有明确规定在发生特定事件时,相关部门需承担报告义务。在个人信息保护法和数据安全法中也有类似规定。
在没有这些法律之前,通常在事后才知道个人信息遭受损害,例如黑客攻击。
而现在有了这些法律,即使尚未发生实际损害,但只要有潜在风险,根据事件的级别,相关主体就有预警和报告的责任。这一规定实际上涉及紧急处理和预警机制的报告责任。
刘新成(高级信息安全专家)认为,“征求意见稿”对企业如何进一步更好合规具有较大意义。
首先,企业可以根据自身业务实践和既往发生安全事件,启动网络安全事件应急预案管理的经验或教训,根据规定渠道和方式反馈修订意见。
其次,“征求意见稿”也意味着《网络安全法》等相关法律中针对安全事件应急预案和响应报告机制的规范要求细化,企业还需针对进一步落地实施开展准备工作。
比如,企业需要建立和完善网络数据安全事件报告流程和制度,全面修订既有网络安全事件应急响应预案和管理规定,指导日常网络安全培训教育和应急演练,将网络安全事件报告作为内部流程规范和环节,尽量做到统筹配合、协调高效、责任到人。
此外,企业在日常网络安全运行和维护中,要时刻注重网络数据安全合规,在采取相应安全技术和管理措施基础上,开展内部合规风险排查工作,将安全和合规融入业务中,发挥出安全更大价值。
▶中国信息安全:特别重大、重大、较大网络安全事件,怎么分?
▶中国信息安全:重大网络安全事件,须在1小时内上报!
▶中伦数据团队 TMT法律论坛:要点速览 丨网信办发布《网络安全事件报告管理办法(征求意见稿)》
▶朱凯&吕品一 中岛数据法评:首发!解读《网络安全事件报告管理办法(征求意见稿)》
▶王小敏律师团队 云端网数法:十分钟速览解读《网络安全事件报告管理办法(征求意见稿)》
▶网络安全枢密院:重大网安事件需1小时内报告!《网络安全事件报告管理办法(征求意见稿)》解读
▶张德昊 Fieldfisher斐石:斐石文章|讨论《网络安全事件报告管理办法(征求意见稿)》
▶宁宣凤 吴涵 姚敏侣 金杜研究院:《网络安全事件报告管理办法(征求意见稿)》解读和实践挑战
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...