《网络安全事件报告管理办法(征求意见稿)》解读和实践挑战
2023-12-13 17:58:5 Author: 谈思实验室(查看原文) 阅读量:6 收藏

前言

《网络安全法》自2017年6月1日实施以来,充分发挥在网络安全领域的基础性、全面性法律制度作用,不仅为网络安全领域的执法活动提供了法律依据,同时也以此为基础持续构建出完备的网络安全法律体系。

《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规出台后,承继并深化了《网络安全法》在网络运行安全与信息安全等相关方面的制度规定。尽管网络领域的技术与应用日新月异,《网络安全法》并未褪去时代意义,其对部分确有必要,但尚缺乏实践经验的制度安排作出原则性规定,为需要制定的配套法规预留接口。

其中作为网络安全程序性合规义务的重要依据参照,12月8日,国家互联网信息办公室向社会公开征求对《网络安全事件报告管理办法(征求意见稿)》(以下简称《管理办法》)的意见。从规范总体层面,《管理办法》旨在对网络安全事件的报告程序作出明确、具体的规定。从规范内容上看,《管理办法》主要涉及报告主体、监管部门、触发机制、报告时限、报告内容、法律责任和尽职免责等各具体方面。

但总的来说,《管理办法》不是对于网络运营者施加的额外义务,而是通过强化网络安全事件报告机制,进一步确保网络安全事件能够在企业、行业和国家各个层面得到快速有效的解决。网络安全事件报告有喜有忧,但最终的结果是促成国家整体网络的平稳、安全。

01

《管理办法》的法律性质与上位法依据

《管理办法》的规范效力层级属于国家互联网信息办公室拟出台的部门规章,由国家互联网信息办公室网络安全协调局具体负责。

《管理办法》中规定的报告义务和程序与《网络安全法》等法律法规中相关规定呼应。比如《网络安全法》第二十五条规定了网络运营者在发生危害网络安全的事件时,需要按照规定向有关主管部门报告;《数据安全法》第二十九条规定,发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告;《个人信息保护法》第五十七条规定了数据泄露通知制度;《关键信息基础设施安全保护条例》关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当向保护工作部门、公安机关报告。

02

报告主体——广泛覆盖网络安全责任主体

根据《管理办法》第二条的规定,报告主体为“在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者”

该“网络运营者”概念与《网络安全法》中网络运营者的规定(“网络的所有者、管理者和网络服务提供者”)略有差异,但考虑到《网络安全法》第二条规定的适用范围囊括“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”,我们理解其两者规制主体内涵基本一致,《管理办法》的报告主体也应比照《网络安全法》,作宽泛理解。

03

监管部门——沿用统分协作的工作机制

根据《管理办法》相关条款规定,网络安全事件报告工作监管部门包括网信部门,中央和国家机关各部门的网信工作机构,保护工作部门(即《关键信息基础设施安全保护条例》第八条规定的“重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门”),公安机关和行业主管监管部门。

《管理办法》第四条规定了分工机制。总体上,由网信部门负责统筹协调网络安全事件报告工作和相关监督管理工作,包括国家和地方层面。具体还要分为以下情形:

第一,中央层面。网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后还需要向国家网信部门报告。

第二,关键信息基础运营者。网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后还需要向国家网信部门、国务院公安部门报告。

第三,其他运营者。其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后还需要逐级向上级网信部门报告。

第四,竞合情形。有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告;发现涉嫌犯罪的,运营者应当同时向公安机关报告。

值得注意的是,如果网络和系统既属于中央和国家机关各部门及其管理的企事业单位,又属于关键信息基础设施的,可能会产生因身份属性重叠而发生义务竞合问题,期待后续能够进一步予以明确。但按照目前的规定来看,我们倾向于认为同时向本部门网信工作机构和保护工作部门、公安机关报告可能并不矛盾。

首先,我们理解,《管理办法》第四条第二款所规定的向本部门网信工作机构报告的程序,属于对中央和国家机关各部门及其管理的企事业单位作出的内部报告规范要求,具有内部管理属性。而如果同时是关键信息基础设施运营者,其按照《管理办法》第四条第三款要求向保护工作部门、公安机关报告时,属于关键信息基础设施网络安全特殊义务的一部分。

其次,考虑到《管理办法》并未针对不同的报告义务主体规定不同的信息报告表模板,因此初步理解来看同时报告不会在实质上增加不合理的报告成本。

04

触发机制——网络安全事件的分类分级

根据《管理办法》第二条规定,网络运营者在发生危害网络安全的事件时,应当按照相关规定进行报告。第十二条确定了网络安全事件的定义,是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。该定义与2017年中央网信办印发的《国家网络安全事件应急预案》(中网办发文〔2017〕4号)保持一致,但没有在条款中列举相应的事件类型,而具体事件类型在一并公布并征求意见的《管理办法》附件2的《网络安全事件信息报告表》有所体现,具体来说包括有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件、其他事件和尚无法判定的事件。

《国家网络安全事件应急预案》明确网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。相较《管理办法》,《国家网络安全事件应急预案》将“信息内容安全事件”作为单独的类型列出。而参照《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023)对网络安全事件的界定,还考虑了“网络遭受攻击、网络存在漏洞隐患”的因素,对此《管理办法》在定义中并未体现;国家标准的定义考虑的是“不可抗力”因素,而《管理办法》确定的是“自然灾害”因素。我们初步理解,从网络安全事件报告义务的实质角度来看,前述对比可能仅在表述上差异,但可能并不会对监管部门执法实践产生偏差。

对于网络运营者来说,依法依规落实网络安全事件报告义务,还需要准确理解和识别网络安全事件等级。《管理办法》在其附件1《网络安全事件分级指南》(以下简称“《分级指南》”)中明确了确定事件级别的判断标准。根据《分级指南》,网络安全事件可以分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。为了帮助网络运营者更为准确地进行判断,对于这四个不同级别的网络安全事件,《分级指南》进一步给出了细致的指引。

在区分网络安全事件从轻到重四种级别的情形上,主要考量的因素集中于两个方面,一是网络和信息系统是否处于正常运行的状态,以及安全事件造成系统或者业务的瘫痪程度或受影响范围;二是国家秘密信息、重要敏感信息、重要数据是否完整、保密、可用,同时还规定了兜底情形,即其他对国家安全、社会秩序、经济建设和公众利益造成威胁、影响的事件。

识别上,《分级指南》给出了对特别重大、重大和较大网络安全事件的可量化识别条件,主要考虑对党政机关门户网站,关键信息基础设施运行,正常工作和生活秩序、重要数据、个人信息等影响的程度,有害信息传播的范围,经济损失规模等方面,同时也设置了用于参照衡量和判断的兜底情形。

05

报告时限——“1小时”报告时限及其具体适用

从履行报告义务的实践角度来看,《管理办法》中关于向相关主管部门报告的时限要求也备受关注。《管理办法》区分了不同情形下的具体时间限制,包括1小时、24小时和5个工作日。根据《管理办法》第四条规定,当发生较大、重大或者特别重大网络事件的,运营者应在1小时内报告。收到初次报告后,仍有进一步报告义务的部门和机构,也都应在1小时内履行报告义务。

《管理办法》也考虑了特殊情形,根据第六条规定,如果运营者不能在1小时内判定事发原因、影响或趋势等,可以先在1小时内报告事件基本情况、造成的影响和采取的措施(即《管理办法》第五条第一项、第二项中规定的内容),其他情况在24小时内补报。

此外,事件处置结束后,运营者还应当在5个工作日以内全面分析总结,形成报告按照原渠道上报,分析总结的内容包括事件原因、应急处置措施、危害、责任处理、整改情况、教训等。

在实践中,企业基于自身信息安全管理要求,也普遍将根据网络和信息系统遭受威胁或危害的不同类型和程度,设置了对应的内部报告和事件追溯、倒查、验证和复现等具体流程规范。一般来说,1小时内完成对较大、重大或特别重大网络安全事件的基本情况的摸排是相对可行的。但考虑到受影响网络和信息系统范围,在较为复杂或涉及面较广的安全事件中,如果需要对事件产生的根本原因以及对事件的性质作出判断,同时还需报告事件所带来的客观影响程度和发展趋势等,1小时的时限要求对企业而言往往具备挑战性。对此,《管理办法》第六条进一步区分了“1小时内必须报告事项”和“24小时内补报事项”。基于以上,企业应当根据《管理办法》对于报告时限的要求,及时对内部网络数据安全事件应急管理预案进行针对性的调整,并且在日常的安全事件应急演练和常规培训中明确“1小时”的内部调查和向相关机关报告的基本要求。此外,为了更好地响应相对紧张的报告要求,企业也应当考虑在日常的网络运营维护工作中,未雨绸缪地提前梳理已有的设施、系统、平台的基本情况(即第一项报告内容),形成相应的系统或平台清单,并且根据网络和信息系统变更保证及时维护和更新,以在报告流程中加快响应速度和效率。

06

报告内容

《管理办法》在第五条规定应当按照《网络安全事件信息报告表》报告事件,内容主要是:

01

事发单位名称及发生事件的设施、系统、平台的基本情况;

02

事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;

03

事态发展趋势及可能进一步造成的影响和危害;

04

初步分析的事件原因;

05

进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等;

06

拟进一步采取的应对措施以及请求支援事项;

07

事件现场的保护情况;

08

其他应当报告的情况。

《管理办法》附件2是《网络安全事件信息报告表》,主要是根据《管理办法》的规定,填写运营者基本信息,初判事件类型、级别、原因、影响、采取的措施、下一步安排等内容。从给出表单信息的填写模板来看,《网络安全事件信息报告表》主要是针对事件发生始末、受影响的网络系统范围和危害,以及所采取的临时性补救措施和下一步计划等事实情况的客观反映,对比“安全评估/管理”等类型的报告来看填写的内容也相对精炼,《网络安全事件信息报告表》显然对时效性的要求更高。

07

法律责任

《管理办法》没有直接规定处罚措施,而是规定按照相关法律、行政法规处罚。结合立法依据,相关法律、行政法规至少包括《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》。考虑到上述法律法规的法律责任上限均较高,违反《管理办法》可能会对企业造成较为严重的影响。

同时,如《网络安全法》等规定中的“双罚制”类似,《管理办法》还规定,运营者迟报、漏报、谎报或者瞒报,造成重大危害后果的,将对运营者及有关责任人依法从重处罚。

08

尽职免责

《管理办法》规定了全面、严格的报告义务,同时也明确了激励条款,即第十一条所规定,运营者按照要求履行报告义务,正确处置且最大程度降低事件影响的,运营者及有关责任人的责任可能得以免除或从轻追究。

结语

——对企业的合规启发

目前《管理办法》仍在征求意见阶段,一方面,企业可以根据自身业务实践和既往启动网络安全事件应急预案管理的经验或教训,根据规定渠道和方式反馈修订意见;另一方面,《管理办法》同时也意味着《网络安全法》等相关上位法律中针对安全事件应急预案和响应报告机制的规范要求细化,企业还需要在做好法规跟踪的同时进一步为规则落地实施开展积极的准备工作。

如本文所观察,《管理办法》给出了网络安全事件报告的触发机制、识别条件和处置流程等主要框架,网络安全事件报告义务本就在上位法中作出了规定。我们建议企业聚焦《管理办法》中的重点制度和核心规则,建立和完善网络数据安全事件报告流程和制度,全面修订既有的网络安全事件应急响应预案和管理规定,在使之与即将出台的规范相适配的同时,指导日常网络安全培训教育和应急演练,将网络安全事件报告作为内部流程规范和环节,尽量做到统筹配合、协调高效、责任到岗。

此外,考虑到《管理办法》中也针对网络运营者尽职应对和报告安全事件而设置了责任优待条件,因此,企业也可以将功夫用在平时,在日常网络安全运行和维护中注重网络数据安全合规,在采取相应安全技术和管理措施基础上,及时关注安全领域最新行业技术和发展动态,开展内部合规风险扫描以实现查漏补缺,在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持,将安全和合规融入业务经营并发挥出其应有价值。

码上报名

谈思实验室AutoSec智能汽车安全攻防实训课程,12月18-19日,上海



文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247530252&idx=1&sn=f4e9ec1468351c74ce944493c6ece5e4&chksm=e8a5588f5c1510af10dedcd24caac9e8a95bd8f9eb79576879d87fd2f2782c016c1f1d43b487&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh