甲方人员角度解读网络安全事件报告管理办法(征求意见稿)
国家互联网信息办公室发布了关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知。征求意见稿(以下简称管理办法)的内容中最引人注目的无疑是必须在发生可达到上报级别的网络安全事件后1小时内上报的要求。
其实笔者多年经验下来,对此要求已经相当熟悉,看到管理办法的第一反应是在经过了充分实践后,该时限要求终于上升为底线级别的网络安全管理要求了。
笔者:国际认证信息系统审计师、软考系统分析师
先附上通知全文网址:
http://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm
自管理办法发布以来,各种网络安全相关自媒体都对管理办法做了解读,但在笔者看来,这些解读的乙方色彩太过于强烈。
解读的重点应该是在运营者也就是甲方企业组织角度,尤其是甲方网络安全管理和执行人员自身的岗位职责出发去理解管理办法,对于1小时内上报的要求,有什么难点,如何能确保满足该底线要求?
阅读本文需要对网络安全法律法规、等级保护体系和相关标准有初步的了解。
比如管理办法的第一至三条的内容,明确了上位法律法规、责任主体和各级网信部门职责,这些只要是对网络安全工作有所了解的都应该很清楚。
又如管理办法的第十二条,“本办法所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。”,其实这并不是对网络安全事件给出了什么新定义,而是对于网络安全等级保护管理体系来说,该定义本来就如此。所以等保测评要看物理环境。
因此,本文不对管理办法中已经属于常识性的内容进行解读。为贴近行业习惯,会掺杂用“甲方”指代管理办法中的“运营者”。
之所以一开始是讨论应急预案,我们要仔细看看管理办法第四条的内容。
|
第四条 运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。 网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。 网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。 其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。 有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。 发现涉嫌犯罪的,运营者应当同时向公安机关报告。 |
对于以上条文内容,大多数人只看到了时限要求。但第四条要关注的并不仅仅是上报的时限,应首先关注:
应急预案。
按网络安全等级保护管理体系标准 GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》[1](以下不严谨地简称《20269》)的 5.6.2 安全事件处理 条款要求,实施等保2级保护应建立安全事件处置制度,制定处置预案。在信息安全事件发生后,按预案分等级进行响应和处置,并通过适当的管理渠道报告等。
由此可见,应急预案的内容本来就应该包括对网络安全事件的分级定义和逐级上报的内容。
因此,在笔者理解,本次监管部门出台管理办法,是对网络安全等级保护管理体系要求的再次明确和提升。
对于甲方网络安全管理人员,应对照管理办法的要求修订自己的网络安全应急预案内容,明确分类和上报途径。在发生网络安全事件时立即启动应急预案,并按预案设定进行应急处置和上报,做好该做的事,这才是合规管理。
要做好事件报告,还要准确界定事件报告的分类分级要求,共有4点:
1、网络和系统性质:网络和系统归属中央和国家机关各部门及其管理的企事业单位的、网络和系统为关键信息基础设施的、其它的。
2、安全事件分级:属于较大、重大、特别重大三种级别的。
3、报告的对象:国家网信部门、中央和国家机关各部门网信工作机构、关键信息基础设施保护工作部门、公安机关、属地网信部门、行业主管监管部门等。
4、时限落点:(事发单位)事件发生时刻起的一小时内、(接报单位)接报时刻起的一小时内。
以上4项需要运营者能对号入座。
对于大多数甲方而言,会落在第四条的“其他网络和系统运营者应当向属地网信部门报告”范围内,并取决于网络安全事件的分级是否达到了“较大”或以上级别而执行上报。
如果甲方是业务面涉及范围较广的大型集团化企业,更需要对集团管理范围内每一套网络和系统分别确定其事件报告的具体要求,而不是千篇一律地用几句话去简单确定。
第四条的内容中还有一个要点:
“事件发生时刻”。
我们先看看第五、六两条,结合起来理解。
|
第五条 运营者应当按照《网络安全事件信息报告表》报告事件,至少包括下列内容: (一)事发单位名称及发生事件的设施、系统、平台的基本情况; (二)事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等; (三)事态发展趋势及可能进一步造成的影响和危害; (四)初步分析的事件原因; (五)进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等; (六)拟进一步采取的应对措施以及请求支援事项; (七)事件现场的保护情况; (八)其他应当报告的情况。 第六条 对于1小时内不能判定事发原因、影响或趋势等的,可先报告第五条第一项、第二项内容,其他情况于24小时内补报。 事件报告后出现新的重要情况或调查取得阶段性进展,相关单位应当及时报告。 |
首先应该清晰的是,第五条的报告内容对于甲方网络安全管理人员也是一道坎,即使按第六条弱化为只报告第(一)、(二)两个细项,但如果没有平时良好的管理积累,临急还是可能会根本报不出来。
而且,兹事体大,绝不可能胡乱凑个内容去上报,否则后果更严重。
对于(一)细项,要求运营者也就是甲方企业组织必须做好网络安全的资产管理,准确掌握资产清单。可参见《20269》5.3.2.1 资产识别和分析、5.4.2.1 资产清单管理等条款内容。
对于(二)细项,要求运营者对网络安全事件的直接情况有基本的了解,并能有最起码的处置措施。可参见《20269》5.6.2.2 安全事件报告和响应条款内容。
在该项中,“事件发现或发生时间”是比较微妙的要求,要结合在管理办法第四条中的“事件发生时刻”以及事件性质分类去理解。
除非未卜先知,否则网络安全事件的发现时间必然滞后于发生时间。但从意义上看,发生时间的意义远大于发现时间。这是因为:1)发现时间越贴近发生时间,事件造成的危害就可能越小;2)准确的发生时间对后续的事件调查处置帮助更大。
同时,对于不同类别的网络安全事件,确认准确的发生时间的方式各不相同。
如果是隐蔽的攻击行为,确认发生时间可能需要查阅大量的系统日志,在1个小时内能准确确认并不现实。
但如果是对社会公众产生影响的事件,典型如黑客刻意公开的网站篡改事件,发生时间和发现时间就是同步的。这种情况对甲方企业组织的发现能力是严峻的考验。
如果社会公众、公安部门都已经发现情况了,自己还懵然不知,这一个小时很快就过去了。
如前所述,在事件报告内容收窄至只报送(一)、(二)两细项时,至少需要报告事件的影响和危害、措施和效果这些关键情况。
影响和危害、措施和效果,这两者是相互对应的,是安全事件的基本和直接的情况。但并不是随便写两笔就行,而是有潜在要求的:
影响和危害:应对照网络安全事件分级指南的内容确定。
措施和效果:有没有控制和防止事态进一步扩大,同时尽可能消除影响。
还是典型如网站篡改事件,关键措施是把涉事资产断开网络,同时保留现场(不关机),这样就实现了迅速消除影响和控制事态扩大。
要做到、做好这个要求,甲方还是得回到等保体系上,按《20269》5.6.2.1 安全事件划分 的条款内容:“根据不同安全保护等级的信息系统中发生的各类事件制定相应的处置预案”,才能应对不同的安全事件,准确评估其影响和危害,采取恰当的处置措施并获得有效的结果。
回头再看看第三至第八项报告内容。这6项内容需要有足够的网络安全专业技术水平才能准确产生,显然会超出了大多数甲方自有的能力。
在这一点上,对从事网络安全运维服务且具备满足这6项内容能力要求的乙方是一种利好。
管理办法的第七条:
第七条 事件处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。 |
这是对运营者网络安全管理能力在安全事件应对方面的综合性要求。不仅考验网络安全管理体系的有效性,还同时考验运营者分析归纳总结能力和写作能力。
所以我觉得在GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》[2] 标准里面列出的能力要求还不够,还应该加上公文写作。
只会做不会写(说)确实不行。
跳转阅读:解读 GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》
(话说我是没想到我对42446的解读这么引人关注,看来大家都挺关心职业未来)
网络安全事件的总体态势,从影响力来说是一年比一年严重。因此世界各国尤其是发达国家和地区都以及把网络安全事件以公共安全事件的性质看待。
例如之前我这也提到过的,美国证券交易委员会发布行政命令要求发生了有实质影响的网络安全事件的上市公司需要在4天内向其报告事件情况,并对太阳风公司就其发生的网络安全事件提起民事诉讼:
本次制定的管理办法也明确了这一点,见第八、九两条。
|
第八条 为运营者提供服务的组织或个人发现运营者发生较大、重大或特别重大网络安全事件时,应当提醒运营者按照本办法规定报告事件,运营者有意隐瞒或拒不报告的,可向属地网信部门或国家网信部门报告。 第九条 鼓励社会组织和个人向网信部门报告较大、重大或特别重大网络安全事件。 |
这两条的意义在于把网络安全事件的性质确切地提升到公共安全事件性质。并且从法规上明确了甲乙双方以至社会公众的权力和义务。
因此,在发生网络安全事件时,不能隐瞒不报。
处罚和免责是网络安全管理一直以来的重点话题。我们看看管理办法第十条和第十一条的内容:
|
第十条 运营者未按照本办法规定报告网络安全事件的,网信部门按照有关法律、行政法规的规定进行处罚。 因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。 有关部门未按照本办法规定报告网络安全事件的,由其上级机关责令改正,对直接负责的主管人员和其他直接责任人员依法给予处分。涉嫌犯罪的,依法追究刑事责任。 第十一条 发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。 |
条文内容中,第十条重点强调了迟报、漏报、谎报或者瞒报可能会被从重处罚,且包括“有关部门”也就是在报告过程链条上的每个单位都需要严格按照管理办法的要求执行报告过程。
对于甲方从业人员,最关心的就是第十一条的免责说明。因为大家都知道,网络安全需要以“小概率必发生”的态度去对待,而且历次攻防演练过来大家都知道,就没打不穿的系统,只是时间问题。
第十一条也明确了,甲方人员在做好管理办法所要求的过程步骤,也就是确保自己做到履职尽责的前提下,可以免除或者从轻追究责任。
但是,作为甲方人员,还必须跳出管理办法的要求,从网络安全等级保护管理体系的角度通盘考虑实现履职尽责。因为:
如果没有严格认真合规执行日常工作的前提,又何来应急情况下的良好应对能力呢?
不妨再想想,要确证日常工作已经履职尽责,是否应该主动开展网络安全审计?
[1] GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=797127310413D5E64517E951AA2CFCDF
[2] GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=AD7E0F02219B63653BF850759A1030C4
本页网址二维码: