近期,起草中的国家标准《重要数据识别指南》发生重大修改。2022年1月7日,全国信息安全标准化技术委员会秘书处组织了对该标准的审议,根据会议意见,编制组已修改形成征求意见稿。本期文章将介绍此次重大修改的基本思路,并经编制组授权首次公布标准当前进展情况。标准正式文本以近期官方网站公布为准。
标准的主要改动体现在,取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。为此,标准编制组进一步调研了全球其他国家在网络安全、数据安全领域制定类似标准的情况,并选择了美国制定的《国家安全系统识别指南》作为参照。该指南已运行13年之久,其可操作性已得到充分证明。目前,《重要数据识别指南》的起草思路与其类似。
一、美国制定“国家安全系统”识别指南的背景
一些人关心,美国对信息系统是如何分类以及如何保护的?各部门分工如何?简言之,美国目前将信息系统分为国家安全系统和非国家安全系统。
美国2002年的《联邦信息安全管理法》对“国家安全系统”作了定义:
(A)指任何由(联邦)机构、(联邦)机构的合同商或其他代表(联邦)机构的组织所使用或运行的信息系统(包括任何电信系统)——
(ⅰ)其功能、运行或使用——
(Ⅰ)涉及到情报活动;
(Ⅱ)涉及到与国家安全相关的密码活动;
(Ⅲ)涉及到军队的指挥和控制;
(Ⅳ)涉及到武器或武器系统的装备;或
(Ⅴ)对直接实现军队或情报使命至为关键的装备;
(ⅱ)含有根据行政令或国会法案制定的准则、出于对国防或外交政策利益而被列为涉密的信息,这些系统要持续得到特定流程的保护。
(B)第(A)(ⅰ)(Ⅴ)中的系统不包括用于日常行政管理与事务处理的系统(包括薪水支付、财务、后勤和人事管理应用)。
美国国家安全系统管理制度的历史沿革如下:
1984年9月17日,美国发布第145号国家安全决定令(NSDD No.145)《关于电信和自动化信息系统安全的国家政策》,该指令在1990年7月5日被第42号国家安全令(NSD No.42)《关于国家安全电信和信息系统安全的国家政策》所取代。NSDD No.145明确了国家安全系统的主管机关和领导,规定由国家电信和信息系统安全委员会(NTISSC)负责国家安全系统的管理。此后,NSD No.42将NTISSC改称为国家安全电信和信息系统安全委员会(NSTISSC)。“911”之后,美国于2001年10月16日发布了第13231号总统令《信息时代的关键基础设施保护》,再次将NSTISSC改称为国家安全系统委员会(CNSS)。
CNSS委员会由负责指挥、通信和情报的助理国防部长担任主席,由来自美国政府各部局的有表决权的代表组成。这些部局的主管将负责指派一名主代表和一位或多位替补代表,来履行委员会的职能并参加其会议或活动。CNSS代表一般包括:总统国家安全事务助理、国务卿、财政部长、国防部长、管理和预算办公室主任、司法部长、商务部长、运输部长、能源部长、中央情报局长、参谋长联席会议主席、国家安全局长、总务管理局长、联邦调查局长、联邦应急管理局长、美国陆军参谋长、海军作战部长、美国空军参谋长、美国陆战队总司令、国防情报局长、国家通信系统总监。
美国的国家安全系统不是孤立存在的,往往分布在各个行政部局中,与大量的非国家安全系统交织在一起。2002年美国颁布的《联邦信息安全管理法》对政府中非国家安全系统的信息安全工作做出了部署。但是,在实践中也出现了对这两类系统区分模糊、导致适用法规文件不明确的问题。为此,美国国家标准和技术研究院(NIST)在2003年8月与国防部联合制定并颁布了NIST 800-59《国家安全系统识别指南》,提出了判断国家安全系统的方法。该指南迄今仍在使用。
二、美国《国家安全系统识别指南》
三、《重要数据识别指南》最新进展
《条例》第二十七条规定,各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。这意味着,各地区、各部门将制定自己的重要数据识别细则,故国家标准《重要数据识别指南》必须是原则性的,触角不能深入到各地区、各部门的具体数据类别之中。
美国《国家安全系统识别指南》的核心思路是,不对国家安全系统进行细致分类,而是从其可能产生的影响角度描述其重要特征。且为了便于操作,其采取了回答问题的方式。这一思路对制定我国标准《重要数据识别指南》提供了很好的借鉴。
为此,《重要数据识别指南》借鉴以上思路进行修改,形成了目前的征求意见稿。
