您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

施建俊:中国网络安全新纪元 如何应对网络安全新挑战|V课堂第59期

发表于:2017-04-11 作者:苏小静 来源:
3月23日,江苏省企业信息化协会【课堂+V课堂】第59期,德勤中国信息风险咨询服务合伙人施建俊就中国网络安全以及如何应对网络安全存在的新挑战展开了精彩分享。

一、分享嘉宾

 德勤中国风险咨询服务合伙人 施建俊

德勤中国风险咨询服务合伙人 施建俊

1. 个人简介

德勤中国风险咨询合伙人、工学博士、上海交通大学信息安全工程学院副教授;

项目管理协会(PMI)和信息系统审计与控制协会(ISACA)会员、上海市政府采购咨询专家。

2. 所获荣誉

在任职上海交通大学信息安全工程学院副教授期间,长期从事信息安全教学和科研工作,曾发表十余篇科研论文,领导过多个国家信息安全研究项目,并曾获得上海市科技进步一等奖。

3. 擅长领域

自2006年加入德勤中国,专业从事信息技术风险管理、信息安全管理、IT服务管理咨询、业务连续性管理、IT外包管理咨询,以及信息系统审计和SOC1/2见证等工作;

在金融银行、高科技行业领域以及云计算等高科技企业提供各类IT咨询服务,尤其在云计算等新技术的风险、安全和合规方面有丰富经验。

二、演讲主题

《中国网络新纪元 如何应对网络安全新挑战》
三、大纲演讲

1.中国网络安全法概述

2.网络运行安全

3.个人信息安全保护

4.如何与信息监管机构的互动

5.分享总结

四、原文实录

原文实录context:

首先,我会跟大家简单介绍一下网络安全法立法的一些背景以及目前的一些现状,然后针对网络安全法当中特别关注的三个领域,网络运行安全、个人信息保护,以及今后与监管机构的互动进行展开,同时总结一下,大家为了有效应对即将到来的网络安全法所应该采取的关键行动。

网络安全法

网络安全法

网络安全法从最初酝酿一直到3次征求意见稿当中大概历时了两年的时间。对于这样一个非常技术性的领域,这样的一个立法工作两年时间是一个非常短、非常迅速的一个时间,也是近年来立法从酝酿到最后正式人大通过时间非常短的一部立法,所以在这个过程当中,大家看到这个法的时候会觉得其中还是有很多待确定的问题。比如说里边还是有诸多的有“关部门”没有给予很明确的界定,诸多技术要求尚未有配套的监管细则和技术标准。所以该法推出来之后很多相关的部门、相关的企事业单位觉得落地困难的地方。

当然,从去年11月份开始一直到现在,很多相关的监管方,包括像网信、公安、银监等,都在针对我们的网络安全法当中所提出的各项要求制定细则。网络安全法的推出,把原来网络安全、信息安全这样一个技术的领域、商业领域当中的问题上升到了一个国家所关注的战略高度,并且将网络安全作为在中华人民共和国境内,不管是建设、运营、维护,还是使用网络的每一个个人,每一个企事业单位所应尽的一项义务,而不仅仅是一个技术的问题或企业内部的管理问题。

网络安全法重点关注内容

网络安全法共有七个章节,第一、第二个章节,明确了一些总体的原则,以及国家和有关的部门所应该做到的一些总体事务;第三章开始,三、四、五明确了网络运营者,每个个人所应该承担的职责和义务;第六章明确了一旦未能尽尽责,所应该承担的责任和相关处罚规定。

从整个网络安全法立法者的意图来看,其中明确了三个核心的概念:

第一,首次明确了网络运行安全这个概念,明确了所有的网络运营者所应该承担的保护义务、自己的职责以及在网络运行当中一些关键的网络设备、网络安全专用设备、专用产品该如何进行相关的保护和部署;同时也明确了所有的主体对于网络安全事件一旦发生后,在应急过程当中所应该承担的职责。

第二、网络安全法当中首次系统地阐述了对个人信息保护的要求。虽然之前其它的一些法律和行业规章中对个人信息保护也有所提及,但是这次的网络安全法把它上升到了一个国家立法的层面,并且阐述得比较完整,包括了个人对自己个人信息的权利,对企事业单位、网络运营者对个人信息的保护要求,以及相关的投诉举报和处理机制和处罚要求等。

第三、在网络安全法中首次明确了每一个相关的单位、个人和网络运营者对安全风险评估,安全事件上报,参与相关演练,并且和有关部门进行信息共享和相关的上报的机制的义务。

关键信息基础设施运营者

在网络安全法当中,首次提出了关键信息基础设施运营者这样一个概念。首先,对于网络运营者来说并不仅是我们通常意义上理解的像电信、互联网公司这样一些对外提供服务的企业,它对于每一个使用到网络,管理网络的企业和个体都有可能涉及其中。各种网络的管理者、运营者、所有者、使用者里边特别强调了一类叫做关键信息基础设施。在网络安全法当中,没有对关键信息基础设施给出明确的界定,但是对关键信息基础设施它所应该承担的职责和义务给出了一些明确的要求。

其中很多要求是非常的高的,什么样的信息基础设施才会被界定为关键信息基础设施?可能是我们很多企业非常关注的,自己会不会被列为这样一个关键信息基础设施,受到比较高的监管要求和关注。根据目前网络安全的主管机构、网信办的一些精神,现在理解关键信息基础设施可能分为三类,包括网站类、平台类和业务类,网站类如我们的党政机关的网站,企事业单位的网站,新闻网站等等,都有可能会认为是关键信息基础设施,因为它是向公众进行展示的。平台类如我们经常使用的QQ、微信这类的即时通讯,淘宝这类网上购物,支付宝这样的网上支付,搜索引擎、电子邮、论坛、地图、音视频等网络服务平台。如果它的注册用户数足够多,活跃用户数量很大,到了一定的门限值之外,也有可能会被认为关键。另外还有一些可能对国计民生产生重大影响的业务类系统。

确定这些类别当中的系统是否属于关键信息基础设施,通常可以有三个步骤,由我们的网络安全主管部门网信办来进行确认:

第一,确定关键业务,就是说这个业务是不是对国计民生,对大众有很大的一个影响。

第二,根据所确定的关键业务来看,支撑这个关键业务的信息系统或者工控系统到底是什么。

第三,根据关键业务对信息系统或公共系统的依赖程度,以及发生安全事件后可能造成的损失,来认定它是否属于一个关键信息基础。

认定的条件非常多,那么有几个关键的数字,可以跟大家分享一下,就目前的一个把握尺度。对于网站内来说,它的判断要求很高,判断准则很多,其中有一个判断数量,比如说你的日访问量是超过100万人次的网站就会认为是一个关键信息基础设施。对于平台类的,比如说你的注册用户数超过了1000万,或者说活跃用户超过100万,就会认为是关键信息基础设施。对于一些交易类的,他的日成交订单额或交易额超过1000万元,就会被判定为是关键信息基础设施。

按照判断标准来看,我们会看到大量的互联网平台,金融机构的信息系统,都有可能会被定义为关键信息基础设施,所以关键信息基础设施的覆盖范围可能是非常广泛的,它们都需要遵循比较高的网络安全法当中所提出的网络运行安全的要求。

网络安全法目录

的网络运行安全关键性要素

下面我们来看一下其中所提到的网络运行安全当中所特别关注的一些要点,网络安全法当中关于网络服务提供者,即通过网络提供服务的表述的覆盖范围实际上是非常广泛的。它可以指向任何使用网络为媒介提供服务的主体,这不仅包括以网络在线业务为主体的这种互联网企业。比如说应用商店、电商、网约车平台等等,也有可能包括因其线下业务向线上延伸,而同样需要借助网络的一些传统的线下企业,甚至于制造业企业。

因此,网络安全法基本上覆盖了当前网络服务业态的各个方面。我们会看到对于一个普通的网络运营者来说,这里的网络运营者包括了网络的所有者、管理者以及网络服务的提供者,不仅仅是拥有者这么简单。同时,对于像网络防病毒、网络防入侵、数据分类、备份加密、网络事件的应急预案,网络设备和产品的选型选择,以及在服务提供过程当中的实名制注册以及所选用的网络、安全产品和服务,须符合相关的国家强制标准的要求等等。应该说大多数内容都是比较常见和普通的一些网络全要求,之前很多企业也都是这么做的,除了一些像实名制、产品的一些选型要求等等,可能不太注意,很多工作日常可能也都在做,但是现在成为一个法律要求之后,任何一个网络的相关的运营者、所有者、管理者都成为一项法定的义务。

对关键信信息基础设施运营者而言,除了要做到一般的网络运营者所应尽的义务之外,它还有更高的一些要求,可以看到在一些点上提出了明确的要求。比如说在人员上,提出了专门的安全机构和专门的信息安全的专岗人员,并且对相关的人员要进行定期的培训和考核,尤其是安全相关的管理和技术人员。对于相关的系统,它的系统的可靠性,数据的容灾备份,相关的应急预案,定期演练的要求等等,也是给出了明确的一个法律的要求。在采购相关的网络安全产品和服务的时候还提出了安全审查的义务,在采购供应商的关键产品和服务的时候,提出了需要将相关的(安全审查的义务)。

对关键信息基础运营者还强调了一个特别重要的概念,就是数据跨境传输的要求,对于所有的在中华人民共和国境内所收集或者是产生的个人信息以及其它重要业务数据,必须首先在中华人民共和国境内进行存储。如果说确因业务需要向国外进行传输,则要经过有关部门的安全评估和审查备案。这一点是很多跨国企业在国内开展业务,或是国内企业走出去的过程当中需要全球共享信息的时候,可能会遇到的一个新的合规的挑战。

目前,数据跨境传输的问题,网信办正在牵头有关部门和各行业的监管组织制定细则,这个问题到现在还没有一个明确的答案,但是至少有一点:在国内必须要留存相关的数据,直接存放在境外的行为在2017年6月1号之后会成为一个违法的行为。

有一点需要强调,对于关键信息基础设施运营者而言,法规里边提出了多处定期开展风险评估、信息安全评估等要求,就是说你必须要接受国家或者相关第三方对你的定期监督检查,并且相关的结果要及时和有关部门进行沟通,确保整个的运营过程当中持续的安全与合规。这些要求以前可能都是散落在不同行业监管组织的一些部门规章里边,但现在这些变成了意向普遍的法律要求。

网络运行安全

接下去我们来看一下网络运行安全。网络安全涉及的点非常多,但里边有几个关键点跟大家进行一些分享:

第一个是关于数据安全。我们注意到在网络安全法当中有多个条目都提到了数据安全,包括强调了我们每一个网络运营者都有义务来维护整个数据的完整性、保密性和可用性等。防止数据的泄密或者说被盗窃篡改,并且要求对数据进行分类,对于重要数据要进行备份、加密等措施进行保护等。

网络数据安全框架

同时,对于重要系统要进行容灾备份,对于个人信息提出了明确的安全管理要求。如何才能系统化地应对网络安全法当中对数据安全所提出的要求呢?我们认为整个企业应该有一个数据安全的治理框架来进行一个明确的应对,否则,很容易注意到这个点却疏忽了另外一个点。

网络数据安全框架

整个的核心是数据的分类、分级的框架,即任何一个企业必须要对自己企业所采集、生成、使用和可能分享的数据要有清晰的了解,要知道企业自己到底有哪些数据,这些数据它的重要程度到底是怎么样的,因此首先要有一个分类、分级的框架。有了这个框架之后,大家可以看一下这张图当中所阐述的一个比较常见的,用来帮助我们维护企业数据安全的总体的一个方法论。

首先,企业要从自己的业务场景出发,对自身的数据进行分类、分级,识别数据的范围,明确需要保护的关键数据到底是什么?同时,要识别数据的使用场景。所谓的使用场景就是数据从它的收集、使用、分享、归档、销毁等生命周期的各个环节当中到底有哪些使用场景?谁会接触到它?它会在哪些载体当中以什么形式存在?哪些使用途径是允许的?哪一些是不允许的?然后根据所识别的风险场景去评估现有的管控措施是否足够应对数据安全的所可能遇到的危险,以及满足相关法律法规的合规性要求。

对于不同要求、不同级别的数据,在其全生命周期当中,都应该遵循一套一致性的安全保护基本要求,也就是分级的要求。我们要针对不同的级别的数据定义对应的安全保护要求,在整个生命周期环境当中确保没有盲点,没有漏洞。对于所识别出来需要实施的管控,应该当对照所制定出来的不同级别的数据安全的标准,制定相关的管控和技术实现蓝图。可能这里边包括各种数据防泄漏的技术体系,用户行为分析体系等,也包括常见的加密、认证体系等,都要针对不同级别的数据,来进行制定不同要求和强度的安全解决方案。

网络安全危机管理框架

有一个非常关键的,也是这次网络安全法当中特别强调的概念。以前针对数据安全,大多数企业强调的都是预防和检测,但是很少有考虑一旦真的发生数据的泄露的情况下,该如何进行应急的处置,是否准备了相关的预案。往往很多企业都是在被媒体或监管捅出来,相关的数据可能已经有造成了大范围的影响,然后手忙脚乱地去进行相关的危机公关和处置。过程中往往缺乏证据保全、根因分析和消除、主动沟通等机制,并没有一个很完整的应对数据泄漏的紧急预案。这一类紧急预案是这次网络安全法中明确要求企业建立的。

强调网络安全事件的应急响应机制是在这次网络安全法当中的一个亮点,它多处提出了需要对网络安全的应急事件有一套明确的管理框架,这样就可避免一些网络安全事件从比较小的程度,但由于缺乏相应的应对的机制,使之慢慢扩大、上升到了一个危机。再好的事前的管控体系也难免会有意外的网络安全事件发生一个健壮的危机防范措施或者说危机管理程序是十分必要的。网络安全事件的发生本身并不是可怕的,怕的是我们在发生的时候处于一种慌乱无序的状态,只要我们企业有一个预先的准备,有一个科学合理和健全的警戒、响应和恢复的机制,并且通过事后的评估吸取经验教训,就可杜绝类似事件的重复发生。

网络安全危机管理框架

上图是网络安全法希望大家所能够做到的程度。为了达到这样一个状态,我们需要在整个网络安全事件的发生前、发生中以及发生后都做到有条不紊,即使发生安全事件,处理的时候也是井然有序。我们要对可能产生的,可能也是无法避免的,各类网络危机事件,做到有条不紊的管理和应对,总体上来说要有六大核心能力:包括对网络危机管理的一个治理能力,合理的科学的应对策略,它们不仅需要书面化的流程,还需要有配套的技术平台,来帮助我们快速的恢复和应对。同时,我们的业务运营要足够的健壮。一方面尽量避免出现相关的危机事件,另一方面在危机事件出现之后,也能够迅速的调整和恢复。另外,要有充分的风险和合规的意识,以及沟通应对的技巧。最后,出问题不怕,怕的是出同样的问题。

网络安全法目录

网络安全法中个人信息保护要求

下面和大家简单看一下网络安全法当中第二个非常关键的领域——个人信息保护。网络安全法对个人信息给出了一个明确的定义,个人信息是指以电子或者其它方式记录的,能够单独或者与其它信息结合,识别自然人个人身份的各种信息,但不限于姓名、出生日期、身份证号码、个人生物识别特征、住址、电话号码等。

里边需要有一个概念跟大家分享,这里边的个人信息和另外一个名词隐私是略有差别的。个人信息可能是一种隐私,但是隐私的信息里边不完全是个人信息,例如个人信息里边的宗教信仰,在中国经常会有表格里边希望大家填一个民族,大家会填一个我是汉族或其他民族。在中国法律里边或者说通常的概念当中民族信息不是隐私信息,但是在有一些国家当中,会认为民族信息、宗教信仰是个人的隐私信息,是受到法律的保护的。所以个人信息和隐私保护的范畴是不完全一样的,这两者是不同的概念,隐私更多是各国法律层面的以及当地风俗习惯的一个概念,而个人信息,更多是信息本身的一个定义。

网络安全法中个人信息保护要求

我们还是根据比较常用的亚太经合组织个人隐私保护的九原则,来看一下这次网络安全法当中相关的法条,它是怎么样进行相关的规定的,这个比较容易理解一些:

首先要有一个框架来预防个人信息或隐私信息的受损,所以在我们法当中要求网络运营者,不仅是关键信息基础设施;同时,所有的网络运营者都要建立相关的投诉举报制度等等,来确保相关的损害,或者说相关的违规行为能够得到及时有效的处理。

于告知原则,法律中明确网络运营者在使用个人信息的时候应该公开自己在收集相关信息过程当中网络运营者应当是合法、正当、必要,不得收集与所提供业务无关的个人信息。现在有很多网站,很多的服务提供者,它们所给出的收集的的理由往往比较牵强。例如大家在安装一些APP的时候,他会要求你同意他使用你的什么什么信息,但是你多想一下的话,他要访问你的一些通讯录,个人的相册等等和它本身提供的服务是未必有关的,以后这类都是违法行为。

对于个人资料使用的过程当中,未经被收集者同意,你是不得向他人提供个人信息的。这一条事实上对于现在很多现在大数据的应用,尤其是对数据进行二次加工的一些企业,是有很大的影响的。虽然说这里明确经过处理之后无法识别特定个人且不能复原的除外,但是目前尚缺乏相关的技术标准或者说判定原则来评估经过什么样的处理就无法识别了。因为国外有很多案例,经过常规的脱敏处理之后的数据,经过多次迭代和关联性分析之后,仍然能够定位到相关的个人。所以说这条原则的使用目前来说还缺乏相关的技术标准的或者配套的法律法规支持,很有可能在实际的应用过程当中会造成一些歧义。

当事人自主选择,你不同意,信息被采集的人应该有自己的一个自主选择权,同意或不同意,而不能通过一些格式合同进行一个很粗暴的一个规定。对于网络运营者收集来的信息,他有义务来保证这些信息不被泄露、篡改和损毁。对于信息的被收集者,如果说他希望能够删掉自己的信息,运营必须要提供这样的功能和技术手段,彻底的删除他的信息,这对于有一些企业实现起来可能还是有难度的。比如说像我们搜索的一些提供者,包括我们很多网络服务的提供者他的信息。

企业构建,个人信息保护能力,经常要问一下自己到底该做什么?通常我们会问一下自己三个问题:

第一、我到底要保护什么?对外可能是要保护我们的客户,我们潜在客户的个人信息,对内可能是保护我们自己员工的、合作伙伴的个人信息。那么保护的目标到底是什么?可能是为了符合我们像网络安全法或者行业的其它一些个人信息的保护要求。还是为了真正的赢得我们客户的信任?从自己的业务角度是需要切实的保障我们的客户数据。到底我们的目标到底是什么?不同的目标可能造成我们实际在推动这项事情时的做法不同。

我们到底该如何保护?一旦界定了我们的保护对象和保护目标,就可以确定我们如何去保护。这里边个人信息的保护和我们前面讲到的另一个重点,数据安全的保护有很多的相同点,也有一些不同点。就相同点来说,个人信息本身也是数据的一种,而且往往会通过数据的分类和分级之后识别为很重要、很关键、安全级别很高的、需要保护的一类数据,所以前述数据安全通用的分类、分级以及数据流图分析方法、风险识别、管控设计等等,同样适合于个人信息保护。但是信息保护不仅仅是一个数据安全保护,它同时也是一个监管合规要求。我们会看到对个人信息保护里面有很多法律义务:我们有使用告知的义务,我们有二次加工和一个是否能够对个人信息进行二次加工、二次利用的这样一个法律的义务等等很多。这些的法律的规定的对个人信息的保护义务又和通常意义上我们自己所产生的业务数据的安全保护要求不完全一样。所以说个人信息的保护和数据安全既有相同点,但又不完全是一回事。

如果要确保个人信息得到妥善保护,复核法律法规的要求以及我们管理层目标,以及对我们客户承诺的落地,需要结合我们自己的相关的管理流程,相关的信息技术,两个方面着手来解决这样有个人信息保护的难题。从管理上来说对个人信息保护它涉及到个人信息的保护的治理架构,就是谁有责任去来管好这个事儿,如何才能管好(安全管理体系),个人信息万一泄露后的处理,客户权益的保障,以及对可能会使用到、利用到我们个人信息的或者说可能会共享的供应商关联方的一个管理等等,涉及面是及其广泛的。

从公司治理层来说,他们需要对个人信息或者隐私保护制定一个总体的策略,到底我们打算对拿来的个人信息做怎样的一个处理,然后围绕着该策略建立对应的治理架构,建设相配套的管理方针、管理流程、技术标准,以确保策略落地。同时要把相关的个人信息保护的意识、要求、技能,通过相关的培训传递到公司内部、外部所可能涉及的使用者,管理者,以及相应的程序设计人员。要做到“Privacy by Design”,就是所谓的从设计之初就把个人信息保护嵌入到整个的系统设计和管理过程中去。在实际操作过程当中,要把我们制定的各种事件通报机制、物理安全机制、数据传递机制、销毁机制、隐私声明等都落到实处,并且通过持续的有效性评估,来保证这些管理要求都能够有效地执行,并且定期的进行优化和调整。

这里跟大家分享一个汽车制造企业的案例。他们在实施个人信息保护的过程中的路径图大致如图所示。他们实施这项工作的初因还不是由于《网络安全法》的出台,而是由于另外一个法规——《新广告法》,它里边也对个人信息保护提出了要求,对企业所收集的个人信息在广告利用当中做出一些明确的限制。所以很多企业家为了遵循相关的法律,已经开始做了这部分的工作,其建设思路和网络安全法的要求基本是一致的。

个人信息保护框架

从公司治理层来说,他们需要对个人信息或者隐私保护制定一个总体的策略,到底我们打算对拿来的个人信息做怎样的一个处理,然后围绕着该策略建立对应的治理架构,建设相配套的管理方针、管理流程、技术标准,以确保策略落地。同时要把相关的个人信息保护的意识、要求、技能,通过相关的培训传递到公司内部、外部所可能涉及的使用者,管理者,以及相应的程序设计人员。要做到“Privacy by Design”,就是所谓的从设计之初就把个人信息保护嵌入到整个的系统设计和管理过程中去。在实际操作过程当中,要把我们制定的各种事件通报机制、物理安全机制、数据传递机制、销毁机制、隐私声明等都落到实处,并且通过持续的有效性评估,来保证这些管理要求都能够有效地执行,并且定期的进行优化和调整。

这里跟大家分享一个汽车制造企业的案例。他们在实施个人信息保护的过程中的路径图大致如图所示。他们实施这项工作的初因还不是由于《网络安全法》的出台,而是由于另外一个法规——《新广告法》,它里边也对个人信息保护提出了要求,对企业所收集的个人信息在广告利用当中做出一些明确的限制。所以很多企业家为了遵循相关的法律,已经开始做了这部分的工作,其建设思路和网络安全法的要求基本是一致的

网络安全法目录

网络安全法中最后的一个要点是网络运营者和监管的互动。这个在之前的其它的法律当中是没有明确提出的,而网络安全法当中很多条款都提出了需要和有关主管部门进行沟通的要求。我们对《网络安全法》的法条进行了一些梳理和总结,如图所示,看到在整个网络安全法当中需要和我们的监管组织进行互动的大概有十一处,其中有五处是针对我们的关键信息基础设施的运营者的,其它的是普适性的。包括我们在发现网络安全漏洞或者说相关的问题的时候,网络的运营者的告知义务;也包括和相关的部门进行协同、协助配合的一个义务,这些相关的事项在以前的法律中是不明确的。

网络安全法中最后的一个要点是网络运营者和监管的互动

今后和监管之间进行打交道的可能不仅仅是我们企业的合规部门、财务部门等,我们的IT部门、网络安全部门可能也会成为和监管频繁打交道的部门。

在这张图当中,帮大家大概梳理了一下在我们的今后日常工作当中可能打交道的一些国家的监管部门或网络安全组织,包括多次提到的网络安全主管部门网信办,以及可能会协同处理各类安全事件的网络信息安全通报中心,应急事务管理中心以及国家计算机网络应急技术处理协调中心等等,这些都是作为国家层面来帮助全社会来应对网络安全的机构。

不同的行业里面的企业可能还会和自己的行业监管部门来进行打交道,比如说电信互联网公司可能会和公信部来打交道,国有企业会和国资委打交道,金融机构会和央行一行三会等等的打交道,包括今后的工商、税务、公安等等,都会和我们有一个持续的动。所以今后我们的整个企业,我们的IT部门,我们的信息安全部门与监管的互动会形成一个常态化。这个过程当中很多网络安全的事件,就不仅仅是我们企业闭门自己的事情了,而是成为一个依法承担的一个义务,即我有义务自己发生安全事件之后需要依法向相关部门进行网络安全的事件汇报。同时我们企业还要依法进行自我合规检查,确保自己是做到了网络安全法中的要求。

这里边跟大家分享一个观点,就是之前有一些企业曾经提出过,我企业可能并不对外提供一些公众的服务,为什么我要去遵守一个面向公众的法律。有网信办的领导给企业做过这样一个解释,虽然说你自己本身所承担的服务并不会对公众会产生很大的一个影响,但是如果你没有做好自己的安全防范工作,你有可能成为别人攻击的一个对象,会成为别人利用的一个漏洞,会利用你的漏洞对其它正常运行的网络服务提供者或者公民产生危害。所以每个人在我们现在整个的社会的网络运营环境当中,都是参与的一份子,没有人能够独善其身。

大家都有做好自己安全防护,合法合规的义务,而不是说我可以不管,因为你不仅仅危害到自己,还可能危害到别人。企业应当积极参与到自己所处行业制定相关的行业标准的过程当中,提出自己的意见,确保自己能够在其一旦成为规章之后就能够正常合规。

刚才跟大家分享的是我们经过分析所认为网络安全法当中三个比较突出的亮点以及大家的关注重点、网络运行安全、个人信息保护以及今后可能会变成常态化与监管之间的一个互动。正如我开头所讲的,这次网络安全法立法的时间还是比较短的,所以还有非常多的有待进一步明确和制定进一步的行业标准或者实施细则的地方。

还有有几个可能也是大家比较关心的一个点,其中一个是关于网络安全等级保护。等级保护这个名词是一个大家耳熟能详的名字,因为我们的公安部门推动信息系统安全等级保护已经好多年了,并且也是卓有成效的。《网络安全法》当中提出了网络安全等级保护的概念,那么应该注意到这个等级保护和我们之前的信息系统安全等级保护的提法并不完全一致。网络安全等级保护是否等同于我们以前的信息系统安全等级保护,目前来说并没有一个权威的说法,这部分要求还待进一步的细则和落地。

网络安全法

同样道理各个行业的监管机构,比如说一行三会,工信部等等,他们也会基于网络安全法的要求,进一步制定符合各自行业特征的网络安全的要求,包括数据跨境传输的要求,安全评估的要求以及适用于自己行业的管理和技术要求细则等等。据我们所知,现在很多行业监管组织正在紧锣密鼓地做相关的调研工作,相信在6月1号《网络安全法》正式生效之前,绝大多数监管机构都会出台配套的监管要求,也会推出一系列技术标准。包括我们现在正在征求意见的个人信息的保护指南等等,都是和它配套的。之后我们的《网络安全法》会得到越来越容易操作和执行。

最后,我们来看对于我们一个企业来说正在处于这样一个《网络安全法》的发布,但是还没有正式实施的阶段我们该做什么呢?这个法律的实施不能等待,所以我们必须首先要自己做好合规的准备,要根据网络安全法的要求进行自我检查,发现明显的差异并及时采取纠正措施或行动计划,力争在我们的《网络安全法》正式生效之前能够完成必要的调整和相关的整改。当然,《网络安全法》是一个持续的过程,在对于明显的问题进行整改的同时,更加需要建立一个全面的网络安全风险管理体系,对我们企业所能面临的网络安全风险进行一个持续的监控,并进行持续的改进,确保我们持续的合规。那么在设计我们体系化的安全防护体系的时候,通常来说我们有很多国际的最佳时限、国际的标准、行业的经验,可以供大家进行参考,选适合于自己的安全管理框架来进行系统性的、高效的设计自己的网络安全管理体系。

下面是一个我们的网络安全管理框架的一个示意图,可以从整个的安全治理来通过我们的安全策略、安全的组织方针、运营模式、意识以及相关的绩效,安全绩效的衡量方法以及相互的安全基础设施、安全操作、合规,以及对我们新技术采用过程当中所可能面临新的风险等等来进行一个全面的应对的框架体系。进一步落地该框架体系的参考的国际标准,国内标准也很多,包括ISO27001相关的体系,美国的NIST,以及我们国内所颁布的的各个行业的一些安全指引和要求都可以作为落地的一个框架。

最后我们简单总结下今天所讲的对网络安全法的一些初步的一些解读和认识。网络安全法是把我们这样一个比较高深的技术问题通过立法的手段展现到了我们公众层面。立法当中有多项突破,首先是明确了关键信息基础设施,运营者这样一个概念,并且对他提出了相关的管理要求,同时对于个人信息保护也是首次全面地阐述了保护要求,并且比较充分的对照到了整个国际上通行的隐私保护框架的方方面面。企业今后的合规要求以及和国家和相关行业的监管机构之间的互动要求,也提出了明确的的一个网络运营者所应该承担的一个职责。

从今年年6月1号开始,随着网络安全法的正式的实施,不仅会对我们企业的安全部门,也会对我们企业的整个IT,乃至我们企业的整个的管理体系和治理要求都提出新的挑战,希望大家能够在这个过程当中预先做好充分的准备,可以比较从容地应对《网络安全法》可能给我们带来的新挑战。