평등 보험 조례의 구체적인 규정
"관리방법" 은 공안부, 국가비밀국, 국가비밀번호관리국, 국무원 정보업무국이 공동으로 발표한다. 동등한 보호 1.0 체계의 핵심 조항으로서, 그 법적 효력은 부서 규범성 문서이다. 또한' 관리방법' 제 1 조의 규정에 따라 국무원 행정법규' 컴퓨터 정보시스템 안전보호조례' 에 따라 제정된다.
평등보험조례' 는 아직 의견 요구 단계에 있지만' 행정법규제정절차규정' 제 5 조에 따르면 행정법규의 명칭은 일반적으로' 조례' 라고 불리며 국무원 각 부처와 지방인민정부가 제정한 규정은' 조례' 라고 불릴 수 없다. 따라서 평등보험 조례는 행정법규의 범주에 속해야 한다. 또한' 동등한 안전조례' 제 1 조는' 사이버 안전법' 과' 국가 비밀법' 을 근거로 규정하고 있다.
요약하면,' 관리방법' 은 행정법규에 따라 제정된 부문 규범성 문서이고, 등보조례는 국가법에 따라 제정된 행정법규에 속한다. 자신의 법적 효력이든 법적 근거든, 균등보험 2.0 은 균등보험 1.0 보다 우수해야 합니다.
등급 보호의 적용 범위
적용 범위의 경우,' 평등보호 조례' 는 일반적으로 인터넷 운영자가 중국 내에서 네트워크를 건설, 운영, 유지 관리 및 사용하고 네트워크 보안 수준 보호 및 감독 관리를 하는 데 적용되지만, 개인과 가정 건설의 네트워크는 제외하고 내용은 비교적 간략하다. 2065438+2008 년 6 월 9 일, National Information Security Standardization Technology Commission 은 "정보 보안 기술 네트워크 보안 등급 가이드 2.0" (이하 "등급 가이드 2.0") 을 발표하여 등급 보호의 특정 적용에 대한 지침을 제공했습니다.
동등한 보호 제도 1.0 에서' 관리 방법' 제 10 조는 정보 시스템 운영 사용 단위가 본 방법 및' 정보 시스템 보안 수준 보호 분류 가이드' (이하' 분류 가이드 1.0') 에 따라 결정되어야 한다고 명시했다. 따라서' 등급 가이드 2.0' 의 출범은 기존' 등급 가이드 1.0' 의 규정 덕분이다.
분류 가이드 1.0 은 일반적으로 등급으로 보호되는 개체를 정보 보안 등급 보호의 직접적인 영향을 받는 특정 정보 및 정보 시스템으로 정의하는 반면, 등급 가이드 2.0 은 기본 정보 네트워크, 산업 제어 시스템, 클라우드 컴퓨팅 플랫폼, 사물인터넷, 모바일 인터넷 기술을 사용하는 네트워크, 기타 네트워크, 기타 네트워크 등 네트워크 보안 등급 보호 시스템 등급 지정 개체의 범위를 구체적으로 정의합니다. 또한 계층 대상인 네트워크는 세 가지 기본 특징을 충족해야 합니다. 하나는 특정 보안 책임 주체가 있다는 것입니다. 둘째, 상대적으로 독립적 인 비즈니스 응용 프로그램을 호스팅합니다. 셋째, 여기에는 많은 상호 연관된 자원이 포함되어 있습니다.
분류 가이드 2.0 에 따르면 분류된 객체는 위의 기본 특징을 충족한 후에도 관련 요구 사항을 충족해야 합니다. 통신망, 라디오, 텔레비전 전송망, 인터넷 등 기본 정보 네트워크는 업무 유형, 서비스 지역, 보안 책임 주체 등에 따라 서로 다른 분류 대상으로 분류되어야 하며, 지방 업무 전문망은 전체적으로 등급을 매길 수 있으며, 지역별로 여러 객체로 나눌 수도 있습니다. 산업 제어 시스템의 경우 현장 수집/실행, 현장 제어, 프로세스 제어 등의 요소를 전체적으로 분류해야 하며, 생산 관리 요소는 별도로 등급을 매길 수 있습니다. 클라우드 컴퓨팅 플랫폼의 경우 서비스 업체와 임차인으로 나누어야 하며, 각각 등급 대상입니다. 사물인터넷의 경우, 인식, 네트워크 전송, 처리 응용 프로그램 등 많은 특성 요소가 포함되어 있지만, 이러한 요소는 전체 점수 대상으로 간주되어야 하며, 각 요소에 대해 개별적으로 점수를 매기지 않아야 합니다. 모바일 인터넷 기술을 사용하는 네트워크는 사물인터넷과 유사하므로 모바일 단말기, 모바일 애플리케이션, 무선 네트워크 및 관련 유선 네트워크 비즈니스 시스템을 전체적으로 분류해야 합니다. 큰 데이터의 경우 보안 책임 주체가 동일한 플랫폼 및 애플리케이션을 제외하고 개별적으로 등급을 매겨야 합니다.
네트워크 수준
평등보호조례는' 관리방법' 이 확립한 5 급 안전보호 체계를 그대로 사용하지만 시민, 법인 및 기타 조직의 합법적 권익에 대한 보호를 더욱 강화했다. "관리 방법" 은 정보 시스템이 파괴될 때 시민, 법인 및 기타 조직의 합법적 권익에 특히 심각한 피해를 입힐 수 있는 방법을 본문에 규정하지 않습니다. 분류 가이드 1.0' 은 위의 정보 시스템이 분류 요소 및 보안 등급 관계 테이블에 2 등급으로 나열되어야 한다는 것만 보여 주며' 동등한 안전 규정' 은 그에 따라 수정되었습니다. 분류로 보호되는 대상이 손상되면 시민, 법인 및 기타 조직이 분류됩니다. 구체적인 점수는 아래 표를 참조하십시오.
네트워크 보안 의무
"관리 방법" 제 5 조에 따르면 정보 시스템 운영 사용 단위는 "방법" 및 관련 기준에 따라 정보 보안 수준 보호의 의무와 책임을 이행해야 하지만 해당 의무는 분명하지 않습니다. 평등보호 조례는 네트워크 안전법의 보조법으로 네트워크 안전법의 기존 규정을 따르고 네트워크 운영자의 일반 및 특수 보안 의무, 네트워크 제품 및 서비스 조달, 비상 계획 수립 등에 대해 상세히 규정하고 있다.
보안의무의 경우, 사이버 안전법 제 21 조에 명시적으로 규정된 것 외에 일반 네트워크 운영자는 1 을 해야 한다. 안전 관리 및 기술 보호 시스템 구축, 인력 관리, 교육 훈련, 시스템 안전 건설, 시스템 안전 운영 및 유지 관리 시스템 구축 둘째, 기계실 안전 관리, 장비 및 미디어 안전 관리, 네트워크 보안 관리 시스템 구현, 운영 사양 및 워크플로우 개발 3. 개인 정보를 수집, 사용 및 처리할 때 개인 정보가 유출, 손상, 변조, 도난, 분실 및 남용되는 것을 방지하기 위한 보호 조치를 취합니다. 넷째, 위법정보 발견, 차폐, 제거 등의 조치를 실시하여 위법정보 전파, 위법범죄 증거 소멸 등의 조치를 방지한다. 다섯째, 위법정보 발견, 차폐, 제거 등의 조치를 실시하여 위법정보 대량 전파와 위법범죄 증거 유실을 방지한다. 이러한 의무 외에도 3 급 이상 네트워크 운영자는 네트워크 보안 관리 책임자와 핵심 직무 기술자의 보안 배경 심사 인증 제도를 중점적으로 시행하고 정기적으로 등급 평가를 실시해야 합니다.
네트워크 운영자는 네트워크 제품 및 서비스를 구매하며, 국가 법률 규정 및 관련 표준 요구 사항을 충족하는 네트워크 제품 및 서비스를 구입하고 사용해야 합니다. 레벨 3 이상의 네트워크 운영자는 보안 수준에 적합한 네트워크 제품 및 서비스를 채택해야 하며, 전문 평가 기관에 중요한 부위에 사용되는 네트워크 제품에 대한 특별 테스트를 의뢰해야 합니다. 6 월 17 일 발효된' 네트워크 주요 장비 및 네트워크 보안 전용 제품 카탈로그 (첫 번째 배치)' 와 3 월 18 일 국가인증위원회 등 4 개 부서에서 발표한' 네트워크 주요 장비 및 네트워크 보안 전용 제품 안전 인증 및 보안 테스트를 담당하는 기관 카탈로그 (첫 번째 배치)' 입니다. 따라서 네트워크 운영자는 네트워크 제품 및 서비스를 구매할 때 전문 기관에서 발급한 보안 인증 또는 테스트 증명서를 공급업체에 요청하여 경영의 법적 위험을 줄이는 것이 좋습니다.
비상 계획 수립의 경우, 3 급 이상의 네트워크 운영자는 국가 관련 규정에 따라 네트워크 보안 비상 계획을 수립하고 정기적으로 네트워크 보안 비상 훈련을 실시해야합니다. 네트워크 운영자는 사건 데이터 정보를 적시에 기록하고 보존하는 것 외에도 공안기관 및 업계 주관부에 보고하는 것 외에도 주요 네트워크 보안 사건의 처리 및 복구에 대한 지원과 지원을 제공해야 합니다. 공업과 정보화부의' 인터넷 보안 돌발 비상 계획' 에 따르면 사이버 보안 사건 정보를 보고할 때는 사건 발생 시기, 예비 판단의 범위와 위험, 취해진 응급조치 및 관련 건의도 설명해야 한다.
네트워크 보안 요구 사항
최근 몇 년 동안 인공지능, 대데이터, 사물인터넷, 클라우드 컴퓨팅의 급속한 발전과 함께 보안 추세와 상황이 급속히 변화함에 따라 2008 년 발표된 GB/T22239-2008' 정보 보안 기술 정보 시스템 보안 수준 보호 기본 요구 사항' (이하 등안 1.0) 이 발표되었습니다. 20 15 부터 일반 보안 요구 사항, 클라우드 컴퓨팅 보안 확장 요구 사항, 모바일 인터넷 보안 확장 요구 사항, 인터넷 보안 확장 요구 사항, 산업 제어 보안 확장 요구 사항 등 등급 보호에 대한 보안 요구 사항에 대한 2.0 표준이 점차 제정되었습니다. 2065438+2007 년 8 월 공안부 평가센터는 인터넷신처 및 안전표준위원회의 의견에 따라 등급보호의 다섯 가지 기본 요구 사항을 하나의 표준' 네트워크 보안 등급 보호 기본 요구 사항' 으로 통합했다. 동등한 보호 기준 1.0 은 보호 요구 사항에 더 중점을 두고 있으며 동등한 보호 기준 2.0 은 현재 네트워크 보안 상황의 발전에 더 적합합니다. 사이버 보안법에서 지속적인 모니터링, 위협 정보, 신속한 대응 요구 사항을 결합하여 구체적인 착륙 조치를 제시했다.