6月27日,动脉网(公众号:vcbeat)了解到,为贯彻落实《中华人民共和国网络安全法》,深入推进实施国家网络安全等级保护制度,经广泛征求意见,反复研究修改,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》(以下简称“条例”)。据悉,本《条例》由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定,并向社会公开征求意见。本次《条例》的发布,距离上一版的管理办法已经过去了11年时间。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了第一版的《信息安全等级保护管理办法》(以下简称“办法”)。
按照《办法》要求,信息系统的安全保护等级分为了以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
据公安部网络安全保卫局总工郭启全透露,和之前第一版的《办法》相比,2.0版的《条例》纳入了《中华人民共和国网络安全法》规定的重要事项;另外,《办法》只针对网络和信息系统,《条例》则把云计算、大数据、物联网等新业态也纳入了监管;此外,《条例》还把监管对象从体制内拓展到了全社会。
《条例》还在具体条例上增加了新要求。比如,《办法》中对于信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害的情况,最高保护等级只到第二级。《条例》则将“会造成特别严重损害”的情况下,信息系统应采取的保护等级提高到第三级。郭启全认为,这是《条例》“最大的变化”。
《条例》还下调了等级测评周期。“原来第三级网络的运营者一年测评一次,第四级半年一次,刚测完又要测”,郭启全说,《条例》把上述规定改为“第三季以上网络的运营者应当每年开展一次网络安全等级测评”。
动脉网判断,本次《条例》的发布,将对医疗信息化行业带来较大的变革。
2011年,国家卫生计生委(原卫生部)印发了《卫生行业信息安全等级保护工作的指导意见》。该《意见》按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)要求,由卫生部结合卫生行业实际,研究制定。
《意见》中提到,要依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作。
其中国家信息安全等级保护制度将信息安全保护等级分为五级:
第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
而一些重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
该《意见》的推出,第一次真正意义上指导了医疗行业的网络安全管理。
本次《网络安全等级保护条例(征求意见稿)》的推出,堪称云、大、物、移、智时代的一次最大的网络安全等级革新。而医疗信息化产品,或将在此基础上,在网络安全方面进行全面的更新换代,为新一代的互联互通产品打下坚实的基础。
附:《网络安全等级保护条例(征求意见稿)》下载地址