Volumen de Internet de las cosas
Disposiciones específicas del Reglamento de Igualdad de Seguros
Las "Medidas Administrativas" fueron dictadas conjuntamente por el Ministerio de Seguridad Pública, la Administración Estatal del Secreto, la Administración Estatal de Criptozoología y la Oficina de Información del Consejo de Estado. Como disposición central del sistema de igualdad de protección 1.0, su efecto legal es un documento normativo departamental. Además, de acuerdo con lo dispuesto en el artículo 1 de las "Medidas Administrativas", se formula de conformidad con el reglamento administrativo del Consejo de Estado "Reglamento de Protección de Seguridad del Sistema de Información Informática".
Si bien el "Reglamento de Igualdad de Seguros" aún se encuentra en etapa de solicitud de opiniones, según el artículo 5 de las "Disposiciones Procesales para la Formulación de Reglamentos Administrativos", los nombres de los reglamentos administrativos generalmente se denominan "Reglamentos ", y los reglamentos de varios departamentos del Consejo de Estado y de los gobiernos populares locales no se denominarán "reglamentos". Por lo tanto, las normas de igualdad en materia de seguros deberían entrar en el ámbito de las normas administrativas. Además, el artículo 1 del "Reglamento de Igualdad de Seguridad" se basa en la "Ley de Ciberseguridad" y la "Ley de Protección de Secretos de Estado".
En resumen, las "Medidas Administrativas" son documentos normativos departamentales formulados de acuerdo con normas administrativas, mientras que el Reglamento de Protección de Clasificación son normas administrativas formuladas de acuerdo con las leyes nacionales. Obviamente, tanto en términos de su propio efecto jurídico como de su base jurídica, Parity Insurance 2.0 es superior a Parity Insurance 1.0.
Ámbito de aplicación de la protección graduada
En cuanto al ámbito de aplicación, el "Reglamento de Igualdad de Protección" generalmente estipula que se aplica a los operadores de redes que construyen, operan, mantienen y utilizan redes en China llevará a cabo seguridad de redes La protección, supervisión y gestión jerárquicas, excepto para las redes construidas por individuos y familias, son relativamente breves. 2065438 2008 65438 El 9 de junio de 2008, el Comité Técnico Nacional de Normalización de la Seguridad de la Información emitió las "Pautas de calificación 2.0 de protección del nivel de seguridad de la red de tecnología de seguridad de la información (borrador para comentarios)" (en adelante, las "Pautas de calificación 2.0"), que proporcionan Se proporcionan pautas específicas para la protección graduada.
En el Sistema de Igualdad de Protección 1.0, el Artículo 10 de las "Medidas Administrativas" menciona claramente que las unidades operativas y de usuario del sistema de información deberán seguir estas Medidas y las "Pautas de Clasificación de Protección del Nivel de Seguridad del Sistema de Información" (en adelante denominadas según las “Pautas de Clasificación” 1.0》) Determinar el nivel de protección de seguridad del sistema de información. Por lo tanto, la introducción de la "Guía de calificaciones 2.0" se beneficia en gran medida de las disposiciones de la "Guía de calificaciones 1.0" existente.
En comparación con las Directrices de Graduación 1.0, que generalmente definían los objetos de protección graduada como información y sistemas de información específicos que se ven directamente afectados por la protección graduada de la seguridad de la información, las Directrices de Graduación 2.0 refinan los objetos específicos de protección graduada. del sistema de protección gradual de seguridad de la red El alcance incluye principalmente redes de información básica, sistemas de control industrial, plataformas de computación en la nube, Internet de las cosas, redes que utilizan tecnología de Internet móvil, otras redes, big data y otras plataformas de sistemas. Además, la red como objeto de clasificación también debe cumplir tres características básicas: en primer lugar, tiene un cierto organismo de responsabilidad de seguridad, en segundo lugar, transporta aplicaciones comerciales relativamente independientes y, en tercer lugar, contiene muchos recursos interrelacionados;
De acuerdo con las "Pautas de calificación 2.0", después de cumplir con las características básicas anteriores, los objetos clasificados aún deben cumplir con los requisitos pertinentes. Las redes de información básica, como las redes de telecomunicaciones, las redes de transmisión de radio y televisión e Internet, deben dividirse en diferentes objetos de clasificación según factores como el tipo de negocio, el área de servicio y las entidades de responsabilidad de seguridad. Las redes privadas comerciales interprovinciales pueden clasificarse como. un todo, o se pueden clasificar según regiones divididas en varios objetos.
Para los sistemas de control industrial, factores como la adquisición/ejecución en campo, el control de campo y el control de procesos deben calificarse en su conjunto, mientras que los factores de gestión de la producción pueden calificarse individualmente. Para las plataformas de computación en la nube, deben dividirse en proveedores de servicios e inquilinos, cada uno de los cuales es un objeto jerárquico. Para Internet de las cosas, aunque incluye muchos factores característicos como la percepción, la transmisión de red, el procesamiento de aplicaciones, etc., los factores anteriores aún deben considerarse como un objeto de puntuación general y cada factor no debe calificarse por separado. Las redes que utilizan tecnología de Internet móvil son similares a la Internet de las cosas, por lo que los terminales móviles, las aplicaciones móviles, las redes inalámbricas y los sistemas comerciales de redes cableadas relacionadas deben clasificarse en su conjunto. Para big data, excepto las plataformas y aplicaciones con la misma responsabilidad de seguridad, deben calificarse por separado.
Nivel de Red
El "Reglamento de Igualdad de Protección" sigue el sistema de protección de seguridad de cinco niveles establecido en las "Medidas Administrativas", pero fortalece aún más la protección de los derechos e intereses legítimos de ciudadanos, personas jurídicas y otras organizaciones. Las "Medidas Administrativas" no estipulan en el texto principal cómo clasificar cuando se destruyen sistemas de información, lo que causará daños particularmente graves a los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones. La "Guía de Clasificación 1.0" sólo muestra que el citado sistema de información debe figurar como Nivel 2 en la tabla de relaciones entre elementos de clasificación y niveles de seguridad, mientras que las "Normas de Seguridad Equivalentes" se han modificado en consecuencia. Se clasificarán los ciudadanos, personas jurídicas y otras organizaciones cuando los objetos protegidos por la clasificación resulten dañados. Consulte la siguiente tabla para obtener puntuaciones específicas:
Obligaciones de protección de la seguridad de la red
El artículo 5 de las "Medidas de gestión" estipula que las unidades operativas y de usuario del sistema de información deberán realizar la seguridad de la información de acuerdo con las "Medidas" y normas pertinentes Deberes y responsabilidades de protección jerárquica, pero las obligaciones correspondientes no están claras. Como norma de apoyo a la Ley de Ciberseguridad, el Reglamento de Igualdad de Protección sigue las disposiciones existentes de la Ley de Ciberseguridad y establece disposiciones detalladas sobre las obligaciones generales y especiales de protección de la seguridad de los operadores de red, la adquisición de productos y servicios de red y la formulación de emergencias. planes.
En cuanto a las obligaciones de protección de la seguridad, además de lo claramente estipulado en el artículo 21 de la Ley de Ciberseguridad, los operadores generales de redes también deberán: 1. Establecer un sistema de gestión de seguridad y protección técnica, establecer sistemas de gestión de personal, educación y capacitación, construcción de seguridad de sistemas y sistemas de operación y mantenimiento de seguridad de sistemas; 2. Implementar sistemas de gestión de seguridad de salas de computadoras, gestión de seguridad de equipos y medios, y sistemas de gestión de seguridad de redes; formular especificaciones operativas y procesos de trabajo; 3. Tomar medidas de protección al recopilar, utilizar y procesar información personal para evitar que la información personal sea filtrada, dañada, manipulada, robada, perdida y abusada; 4. Implementar medidas tales como descubrimiento, bloqueo y eliminación; de información ilegal para prevenir la difusión de información ilegal y actividades ilegales. 5. Implementar medidas como el descubrimiento, bloqueo y eliminación de información ilegal para evitar la difusión masiva de información ilegal y su pérdida. de pruebas ilegales y criminales. Además de las obligaciones anteriores, los operadores de red por encima del Nivel 3 también deben centrarse en implementar el sistema de certificación y revisión de antecedentes de seguridad para los líderes de gestión de seguridad de la red y el personal técnico clave, y realizar evaluaciones de nivel periódicas.
Cuando los operadores de red compran productos y servicios de red, deben comprar y utilizar productos y servicios de red que cumplan con las leyes, regulaciones y estándares y especificaciones nacionales pertinentes. Los operadores de red de nivel 3 y superiores deben utilizar productos y servicios de red que sean acordes con sus niveles de protección de seguridad, y también deben confiar a instituciones de evaluación profesionales la realización de pruebas especiales de los productos de red utilizados en partes importantes. El "Catálogo de Equipos de Red Críticos y Productos Especiales de Seguridad de Red (Primer Lote)" que entró en vigor el 17 de junio y la "Certificación de Seguridad y Seguridad de Equipos de Red Críticos y Productos Especiales de Seguridad de Red" emitidos por la Administración Nacional de Certificación y Acreditación y otros cuatro departamentos el 18 de marzo Directorio de instituciones de pruebas (primer lote)". Por lo tanto, se recomienda que los operadores de red al comprar productos y servicios de red exijan a los proveedores que proporcionen certificaciones de seguridad o certificados de prueba emitidos por organizaciones profesionales para reducir los riesgos legales de las operaciones.
En cuanto a la formulación de planes de emergencia, los operadores de red de Nivel 3 o superior deben formular planes de emergencia de seguridad de red de acuerdo con las regulaciones nacionales pertinentes y realizar simulacros de emergencia de seguridad de red con regularidad. Además de registrar y retener datos e información sobre incidentes de manera oportuna e informar a los órganos de seguridad pública y a las autoridades de la industria, los operadores de red también deben brindar apoyo y asistencia para el manejo y recuperación de incidentes importantes de seguridad de la red.
De acuerdo con el "Plan de contingencia para emergencias de seguridad de Internet" del Ministerio de Industria y Tecnología de la Información, al informar información sobre incidentes de seguridad de la red, también se debe explicar el momento del incidente, el alcance y los peligros del juicio inicial, las medidas de emergencia tomadas y las sugerencias relevantes. .
Requisitos de protección de seguridad de la red
En los últimos años, con el rápido desarrollo de la inteligencia artificial, el big data, el Internet de las cosas y la computación en la nube, las tendencias y situaciones de seguridad han cambiado rápidamente. /T22239-2008 "Requisitos básicos para la protección del nivel de seguridad de la tecnología de seguridad de la información del sistema de información" (denominado Nivel de seguridad 1.0) ya no se aplica a los requisitos de seguridad actuales. Desde 2015, el estándar 2.0 se ha desarrollado gradualmente para los requisitos de seguridad de nivel de protección, que incluye cinco partes: requisitos de seguridad generales, requisitos de expansión de seguridad de la computación en la nube, requisitos de expansión de seguridad de Internet móvil, requisitos de expansión de seguridad de Internet de las cosas y expansión de seguridad de control industrial. requisitos. 2065438 En agosto de 2007, basándose en las opiniones de la Administración del Ciberespacio de China y el Comité de Normas de Seguridad, el Centro de Evaluación del Ministerio de Seguridad Pública fusionó los cinco requisitos básicos para la protección graduada en un estándar, "Requisitos básicos para la protección graduada de la ciberseguridad". " El Estándar de Protección Igual 1.0 se centra más en los requisitos de protección, mientras que el Estándar de Protección Igual 2.0 es más adecuado para el desarrollo de la situación actual de seguridad de la red. En combinación con los requisitos de monitoreo continuo, inteligencia de amenazas y respuesta rápida de la Ley de Ciberseguridad, se proponen medidas de implementación específicas.