未来两年等保2.0、关键基础设施等网络安全政策细则将相继落地

发布时间：2019-04-02　　来源：立鼎产业研究网　点击量： 1478　

——网络安全法配套细则落地是合规建设最大驱动力

从近年网络安全的政策形势来看，在“棱镜门”事件之后，无论是政策发布和实施的力度，还是领导人的重视程度，均有了较大程度的提升。从2013 年至今，行业政策法规频繁出台，包括网络安全和信息化工作座谈会的召开、网络空间战略的提出、《刑法修正案》出台、《网络安全法》的正式发布、以及等保2.0 和关键基础设施保护的相继落地，体现出政府对于我国网络安全建设的重视程度达到了空前的水准。

《网络安全法》作为网络安全行业基础性、全局性的法律框架，其立法及实施对网络安全行业产生重大影响。在网络安全立法之前，国家层面已有一些专题性的信息安全法律法规、规章条例，如《计算机病毒防治管理办法》、《信息安全等级保护管理办法》等，针对我国信息安全行业的发展起到了初步的规范作用。《网络安全法》在监管网络安全、保护个人隐私和敏感信息，以及维护国家网络空间主权/安全方面构建了基础性、全局性的法律框架，对网络安全行业的发展存在重大意义，《网络安全法》立法历时2 年，经过三次审议，两次公开征求意见和修改。其草案自2015 年于第十二届全国人大常委提出，到2016 年11 月7 日第十二届全国人大常务委员会第二十四次会议通过了，并于2017 年6 月1 日正式施行。

网络安全法立法历程

资料来源：公开资料

《网络安全法》共 7 章 79 条，主要包括了六个方面的内容：1、明确了网络安全主权的原则；2、明确了网络产品和服务提供者的安全义务；3、明确了网络运营者的安全义务；4、进一步完善了个人信息保护规则；5、建立了关键信息基础设施安全保护制度；6、确立了关键信息基础设施中数据跨境传输规则。从《网络安全法》实施后的影响来看，对于督促各政府机构及企业的完善网络安全相关工作起到了较好的落地效果，网络运营者明确为核心责任主体，政府机关、事业单位、企业、个人的违法违规行为均可得到有效规制与追责，各地网信办、公安网警部门牵头进行的行政执法活动也日趋频繁化、常态化。

网络安全法的整体框架

资料来源：公开资料

网络安全法配套细则的落地将大力推动行业安全合规体系的建设投入，其中“等保2.0”和“关键基础设施保护”是重中之重。《网络安全法》作为一部基础性的、专门的安全保障法律，很多条文仅做出原则性规定，而没有对问题的解决提供具体指导思路，在实际操作中如何落实、操作各项原则性保护办法和制度，需要相关实施细则的进一步出台。随着《关键信息基础设施安全保护条例》、《网络安全等级保护条例》等配套细则的出台将推动《网络安全法》的有效落地，预计未来 1-2 年，政府、金融、电信、能源、交通、教育、医疗、工业等领域网络安全投入意愿将进一步增强。

关键信息基础设施保护范围

资料来源：公开资料

——等保2.0 落地推动网络安全合规需求建设加速

等级保护制度贯穿着我国信息化及信息安全的发展历程，从1994年开始提出，到2007 年等级保护制度的正式确立，再到2016 年网络安全法和2018 年等级保护条例的发布，我国等保制度经历了三个不同的发展阶段。1）1994 年国务院发布了147 号令，首次提出了国家信息安全工作信息系统是分等级实施保护的。随着我信息化的逐渐起步，2003 年国信办在27 号文强调加紧制定网络安全等级制度的保护工作，再次强调重申了要实施等级保护。2004 年公安部在66 号文给出实施意见，大致拟定了一个具体的工作路线；2）到2007 年，《网络安全管理办法》正式发布，明确下来等级保护所有的相关的工作以及各种参与决策的职责分工等等。从此确立了等级保护这项工作就正式开始实施。随后国家各部委相继出台了相关领域具体实施的意见或者管理的标准；3）到2016 年，《网络安全法》正式发布以及2018年公安部发布《网络安全等级保护条例（征求意见稿）》，网络等级保护逐渐进入2.0 时代。

我国信息安全等级保护制度的发展历程

资料来源：公开资料

相比等保1.0，等级保护2.0 在标准名称、标准内容、控制措施分类结构、安全控制项等多方面内容发生了较大变化。等保2.0 与1.0在合规要求上的诸多差异直接带来政企用户增加对于第三方安全厂商的安全合规投入，包括启明星辰、360、深信服等多家国内安全龙头厂商目前均推出了针对等保2.0 的安全解决方案。等保2.0 一方面是信息安全等级保护制度在面临新的网络安全形势下的一次重大升级，另一方面也是对《网络安全法》21 条，31 条等涉及等保条例的具体落地。其中《网络安全法》第21 条规定是国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求履行相应义务，第31 条规定国家对关键信息基础设施，在网络安全等级保护制度的基础上实行重点保护。

等级保护1.0 和2.0 的主要变化

资料来源：公开资料

等保2.0 和等保1.0 对比，最重大的变化在于扩展了评级对象的范围至云计算平台、工控、物联网、移动设备等，以及增加了评级的工作内容，加大了安全合规的广度与深度。1）在评级对象上：除了有传统的信息系统以外，等保2.0将云计算平台、工控、物联网、移动设备等相关系统都纳入到等级保护的评级范围；2）在工作内容上：传统的等级保护的5 个规定动作主要包括定级、备案、建设整改、等级测评和监督检查，等保2.0 新增了风险评估、安全检测、通报预警，案事件调查等方面的工作内容，等级保护的工作内容明显增多。