Benutzer:LuSandyL/Multi-Level Protection Scheme 2.0 (MLPS 2.0)
Das Multi-Level Protection Scheme 2.0 (MLPS 2.0) ist das chinesische System zur Gewährleistung der Netzwerksicherheit nach dem Cybersicherheitsgesetz der VR China.[1] Rechtliche Basis ist Artikel 21 des Cyber Security Law (CSL). [2] Nach diesem Gesetz müssen alle Unternehmen ihr Netzwerke nach den im Artikel 21 CSL aufgeführten Kriterien sichern.[3]
Betroffene Entitäten
[Bearbeiten | Quelltext bearbeiten]Alle Arten von Informationssysteme sind zu sichern, einschließlich der offizielle Website, des OA-Systems, des CRM-Systems, des ERP-Systems und der Geschäftsbetriebssysteme. Betreiber kritischer Informationsinfrastrukturen und Netzwerkbetreiber sind verpflichtet Sicherheitsschutzverpflichtungen gemäß den Anforderungen des MLPS 2.0 zu erfüllen.[4] Dies bedeutet, ihr Netzwerk vor Störungen, Schäden oder unbefugtem Zugriff zu schützen und zu verhindern, dass Netzwerkdaten durchsickern, gestohlen und/oder manipuliert werden. Das MLPs betrifft alle in China tätige Unternehmen, sowie alle Branchen: einschließlich, aber nicht beschränkt auf Finanzen, Automobil, produzierendes Gewerbe, Elektrizität, Rundfunk, Medizin, Bildung usw.;[5]
Rechtsfolge
[Bearbeiten | Quelltext bearbeiten]Die Erfüllung der Sicherheitsschutzverpflichtungen im Rahmen von MLPS 2.0 bedeutet, dass die chinesischen Sicherheitsbehörden den Sicherheitsstatus des Systems anerkennen und die Betreiber im Falle eines Sicherheitsvorfalls frei von Verantwortung sind. Im Gegensatz dazu bedeutet die Nichteinhaltung der Sicherheitsschutzverpflichtungen, dass das System die nationalen Sicherheitsanforderungen nicht erfüllt. Sobald ein Sicherheitsvorfall eintritt, tragen die Betreiber die Hauptverantwortung und die Netzaufsichtsbehörde verhängt direkt eine Strafe. Dies kann eine Geldstrafe oder der Entzug der Geschäftslizenz sein.[6] Das Regulierungssystem für Daten- und Cybersicherheit zwingt alle Unternehmen dazu, sicherzustellen, dass ihre Systeme dem Standard unter MLPS 2.0 entsprechen.
Sicherheitsstufen des Informationssystems
[Bearbeiten | Quelltext bearbeiten]Der Schutz des nationalen Informationssicherheitsniveaus folgt dem Prinzip der unabhängigen Einstufung und des unabhängigen Schutzes. [7] Die Beurteilung der Schutzstufe von Informationssystemen erfolgt durch den Grad der Bedeutung für die nationale Sicherheit, für den wirtschaftlichen Aufbau und das gesellschaftliche Leben.[8] Im Falle einer Beschädigung eines Informationssystems sind zudem die Nationale Sicherheit, die gesellschaftliche Ordnung, der Grad der Schädigung des öffentlichen Interesses, die legitimen Rechte und Interessen von Bürgern, juristischer Personen und anderen Organisationen Faktoren für die Einstufung.[9]
Das Sicherheitsschutzniveau von Informationssystemen wird in fünf Stufen eingeteilt;[10] je höher die Stufe, desto mehr Verpflichtungen müssen erfüllt werden.[11]
Umsetzung des MLPS 2.0
[Bearbeiten | Quelltext bearbeiten]1. Einstufung der Informationssysteme: Festlegung des Umfangs der betroffenen Informationssysteme, Analyse der Sicherheitsanforderungen an die Informationssysteme, Erste Einstufung der Informationssysteme und Ausfüllen der Ablagematerialien.[12]
2. Archivierung durch die öffentliche Sicherheitsbehörde: Organisation der Experten zur Überprüfung der Einstufung, Einreichung der Unterlagen bei der öffentlichen Sicherheitsbehörde, Überprüfung und endgültige Einstufung durch die öffentliche Sicherheitsbehörde.[13]
3. Lückenanalyse und Anpassung: Gap-Analyse basierend auf den Sicherheitsanforderungen der Systemebene, Entwurf eines Behebungsplans basierend auf der Problemliste der Lückenanalyse, Produktbeschaffung, Bereitstellung der Sicherheitskonfiguration und Bearbeitung des Managementsystems.[14]
4. Sicherheitsbewertung: Bewertung durch autorisierte Bewertungsinstitution zur Überprüfung und Ausstellung des Bewertungsberichts, Einreichen des Bewertungsberichts an die öffentliche Sicherheitsbehörde.[15]
5. Inspektion der Behörde: Unregelmäßige Sicherheitskontrollen durch die Abteilung für die Überwachung der öffentlichen Sicherheitsbehörde.[16]
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ Dan Swinhoe: China’s MLPS 2.0: Data grab or legitimate attempt to improve domestic cybersecurity? 28. Oktober 2019, abgerufen am 17. März 2021 (englisch).
- ↑ 中华人民共和国网络安全法-北大法宝V6官网. Abgerufen am 6. Juli 2021.
- ↑ Multi-Level Protection Scheme: China zwingt Unternehmen zur Datensicherheit. In: China Intellectual Property Blog. 19. November 2020, abgerufen am 17. März 2021 (deutsch).
- ↑ Dan Swinhoe: China’s MLPS 2.0: Data grab or legitimate attempt to improve domestic cybersecurity? 28. Oktober 2019, abgerufen am 17. März 2021 (englisch).
- ↑ Multi-Level Protection Scheme: China zwingt Unternehmen zur Datensicherheit. In: China Intellectual Property Blog. 19. November 2020, abgerufen am 17. März 2021 (deutsch).
- ↑ 公安部: 网络安全等级保护. In: National Internet Security Management Service Platform. National Internet Security Management Service Platform, 27. Juni 2018, abgerufen am 17. März 2021 (chinesisch).
- ↑ 网络安全等级保护介绍_CNLinkChina的博客-CSDN博客. Abgerufen am 17. März 2021.
- ↑ Herbert Smith Freehills LLP-Mark Robinson, N, a Lau, James Gong: China cybersecurity and data protection: monthly update - Feb 2021 issue | Lexology. Abgerufen am 17. März 2021 (englisch).
- ↑ How Companies Are Reacting to China’s New Data Security Scheme. In: China Business Review. 3. April 2020, abgerufen am 17. März 2021 (amerikanisches Englisch).
- ↑ 网络安全等级保护介绍_CNLinkChina的博客-CSDN博客. Abgerufen am 17. März 2021 (chinesisch (China)).
- ↑ Big data expert takes over as China’s new cybersecurity chief. In: China Economic Review. 26. September 2019, abgerufen am 17. März 2021 (amerikanisches Englisch).
- ↑ 网络安全等级保护介绍_CNLinkChina的博客-CSDN博客. Abgerufen am 17. März 2021.
- ↑ 网络安全等级保护介绍_CNLinkChina的博客-CSDN博客. Abgerufen am 17. März 2021.
- ↑ 网络安全等级保护介绍_CNLinkChina的博客-CSDN博客. Abgerufen am 17. März 2021.
- ↑ 网络安全等级保护介绍_CNLinkChina的博客-CSDN博客. Abgerufen am 17. März 2021.
- ↑ 网络安全等级保护介绍_CNLinkChina的博客-CSDN博客. Abgerufen am 17. März 2021.