IDC通过数据和算法将现实世界数字化,在数字化的过程中,IDC运营商通常扮演着数据处理者的角色。正是这个角色定位,令IDC运营商常常误以为只有终端用户才是数据的所有者,才需承担网络安全保护义务。
而事实上,现如今的IDC运营商处理的数据数量庞大、种类繁多,特别是云服务行业的IDC,不仅管理着自身平台的海量数据,且向终端用户提供网络产品和服务,已不再是单纯的数据处理者。
根据我国《网络安全法》第七十六的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。显然,IDC运营商是《网络安全法》规定的网络运营者。《网络安全法》第二十一条另有规定,我国网络运营者应当按照网络安全等级保护制度的要求,履行相应的安全保护义务。
因此,IDC运营商作为网络运营者在提供多样化服务时,自然也应当将网络安全等级保护的相关要求作为其合规工作中的一个重要方面。
如果IDC运营商未能按照相应的等级保护制度开展工作,将会面临《网络安全法》、《等级保护条例》规定的责令改正、警告、约谈、罚款等行政处罚,严重者可能触犯《刑法》,承担三年以下有期徒刑、拘役、管制、罚金等刑事责任。
网络安全等级保护规范体系
现阶段,我国网络安全等级保护的规范由法律法规和国家部委发布的国家标准构成。
在立法层面,与其他互联网业务相同,相关主体均受《网络安全法》、《网络安全等级保护条例(征求意见稿)》等安全保护相关立法的规制。
在国家标准层面,2019年5月13日,国家信标委等机构正式发布相关核心标准,与《网络安全法》、《网络安全等级保护条例(征求意见稿)》等一起构成等级保护2.0规范体系,为IDC建设运营者落实网络安全等级定级、备案、测评以及整改等工作提供了系统化的指导。
以下是梳理后的等级保护2.0的规范体系:
数据中心(IDC)等级保护定级
我国现有等级保护定级采取自主定级申报模式,对每个系统单独定级,并以较高者确定最终等级。另外需要注意的是,IDC的网络系统无论是公网,还是私网,只要具备联网功能都要定级。
由此,IDC运营者在适用网络安全等级保护的相关规定时,首先应对本单位的网络系统进行梳理,再根据相关标准自主确定本单位的等级保护对象、等级保护方法、以及等级保护理由,最后到相关部门完成备案。
我国等级保护制度根据等级保护对象(受侵害客体)受到的破坏后对客体造成侵害程度(受客体侵害程度)的不同,将信息系统安全等级共分为五级,具体如下:
另外,我国等级保护制度针对部分特殊对象也提出了与之相应的特殊要求,运营者对此需要格外关注,我们理解该等特殊要求必定是相关部门审批的重中之重。
作为“新基建”的核心领域,IDC自带公益属性,其通常会涉及大量国家重点关注行业和公众领域的数据,一旦IDC遭到破坏、丧失功能或者泄露,将可能导致严重危害国家安全、国计民生、公共利益的后果,因此IDC大多也会被列入关键基础设施(CII)的规制范畴。
当我们将《网络安全等级保护条例(征求意见稿)》与《关键信息基础设施安全保护条例(征求意见稿)》等文件相比对时,就不难发现,等保三级的合规要求与关键信息基础设施(CII)的合规要求在逐渐趋同,但是等保三级的规制范围更为广泛,也就是说,符合等保三级并不一定会被认定CII,但是CII一定会被定级为等保三级或以上。
综上,建议IDC运营者按照网络安全等级三级以上进行定级、并按照更严格的标准开展网络安全保护工作较为妥当。
等保测评网等已经为医疗、政府、教育等行业客户完成等级保护建设,帮助行业用户持续有效地保持合规状态,为用户带来更大的安全价值。通过一站式、全流程的等保测评服务,帮助用户提供通过“过保”服务,帮助企业快速、省心地通过等保合规建设。
