- 发文标题: 关于印发《关于加强行业网络安全管理建设合法合规网站及数据资源系统的指导意见》的通知
- 发文机关: 河北省注册会计师协会
- 发布日期: 2024-01-02
- 文号: 冀会协〔2024〕1号
- 原文链接: 河北省注册会计师协会 | 河北省注册会计师协会
各会计师事务所:
为全面贯彻习近平总书记关于网络强国战略的重要论述思想,落实《中华人民共和国网络安全法》等法律法规制度相关要求,增强注册会计师行业会员法律意识,建立健全行业网络安全责任体系,完善网络安全监督管理机制,切实保障网络和数据安全,从源头防范和遏制网络安全事件,全面提升会计师事务所网络安全防护水平。省注协制定了《关于加强行业网络安全管理建设合法合规网站及数据资源系统的指导意见》。
现将《指导意见》印发给你们,请认真参照执行。
联系人:河北注协信息技术部 张子骞
联系电话:0311—83939381
附件:《关于加强行业网络安全管理建设合法合规网站及数据资源系统的指导意见》
河北省注册会计师协会
2024年1月2日
附件:关于加强行业网络安全管理建设合法合规网站及数据资源系统的指导意见
近年来,国内网络安全事故频繁发生,信息泄漏、破坏性攻击、病毒勒索、数据库篡改等网络安全事件,直接影响到经济安全、社会安全甚至是国家安全。注册会计师行业的审计工作涉及到大量企事业单位和机构组织的财务数据,做好行业网络安全工作,刻不容缓,责任重大。随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信息安全技术网络安全等级保护基本要求》等一系列网络安全法律法规及网络安全标准的颁布实施,国家持续强化网络安全立法监管,为强化网络治理明确了法律依据和制度准绳。《注册会计师行业信息化建设规划(2021—2025年)》也指出了“坚持安全与发展并重”是“十四五”时期行业信息化建设总体要求的基本原则之一。做好网络安全管理工作,建设合法合规网站及数据资源系统是每个会计师事务所应尽的义务,也是在各业务领域提供稳定可靠服务的重要保障。目前部分会计师事务所已率先按照国家网络安全等级保护的要求和标准规范进行了相应的体系化建设。但由于大部分会计师事务所对国家的各类法律法规政策缺乏了解,对网络安全工作不够重视,致使当前会计师事务所的网站大多没有进行公安备案,开展网络安全等级保护工作的更少,甚至有的会计师事务所网站开通之后放任不管,导致网页被篡改。这些隐患不但使会计师事务所面临网络安全风险、法律风险,严重的甚至可能触及刑事犯罪。为此,特制定以下指导意见。
一、 指导思想、基本原则和工作目标
(一)指导思想
坚持以习近平新时代中国特色社会主义思想为指导,以总体国家安全观为统领,深入实施网络强国和大数据战略,以网络安全法律法规、国家标准为基础,夯实安全压舱石,切实提高会计师事务所网络安全工作水平,为行业的信息化及数字化转型保驾护航,推动行业高质量发展。
(二)基本原则
坚持正确的政治方向,坚持网络安全与信息化发展并重,坚持以法治网源头治理,坚持服务会员为中心,坚持立足于实际和应用,坚持事务所自主防范与协会指导相结合。
(三)工作目标
1.普及网络安全法律法规知识
强化行业网络安全防护合法合规意识,营造行业会员知法、懂法、守法、用法的良好氛围。
2.做好网络安全基础工作
明晰网络建设应履行的各项备案制度以及网络安全等级保护工作等内容。扎实高效推进会计师事务所icp备案、公安备案、网络安全等级保护、网站信息内容生态治理等工作,建立基础强、责任明、管理严的事务所网络安全工作机制。
3.显著提升网络安全管理能力
主体责任明晰、监督管理机制完善、基础设施完备,网络安全技术能力、预警能力、突发网络安全事件应急响应能力、日常安全管理能力显著提升,有效保障网络安全。
二、 网络安全的主体防护责任
会计师事务所建设、运营网络或者通过网络提供服务,应当依照法律法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,履行网络安全保护义务,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和安全性。
网络安全工作主体防护责任应按照“谁主管谁负责、谁建设谁负责、谁使用谁负责”的原则来进行。安全防护责任不随服务外包而转移,无论会计师事务所网络运行是自己管理还是委托给第三方,无论网站和数据资源系统是部署在自建机房还是托管在云平台上,会计师事务所都是网络安全防护的第一责任人。
三、 网络安全的基础工作
做好网络安全基础工作包括: ICP备案、公安备案、网络安全等级保护、信息内容生态治理、日常运维保障措施等。
《指导意见》中的数据资源系统是指会计师事务所接入互联网并自行或委托其他单位运维的办公系统、业务管理系统、审计系统、电子函证系统等。
(一)关于网站ICP备案与网站公安备案
国家对网站实行ICP备案与公安备案双备案制度。
1.网站ICP备案
ICP备案即域名备案,是网站开办者必备的一种资质。会计师事务所的门户网站是利用互联网域名访问的网站,向上网用户无偿提供具有公开性、共享性信息的服务活动,属于非经营性互联网信息服务性质。国家对非经营性互联网信息服务实行备案制度。
省通信管理局通过“工业和信息化部政务服务平台”,采用网上备案方式进行备案管理。ICP备案目前暂不支持自行申请办理,会计师事务所提供备案所需的网站名称、域名、IP地址、主办单位、主要负责人等相关信息,由具有工信部ICP备案资质的接入服务商、服务器提供商帮助办理网站备案手续。
省通信管理局审核通过后将发放服务备案号、备案证书(电子文件)。会计师事务所须在网站开通时,在主页底部的中央位置标明服务备案号,并在服务备案号上链接“工业和信息化部政务服务平台”网址。
2.网站公安备案
在我国互联网管理体系下,所有网站都必须将网站名称、域名、服务器地址等信息报给公安机关登记备案,未经备案的网站被视为非法,会被处罚或关闭。
会计师事务所接入互联网的网站,应在网络正式联通之日起30日内办理公安备案手续。办理流程为:登录全国互联网安全管理服务平台,提交真实合法信息。公安部门审核通过后,会计师事务所下载网站备案编号及备案图标,将“备案编号HTML代码”粘贴到网页源代码中的底部位置(备案编号图标显示于备案编号之前)。
(二)网络安全等级保护
1.关于网络安全等级保护制度
国家实行网络安全等级保护制度。会计师事务所应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
网络安全等级保护对象包括网站、数据资源系统等。
2.网络安全等级保护的分级及防护要求
根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络共分为五个安全保护等级。
会计师事务所网络定级一般定为第二级、第三级。其中第二级防护能力要求为:能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。第三级安全防护能力要求为:能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
3.网络安全等级保护工作的主要步骤
会计师事务所应在网络建设和运营过程中,同步规划、同步建设、同步使用有关网络安全保护措施。
(1)网络定级。在规划设计阶段确定网络的安全保护等级。
(2)定级评审。第二级以上的网络应当组织专家进行定级评审。
(3)定级备案。到公安机关进行定级备案,并取得《信息系统安全等级保护备案证明》及证书编号。
(4)上线检测。新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试(具体以当地公安部门实际执行为准)。新建的第三级以上网络上线运行前应当委托符合国家有关规定的等级测评机构,按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
(5)等级测评。第三级以上网络应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并及时将报告提交受理备案的公安机关。第二级网络每两年进行一次等级测评(具体要求以当地公安部门实际执行为准)。
(6)自查工作。网络安全等级保护制度和网络安全落实情况每年应至少开展一次自查,并将自查及整改情况向备案的公安机关报告。
4.达到安全等级保护要求所需安全系统组合
为达到等级测评的安全技术要求,应为网络配置安全系统组合。以华为云网络安全等级第三级安全系统组合为例,主要但不限于使用以下关键安全系统:云堡垒机(设备集中运维管理)、Anti-DDoS流量清洗(异常流量监控、防护)、云Web应用防火墙服务(Web应用防护)、企业主机安全(主机安全防护)、数据库安全服务(数据库日志集中收集、分析)、云日志服务(日志集中收集、分析)、VPC安全组服务(安全防护)、态势感知(网络安全监测)等。
(三)网站信息内容
会计师事务所门户网站信息内容应以展示事务所动态、宣传自身文化、拓展业务等为主,不应发布新闻类信息。新闻类信息包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论。
会计师事务所门户网站应当加强网站信息内容生态治理,遵守宪法法律,遵循公序良俗,培育积极健康、向上向善的网络文化,不得损害国家利益、公共利益,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
四、网络安全运维保障措施
(一)会计师事务所应设置网络安全领导小组,确定网络安全负责人,落实网络安全保护责任,将网络安全责任层层分解,落实到具体部门、具体岗位和具体人员。
(二)会计师事务所应按照网络系统建设及应用与网络安全同步规划、同步建设、同步使用的工作要求,落实各项安全保护措施,保障网站和数据资源系统的安全稳定运行。
(三)会计师事务所应按照“安全第一,预防为主”的方针,制定内部安全管理制度和操作规程,并由网络安全领导小组定期检查落实情况。
(四)会计师事务所应定期开展自查整改和技术检测,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,对薄弱环节和潜在威胁采取有力措施进行整改,避免和消除各类网络安全风险。
(五)会计师事务所应建立信息内容发布管理制度,加强对网站发布内容的审核管理。
(六)会计师事务所应强化实时监测,采取技术和人工监测相结合的方式,不间断的监测、记录网站及数据资源系统的运行状态,并按照规定留存相关的网络日志,确保及时发现隐患并进行应急处理。
(七)会计师事务所应对重要数据和系统,采取分类、备份和加密等措施,应对突发事件的发生。
(八)会计师事务所应制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
(九)会计师事务所对于相关部门依法实施的网络安全检查,应予以配合,提供符合要求的相关资料和工作便利,不得拒绝、拖延、阻挠。
五、工作要求
各会计师事务所应高度重视网络安全防护工作,切实落实《指导意见》相关内容,做好自查自纠,尽快补齐网络安全短板。同时,应建立健全事务所网络安全工作机制,强化工作部署,制定防护方案,提升网络安全防护水平,筑牢网络安全堤坝,开创行业网络安全工作新局面。
关于《关于加强行业网络安全管理 建设合法合规网站及数据资源系统的 指导意见》的解读
2017年6月1日《中华人民共和国网络安全法》实施,标志着我国网络空间法治化进程的实质性展开,迈出了网络强国建设的坚实步伐,维护网络与信息安全的工作进入一个全新阶段。
工作任务
一、工作安排
《网络安全法》规定,国家坚持网络安全与信息化发展并重。《注册会计师行业信息化建设规划(2021—2025年)》明确指出强化网络安全建设是加快信息化基础研究与建设的任务之一。
对此,河北注协信息技术部将制定行业网络安全指导意见列入2023年度工作计划。对此,我们经多次论证,并结合相关法律法规、各项政策、网络安全技术标准等,起草了《关于加强行业网络安全管理建设合法合规网站及数据资源系统的指导意见》(以下称《指导意见》)。
二、相关规定
《网络安全法》第三条规定:国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
《注册会计师行业信息化发展规划2021—2025》明确指出“坚持安全与发展并重”是“十四五”时期行业信息化建设总体要求的基本原则之一:坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,建立健全网络安全保障体系,提高网络安全防护能力。“强化网络安全建设”是加快信息化基础研究与建设的任务之一:贯彻落实国家网络安全法,会计师事务所要提升网络安全意识,参照零信任安全体系架构,围绕系统安全、数据安全和终端安全等方面,健全网络安全制度规范,建立网络安全监控体系,鼓励采用具有自主知识产权的信息产品,保证会计审计资料数据安全。建立信息化应急管理机制,确保数据安全及业务的持续运行。贯彻落实国家网络安全等级保护管理制度,促进开展网络安全等级保护测评,提升网络安全防护能力,确保应用系统和数据资产安全。
三、主要依据出处
《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号,2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过,2017年6月1日起施行)
《注册会计师行业信息化发展规划2021—2025》(中国注册会计师协会2021年4月8日发布)。
主要内容
一、网络安全现状和总体要求
《指导意见》阐释了建设合法合规网站和数据资源系统方面最基础的安全保障措施。既是行业内一次网络安全方面的普法教育,又是一套会计师事务所关于网络安全的建设指南。
《指导意见》主要内容包括以下五项:
第一项提出了总体要求,指明了《指导意见》的指导思想、基本原则、工作目标。
第二项介绍了网络安全主体防护责任。
第三项介绍了网站ICP备案与网站公安备案、网络安全等级保护、网站信息内容等相关流程及要求。
第四项介绍了网络安全运维各项保障措施的基本要求。
第五项要求会计师事务所自查自纠,补齐网络安全短板。
二、关于网络安全主体防护责任的解读
(一)相关规定
《网络安全法》第二条开宗明义,将其适用范围确定为“在中华人民共和国境内建设、运营、维护和使用网络”。第九条、第十条规定了网络运营者的基本义务和责任。其中第九条规定:网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。第十条规定:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
关于上云平台的安全责任,《信息安全技术云计算服务安全指南》5.4云计算服务安全管理基本要求规定:采用云计算服务期间,客户和云服务商应遵守以下要求:a)安全管理责任不变。信息安全管理责任不应随服务外包而转移,无论客户数据和业务是位于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。b)资源的所有权不变。客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用支配等权利不受限制 。c)司法管辖关系不变 。客户数据和业务的司法管辖权不应因采用云计算服务而改变。除非中国法律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织 。d)安全管理水平不变 。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。e)坚持先审后用原则。云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。
需要说明的是:很多会计师事务所都有这样的错误思想,网站放在云平台上,安全责任应该由云平台负责。实际运维中,在云平台上的网站,云平台仅负责安全物理环境、安全网络边界等一小部分内容,出了安全问题还是由网站的所有/运营者负责。
三、关于网络安全基础工作的解读
(一)关于网站ICP备案与网站公安备案
介绍了网站ICP备案与网站公安备案的基本规定与备案流程。
1.网站ICP备案
(1)关于网站ICP备案
ICP备案分为经营性互联网信息备案与非经营性互联网信息备案,(《指导意见》所指ICP备案仅指非经营性互联网信息备案),非经营性互联网信息服务,是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站,向上网用户无偿提供具有公开性、共享性信息的服务活动。
《互联网信息服务管理办法》第三条规定:非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
《非经营性互联网信息服务备案管理办法》第五条规定:本办法所称在中华人民共和国境内提供非经营性互联网信息服务,指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站,提供非经营性互联网信息服务。
(2)ICP备案的强制性规定
《互联网信息服务管理办法》第四条规定:国家对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的,不得从事互联网信息服务。第八条规定:从事非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。
《非经营性互联网信息服务备案管理办法》第三条规定:拟从事非经营性互联网信息服务的,应当向其住所所在地省通信管理局履行备案手续,未取得许可或未履行备案手续的,不得从事互联网信息服务。第五条规定:在中华人民共和国境内提供非经营性互联网信息服务,应当依法履行备案手续。未经备案,不得在中华人民共和国境内从事非经营性互联网信息服务。
(3)ICP备案流程的相关规定
《互联网信息服务管理办法》第八条规定:从事非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料:(一)主办单位和网站负责人的基本情况;(二)网站网址和服务项目。
“ICP备案目前暂不支持自行申请办理,相关单位可以提供备案所需的相关信息,给有工信部相关资质的ICP备案接入服务商、现有服务器提供者或IP提供者帮助办理网站备案手续。”为工信部ICP备案电话录音。
《非经营性互联网信息服务备案管理办法》第六条规定:省通信管理局通过信息产业部备案管理系统,采用网上备案方式进行备案管理。第十二条规定:省通信管理局在收到备案人提交的备案材料后,材料齐全的,应在二十个工作日内予以备案,向其发放备案电子验证标识和备案编号,并通过信息产业部备案管理系统向社会公布有关备案信息;材料不齐全的,不予备案,在二十个工作日内通知备案人并说明理由。第十三条规定:非经营性互联网信息服务提供者应当在其网站开通时在主页底部的中央位置标明其备案编号,并在备案编号下方按要求链接信息产业部备案管理系统网址,供公众查询核对。非经营性互联网信息服务提供者应当在其网站开通时,按照信息产业部备案管理系统的要求,将备案电子验证标识放置在其网站的指定目录下。
(4)不履行ICP备案的处罚性规定
关于不履行ICP备案手续,擅自提供非经营性互联网信息服务的相关处罚条款,《互联网信息服务管理办法》与《非经营性互联网信息服务备案管理办法》的处罚规定都有责令限期改正、关闭网站,以及罚款5000元以上的内容。其中《非经营性互联网信息服务备案管理办法》根据《互联网信息服务管理办法》《中华人民共和国电信条例》及其他相关法律、行政法规的规定制定,《非经营性互联网信息服务备案管理办法》2005年2月8日信息产业部第33号令发布,2005年3月20日施行,《互联网信息服务管理办法》2000年9月25日国务院令第292号公布, 2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订。
《互联网信息服务管理办法》第二十二条规定:未在其网站主页上标明其经营许可证编号或者备案编号的,由省、自治区、直辖市电信管理机构责令改正,处5000元以上5万元以下的罚款。
《关于进一步加强未备案网站管理工作的通知》规定:各通信管理局要加大对未备案接入行为的处罚力度,对于未备案接入网站的行为“零容忍”,发现一起,处罚一起。
(5)网站ICP备案的主要依据出处:
《互联网信息服务管理办法》(2000年9月25日中华人民共和国国务院令第292号公布 根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
《非经营性互联网信息服务备案管理办法》(2005年2月8日,中华人民共和国信息产业部令第33号公布,2005年3月20日起施行。)
《关于进一步加强未备案网站管理工作的通知》(工业和信息化部信息通信管理局2017年12月1日发布)
2.网站公安备案
(1)关于网站公安备案
公安备案是指在我国互联网管理体系下,所有网站都必须将网站名称、域名、服务器地址等信息报给公安机关登记备案,以确保网站内容合法、安全、健康。未经备案的网站将被视为非法,将面临处罚和关闭。公安备案是网站合法合规、稳定运营的重要保障,也是保障网站合法权益、防止侵权的重要手段。
《计算机信息网络国际联网安全保护管理办法》第十一条规定:用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。第十二条规定:互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
《信息安全等级保护管理办法》第十五条规定:已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
《计算机信息系统安全保护条例》第十一条规定:进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
(2)关于网站公安备案的处罚性规定
《计算机信息网络国际联网安全保护管理办法》第二十三条规定:不履行备案职责的,由公安机关给予警告或者停机整顿不超过6个月的处罚。
《计算机信息系统安全保护条例》第二十条规定:违反计算机信息系统国际联网备案制度的,由公安机关处以警告或者停机整顿。
(3)网站公安备案的主要依据出处:
《计算机信息网络国际联网安全保护管理办法》(1997年12月11日国务院批准,1997年12月16日公安部令第33号发布,根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
《信息安全等级保护管理办法》(公通字[2007]43号,公安部、国家保密局、国家密码管理局、国务院信息工作办公室2007年6月22日发布施行。)
《计算机信息系统安全保护条例》(1994年2月18日中华人民共和国国务院令第147号发布,根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
(二)关于网络安全等级保护的解读
1.关于网络安全等级保护制度
阐述了国家强制实行网络安全等级保护制度、会计师事务所应当承担的义务、网络安全等级保护的对象。
《网络安全法》规定了网络运营者应当履行的安全保护义务。第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;四)采取数据分类、重要数据备份和加密等措施;五)法律、行政法规规定的其他义务。第二十五条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《信息安全技术网络安全等级保护定级指南》中指出网络安全等级保护对象:网络安全等级保护对象是网络安全等级保护工作直接作用的对象,主要包括信息系统、通信网络设施和数据资源等。信息系统指应用、服务、信息技术资产或其他信息处理组件。信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。通信网络设施指为信息流通、网络运行等起基础支撑作用的网络设备设施。主要包括电信网、广播电视传输网和行业或单位的专用通信网等。数据资源指具有或预期具有价值的数据组合。数据资源多以电子形式存在。
2.关于网络安全等级保护的分级及要求
介绍了网络安全等级保护的划分依据以及一般情况下会计师事务所的定级及防护能力要求。
关于安全保护分级。《网络安全等级保护定级指南》规定,根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下五级:(一)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。(二)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。(三)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。(四)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重危害。(五)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
根据注册会计师行业实际情况,特别解释会计师事务所网络达到网络安全等级保护第二级、第三级的各项要求及相关标准。
关于防护能力要求。《信息技术网络安全等级保护基本要求》规定不同级别的网络安全防护能力,其中第二级防护能力是:能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。第三级安全防护能力是:能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
关于网络安全等级保护通用要求。
通用要求采用《信息安全技术网络安全等级保护基本要求》相关标准。第二级安全通用要求主要包括:一是安全物理环境,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。二是安全通信网络,包括网络架构、通信传输、可信验证等内容。三是安全区域边界,包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等内容。四是安全计算环境,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复、剩余信息保护、个人信息保护等内容。五是安全管理中心,包括系统管理、审计管理等内容。六是安全管理,涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。第三级安全通用要求包含第二级的所有要求,另外安全区域边界方面添加了恶意代码和垃圾邮件防范、安全审计等内容;安全计算环境方面添加了数据完整性,数据保密性等内容;在安全管理中心方面添加了安全管理、集中管控等内容。需要注意的是,这里只是广义的区分,具体到测评指标上,差别很大。
3.关于网络安全等级保护工作的主要步骤
《网络安全等级保护定级指南》详细规定了网络安全等级保护定级备案流程,主要是:确定定级对象、初步确定安全保护等级、专家评审、主管部门审核、公安机关备案审查等。
4.网络安全等级第三级要求所需配置的安全系统组合
以华为云网络安全等级第三级安全系统组合为例,介绍了为达到等保测评的安全技术要求,网络必须配置的安全系统组合,《指导意见》主要参考了河北注协机关协同办公系统所使用的安全配置。
5.关于等级测评
因网络安全等级保护测评工作比较专业而且繁琐,此处特别解释。
《网络安全等级保护测评机构管理办法》第二条规定:等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。第三条规定:测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。(网络等级保护网中可查询到最新的测评机构目录)。
需要说明的是:等级测评的对象是以独立的网站或数据资源系统为单位,例如一个会计师事务所拥有网站、项目管理两个独立系统,应分别进行等级测评工作。等级测评的主要内容即网络安全等级保护安全通用要求的内容。另外,网络安全等级保护测评必须选择公安部门认定的网络安全等级保护测评机构。
等保测评分值由安全问题风险分析结果和综合得分共同确定,依据《网络安全等级保护基本要求》和《网络安全等级保护测评要求》规定的计分公式计算。等级测评结论分为优、良、中、差,70分以上及格,90分以上优秀。测评70分(含)以上的公安部门给予备案。
6.关于不履行网络安全保护义务的处罚性规定
《网络安全法》第五十九条规定:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。
《计算机信息网络国际联网安全保护管理办法》第二十一条规定:有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。未建立安全保护管理制度的;未采取安全技术保护措施的;未对网络用户进行安全教育和培训的;未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;未建立电子公告系统的用户登记和信息管理制度的;未按照国家有关规定,删除网络地址、目录或者关闭服务器的;未建立公用账号使用登记制度的;转借、转让用户账号的。
《计算机信息系统安全保护条例》第二十条规定:违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;违反计算机信息系统国际联网备案制度的;不按照规定时间报告计算机信息系统中发生的案件的;接到公安机关要求改进安全状况的通知后,限期内拒不改进的;有危害计算机信息系统安全的其他行为的。
7.网络安全等级保护主要依据出处:
《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号,2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过,2017年6月1日起施行)
《计算机信息网络国际联网安全保护管理办法》(1997年12月11日国务院批准,1997年12月16日公安部令第33号发布,根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
《计算机信息系统安全保护条例》(1994年2月18日中华人民共和国国务院令第147号发布,根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
《信息技术网络安全等级保护基本要求》(GB∕T 22239-2019国家市场监督管理总局、中国国家标准化管理委员会发布)
《信息安全技术云计算服务安全指南》(GB/T31167—2014中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会发布)
《信息安全技术网络安全等级保护定级指南》(GB∕T 22240-2020国家市场监督管理总局、中国国家标准化管理委员会发布)
《网络安全等级保护测评机构管理办法》(公信安(2018)765号公安部第十一局发布)
《信息安全技术网络安全等级保护测评要求》(GB∕T 28448-2019国家市场监督管理总局、中国国家标准化管理委员会发布)
(三)关于网站信息内容的解读
1.关于网络信息内容生态治理
《网络信息内容生态治理规定》第二条规定:中华人民共和国境内的网络信息内容生态治理活动,适用本规定。本规定所称网络信息内容生态治理,是指政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展的弘扬正能量、处置违法和不良信息等相关活动。
2.网站平台的内容主体责任相关规定
《网络安全法》第十二条规定:国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
《计算机信息网络国际联网安全保护管理办法》第五条规定:任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:煽动抗拒、破坏宪法和法律、行政法规实施的;煽动颠覆国家政权,推翻社会主义制度的;煽动分裂国家、破坏国家统一的;煽动民族仇恨、民族歧视,破坏民族团结的;捏造或者歪曲事实,散布谣言,扰乱社会秩序的;宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;公然侮辱他人或者捏造事实诽谤他人的;损害国家机关信誉的;其他违反宪法和法律、行政法规的。
《网络信息内容生态治理规定》第八条规定:网络信息内容服务平台应当履行信息内容管理主体责任,加强本平台网络信息内容生态治理,培育积极健康、向上向善的网络文化。
3.关于互联网新闻信息服务相关规定
《互联网新闻信息服务管理规定》第二条规定:在中华人民共和国境内提供互联网新闻信息服务,适用本规定。本规定所称新闻信息,包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论。
《互联网新闻信息服务管理规定》第五条规定:通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。
前款所称互联网新闻信息服务,包括互联网新闻信息采编发布服务、转载服务、传播平台服务。
4.关于网络信息内容处罚性规定
《网络安全法》第六十八条规定:网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《网络信息内容生态治理规定》第三十九条规定:网信部门根据法律、行政法规和国家有关规定,会同有关主管部门建立健全网络信息内容服务严重失信联合惩戒机制,对严重违反本规定的网络信息内容服务平台、网络信息内容生产者和网络信息内容使用者依法依规实施限制从事网络信息服务、网上行为限制、行业禁入等惩戒措施。第四十条规定:违反本规定,给他人造成损害的,依法承担民事责任;构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由有关主管部门依照有关法律、行政法规的规定予以处罚。
《互联网新闻信息服务管理规定》第二十二条规定:违反本规定第五条规定,未经许可或超越许可范围开展互联网新闻信息服务活动的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令停止相关服务活动,处一万元以上三万元以下罚款。
《计算机信息网络国际联网安全保护管理办法》第二十条规定:违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚法的规定处罚;构成犯罪的,依法追究刑事责任。
5.网络信息内容主要依据出处
《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号,2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过,2017年6月1日起施行)
《网络信息内容生态治理规定》(国家互联网信息办公室令第5 号)
《计算机信息网络国际联网安全保护管理办法》(1997年12月11日国务院批准,1997年12月16日公安部令第33号发布,根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
《互联网新闻信息服务管理规定》(国家互联网信息办公室令第1号,2017年6月1日起施行)
四、关于安全运维保障措施的解读
介绍会计师事务所在网络安全管理方面应当采取的运维保障措施。主要依据《网络安全法》、国家相关技术标准规范等内容制定。
其他
一、其他关于网络安全管理的法规
(一)《刑法》相关规定
第二百八十六条规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:一)致使违法信息大量传播的;二)致使用户信息泄露,造成严重后果的;三)致使刑事案件证据灭失,情节严重的;四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
最高人民法院、最高人民检察院也有关于《刑法》第二百八十六条网络犯罪活动的司法解释,此处不再罗列。
(二)《反恐怖主义法》相关规定
《反恐怖主义法》第十九条规定:电信业务经营者、互联网服务提供者应当依照法律、行政法规规定,落实网络安全、信息内容监督制度和安全技术防范措施,防止含有恐怖主义、极端主义内容的信息传播;发现含有恐怖主义、极端主义内容的信息的,应当立即停止传输,保存相关记录,删除相关信息,并向公安机关或者有关部门报告。第八十四条规定:电信业务经营者、互联网服务提供者有下列情形之一的,由主管部门处二十万元以上五十万元以下罚款,并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款;情节严重的,处五十万元以上罚款,并对其直接负责的主管人员和其他直接责任人员,处十万元以上五十万元以下罚款,可以由公安机关对其直接负责的主管人员和其他直接责任人员,处五日以上十五日以下拘留:(一)未依照规定为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的;(二)未按照主管部门的要求,停止传输、删除含有恐怖主义、极端主义内容的信息,保存相关记录,关闭相关网站或者关停相关服务的;(三)未落实网络安全、信息内容监督制度和安全技术防范措施,造成含有恐怖主义、极端主义内容的信息传播,情节严重的。
《数据安全法》第二十七条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
(三)主要依据出处
《中华人民共和国刑法》(《中华人民共和国主席令》第八十三号)
《中华人民共和国反恐怖主义法》(中华人民共和国主席令第三十六号)
《中华人民共和国数据安全法》(2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过 2021年9月1日起施行)
《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(2019年10月21日法释〔2019〕15号)
二、参考文件
《指导意见》共涉及法律法规、司法解释、规章制度、国家技术标准规范等各类文件35部。相关法律法规、政策规定、技术标准等,可到河北省注册会计师协会的官网信息化专栏查阅。
法律法规、各种制度16部:
《中华人民共和国网络安全法》
《中华人民共和国刑法》
《中华人民共和国反恐怖主义法》
《中华人民共和国数据安全法》
《互联网信息服务管理办法》
《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》
《党委(党组)网络安全工作责任制实施办法》
《非经营性互联网信息服务备案管理办法》
《计算机信息网络国际联网安全保护管理办法》
《计算机系统安全保护条例》
《网络信息内容生态治理规定》
《互联网新闻信息服务管理规定》
《信息安全等级保护管理办法》
《网络安全等级保护测评机构管理办法》
《网络安全等级保护条例(征求意见稿)》
《关于进一步加强未备案网站管理工作的通知》
行业文件1部:
(《注册会计师行业信息化建设规划2021—2025》)
技术标准规范18部。
《计算机信息系统安全保护等级划分准则(GB 17859-1999)》(中华人民共和国公安部)(国家强标)
《信息安全技术 术语(GB/T25069-2022)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息技术安全技术 信息安全管理体系要求(GB/T22080-2016/ISO/IEC/27001:2023)》中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会发布
《信息安全技术 网络安全等级保护实施指南(GB/T25058-2019)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 网络安全等级保护定级指南(GB/T22240-2020)》国家市场监督管理总局、中国国家标准化管理委员会发布)
《信息安全技术 网络安全等级保护基本要求(GB/T22239-2019)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 网络安全等级保护设计技术要求(GB/T25070-2019)》全国信息安全标准化委员会
《信息安全技术 网络安全等级保护测评要求(GB/T28448-2019)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 网络安全等级保护测评过程指南(GB/T28449-2018)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 信息安全风险评估方法(GB/T 20984-2022)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 信息安全风险评估实施指南(GB/T 31509-2015)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 网络安全等级保护测试评估技术指南(GB/T 36627-2018)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 网络安全等级保护测评机构能力要求和评估规范(GB/T 36959-2018)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 网络安全等级保护安全管理最新技术要求(GB/T 36958-2018)》国家市场监督管理总局、中国国家标准化管理委员会发布
《信息安全技术 云计算服务安全指南(GB/T31167—2014)》中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会发布
《信息安全技术 云计算服务安全能力要求GBT 31168-2014》中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会发布
《信息安全技术 云计算服务安全能力评估方法GBT 34942-2017》中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会发布
《信息安全技术 云计算安全参考架构GBT 35279-2017》中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会发布
以上解读。
河北省注册会计师协会
2024年1月2日
