作者:林涛
国家互联网信息办公室于9月15日正式发布《网络安全事件报告管理办法》(以下简称《办法》)。《办法》旨在规范网络安全事件报告管理,及时控制网络安全事件造成的损失和危害。结合学习,从以下三个方面做简要分析梳理。
一、《办法》出台反映了制度发展的迫切需求
长期以来,网络安全相关法律、法规大多会规定监管对象的网络安全事件报告义务。但不同行业领域的规定,在管理机制、上报内容等诸多方面都存在不尽一致的情况;同时,不同法规对网络安全事件分级认定也缺乏相对统一、易于操作的认定和判定标准。
这些情况的存在,都不利于《网络安全法》规定的网络安全事件报告制度的切实贯彻落。加快提升网络安全事件报告制度的可操作性、效率性和统筹管理等需求日渐迫切。
二、程序、实体“两手抓”,全面规范网络安全事件报告管理
《办法》主要明确了网络安全事件报告的四个关键问题,即“谁报告、报告谁、何时报告、报告什么”。其中,前三项可视为程序性问题、最后一项为实体性问题。
1. 六大程序性要素细化网络安全事件报告流程要求
《办法》对网络安全事件报告制度的全流程给出了较为详细、规范的细化要求。涵盖要素包括网络安全事件报告的发起主体、报告接收主体、报告发起的时机、报告最大时限、接报后的分类分级处置、报告渠道等。尤其是对不同报告主体、不同事件级别等,分别设置了不同的时限和处置程序要求,这无疑从“分级分类”和“可操作性”等多维角度极大保障了网络安全事件报告制度的落实效果。(具体报告主体类型和对应不同报告流程,详见下文《网络安全事件报告流程梳理表》)
尤其值得注意的一点是,《办法》正式将网络安全事件报告服务纳入合同管理(第五条)。即,将事件报告增加为“网络安全、系统运维”等服务提供者所必须承担的法定合同义务。这在强化事件报告责任主体要求的同时,从创新市场动能方面而言,也无疑将为网络安全事件报告相关业务带来新的市场增量和机会。
2. 两大实体性规定奠定网络安全事件报告制度标尺
一是网络安全事件报告需要包含哪些具体内容?《办法》第七条规定包含涉事单位基本情况、事件基本情况等8项重点内容要求,并基于紧急程度考虑做出了可分步报告的原则要求;与此同时,第八条还规定了“事件分析总结报告”要求,作为事件报告制度的延续性要求,尤其不可忽视。
二是网络安全事件如何分级?《办法》在附件部分提出了《网络安全事件分级指南》,明确了网络安全事件报告制度的事实标准和依据。《网络安全事件分级指南》将网络安全事件划分为特大、重大、较大、一般4个级别,并依据事件危害结果给出了网络安全事件级别的认定标准、依据量化指标给出了网络安全事件的实践判定标准。另外,从《网络安全事件分级指南》的两大修订变化情况比较,还可以看出:新版指南对数据的分级分类更加规范、与《数据安全法》关于数据分类分级的规定更加契合一致;新版指南还将事件认定的相关量化指标予以提高,在防止网络安全事件分级泛化的同时,无疑有助于减轻合规负担。
三、影响分析
《办法》的发布,将在至少两个方面带来影响,分析如下。
1. 对于网络安全能力和体系建设的积极意义
首先,从法规视角来看,有助于推进网络安全事件报告管理制度的体系化。长期以来,各类网络安全法律、法规大多都有关于网络安全事件报告义务的规定,但不同法规的要求在报告机制、管辖范围等方面尚未完全衔接一致,影响了网络安全事件报告制度的整体性、体系化和统筹管理。
其次,从运营者视角来看,有助于提高网络安全事件报告工作的可操作性。原有的报告机制分散性较强,且在报告主体、报告内容、报告时限等方面的要求也存在不够具体的情况。这些对于全面落实网络安全事件上报要求,带来一定困扰;且对于不履行上报义务行为的处罚不够明确,也影响了上报义务的主动性。
2. 对企业/组织的“压力”和“动力”
压力之一:这将考验运营者对于相关合规要求的知悉度。如哪些网络安全事件属于“较大、重大或特别重大”?如何判定这些事件是否发生?以及应该相应启动何种应急预案?等等,这就要求企业除了熟悉知悉《办法》,还要对《网络安全事件分级指南》、《国家网络安全事件应急预案》等有较为全面的认知。
压力之二:这将考验运营者对于网络安全事件的感知和处置能力。《办法》明确要求运营者需要上报的8项内容,除了前两项属于事件基本情况外,其余各项均对运营者的网络安全运维能力提出了较高要求,涉及网络安全威胁情报监测能力、事件分析研判能力、网络安全工作专业化程度等。
压力之外,也有积极影响。尤其随着我国网络安全产业供给能力的提升,监管要求的提升将同网络安全行业发展产生良性互动,带来有促进作用。尤其是网络安全头部厂商,依托其专业化的安全运营实践,将成为快速提升网络运营者事件管理能力的重要依托力量。这无疑对于促进网络安全有效市场需求、推进网络安全产业实现生态化、高质量发展,具有十分重要的实际意义。