自2017年《网络安全法》正式生效以来,网络安全相关工作已属于法律的强制性规范要求。近一段时间以来,随着《数据安全法》《个人信息保护法》等相关法律,《关键信息基础设施安全保护条例》《网络安全审查办法》等一系列的法规的出台,企业用户,特别是大型集团企业在建设和规划自己的网络安全体系的时候就更需要有一个全局性的视角来看待网络安全合规问题,既要避免疏漏引发违规风险,也要合理设计制度体系,避免由于当前网络安全法律法规之间要求表述的不同造成重复建设,给自身管理上和运营上带来不便。本文试着从政府监管、第三方检验检测和企业用户管理这三个维度进行简要分析,并给出一些在建设网络安全规划时可以参考的建议。先上图。
(emm,开局一张图,内容全靠编~)
一、政府监管
首先,要了解有哪些是与网络安全相关的主管机构:《网络安全法》第8条中明确规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”
在这里,国家网信部门—国家互联网信息办公室,国务院电信主管部门—工业和信息化部,公安部门—公安部,其他有关机关—发改委、财政部等。如果说有更多涉及到的部门,其实从2022年1月发布的《网络安全审查办法》中可以看出。(该办法与2020年4月发布的相比,新增中国证券监督管理委员会。)
。
其次,要知道当前国内有哪些法律、法规和各个监管部门出台的政策要求。
(一)《网络安全法》
生效时间:《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。
主要内容:作为“基本法”,其解决了以下几个问题:一是明确了部门、企业、社会组织和个人的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;四是建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。[1]
作为企业用户,或者说法律条文里称之为的网络运营者,一般来说需要关注的内容主要包括以下几个方面。
(二)《密码法》
生效时间:《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,自2020年1月1日起施行。
主要内容:为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
密码的部分专业性太强,这里仅提几点需要注意的内容:
1.密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。这类密码一般是应用在涉密信息系统内建设的,不对互联网开放,所涉及的信息系统一般遵照分级保护的相关要求开展测试测评。
商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
2.国家推进商用密码检测认证体系建设。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。这部分内容可以详见《市场监管总局 国家密码管理局关于开展商用密码检测认证工作的实施意见 》。
在信息系统密码应用测评部分,可以重点关注《国家密码管理局公告》(第43号)。
(三)数据安全法
生效时间:2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。
主要内容:为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益。
数据安全作为重要的组成部分,相关的政策都在完善和制定过程中,这里需要重点关注的两个内容分别是:
第二十一条 国家建立数据分类分级保护制度,……各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
相关联的政策和制度要求主要为:
《数据出境安全评估办法》
《网络数据安全管理条例(征求意见稿)》
《工业数据分类分级指南(试行)》
《工业和信息化领域数据安全管理办法(试行)》
《工业和信息化领域数据安全风险信息报送与共享工作指引(试行) (征求意见稿)》
(四)个人信息保护法
生效时间:2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。
主要内容:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
从运营者的角度来讲,重点关注的条款主要包括:
第十三条:…… 处理个人信息应当取得个人同意……
第十五条:……个人信息处理者应当提供便捷的撤回同意的方式。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务……。
相关的政策和制度要求主要为:
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
《儿童个人信息网络保护规定》
《电信和互联网用户个人信息保护规定》
《常见类型移动互联网应用程序必要个人信息范围规定》
《App违法违规收集使用个人信息行为认定方法》
(五)《网络产品安全漏洞管理规定》
生效时间:2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部发布《网络产品安全漏洞管理规定》。自2021年9月1日起施行。
主要内容:为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。
适用主体:中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。
关于这项规定要求,这里重点介绍两个方面:
一是网络产品提供者(第七条)和网络运营者(第八条)都有安全漏洞修补责任,发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
作为企业用户而言,为保证遵守该项规定时合规,应重点关注第五条“建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月”和第七条“网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:……”
这里多补充一些:通常情况下,网络运营者一般都不具备产品的开发能力(APP、网站、应用系统等),在对外提供服务的过程中通常采用购买成熟的商业软件产品或者委托第三方进行定制化的开发。按照《漏洞管理规定》的要求,网络运营者当发现自身使用的APP、网站等存在安全漏洞时,也应当立即采取措施,及时对安全漏洞进行验证并完成修补。不能简单的把相关责任推给负责开发的第三方。
二是规定第十条。任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。……
关于漏洞收集平台,具备官方属性的平台主要包括:
工业和信息化部网络安全威胁和漏洞信息共享平台,下设多个专业库,其中,通用网络产品漏洞库---由中国信息通信研究院负责运营;工业信息安全漏洞库和信创产品漏洞库--由国家工业信息安全发展研究中心负责运营;APP漏洞库--由中国软件评测中心运营;车联网漏洞库--由中国汽车技术研究中心有限公司运营。
国家网络与信息安全信息通报中心漏洞平台(公安所属)
国家计算机网络应急技术协调中心漏洞平台(国家信息安全漏洞共享平台,CNVD)
中国信息安全测评中心漏洞库(国家信息安全漏洞库,CNNVD)
另外,2022年10月25日,工业和信息化部印发了《网络产品安全漏洞收集平台备案管理办法》。办法中所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。第三方组织在开展漏洞收集平台建设时,应遵循改备案管理办法。
(六)《网络安全审查办法》
生效时间:2021年12月28日,13部门联合发布《网络安全审查办法》。自2022年2月15日起施行。
主要内容:为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全。
适用主体:关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。
网络安全审查的重点聚焦在《办法》的第十条。这里不做展开介绍。
(七)《数据出境安全评估办法》
生效时间:2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》。自2022年9月1日起施行。
主要内容:为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
适用主体:数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。
关于开展数据出境的相关方,办法中第四条明确四类情形:
a.数据处理者向境外提供重要数据;b.关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;c.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;d.国家网信部门规定的其他需要申报数据出境安全评估的情形。
关于数据安全相关的标准,目前正由全国信息安全标准化技术委员会(TC260)组织推进中。有关数据安全的相关标准,大家可以通过国家标准全文公开平台在线预览(免费):https://openstd.samr.gov.cn/bzgk/gb/
二、第三方检验检测
第三方检验检测机构一般是指以第三方非当事人身份,根据有关法律、标准或合同所进行的商品检验活动。第三方检验检测机构一般适用于针对政府监管的补充,用于协助政府在开展相关市场活动监管行为时的补充。关于第三方检验检测机构,从服务类型来说,一般可以分为针对产品的检测、认证类,针对信息系统、云平台的安全评估类,以及针对企业运营组织模式的体系认证等这三个方面的内容:
(一)产品的检测、认证
1.网络关键设备和网络安全专用产品的安全认证和安全检测
《网安法》第二十三条:”网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测“。
按照相关标准和程序对产品进行认证、检测,是我国标准化法确立的重要制度,也是国际通行做法。在网络安全法立法之前,国内已开展相关的安全认证、安全检测工作主要包括[2]:
依据我国《电信条例》的规定,国务院电信主管部门建立了电信设备进网许可制度,对电信终端设备、无线电通信设备、网间互联设备实行入网检测;--电信产品进网许可制度。
依据《计算机信息系统安全保护条例》的规定,国务院公安等部门建立了信息安全专用产品销售许可制度,对用于保护计算机信息系统安全的专用硬件和软件产品进行安全功能检测;---安全产品销售许可制度。
依据认证认可条例,国务院质检部门建立了信息安全产品认证制度,实施信息安全产品认证。
自2017年到现在,《网安法》已经有一系列的落地文件指导开展网络关键设备和网络安全专用产品的安全认证和这里有几个关键点需要注意:
”国家标准的强制性要求“ ---《GB40050-2021 网络关键设备安全通用要求》
”具备资格的机构“----《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录 (第一批) 的公告》四部门 2018年第12号
”网络关键设备和网络安全专用产品目录“---四部门关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告
2.关于产品的第三方检测,国内还有两种经常见到的检测认证:
a.中国网络安全审查技术与认证中心(CCRC)推行的国家信息安全产品认证。目前,开展相关产品认证的产品范围为8大类13种产品。具体可见CCRC官网链接:https://www.isccc.gov.cn/zxyw/cprz/gjxxaqcprz/index.shtml。
b.中国信息安全测评中心推行的信息安全产品测评等,对国内外信息技术产品的安全性进行测评,其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。具体可见官网链接:http://www.itsec.gov.cn/cp/。
(二)信息系统、云平台的安全评估类
1.网络安全等级保护测评。
《网安法》第二十一条,国家实行网络安全等级保护制度。等保工作自1994年国务院出台《等保条例》之后,在我国运行了已有二十多年之久。开展系统定级、测评和建设的标准分别于2019年和2020年进行了更新。主要参考的标准为GB/T28448-2019 GB/T22239-2019和GB/T22240-2020.关于等保的相关工作,大家可以关注网络安全等级保护网。(http://www.djbh.net/)
2.云计算服务安全评估。
2019年7月2日,国家互联网信息办公室 国家发展和改革委员会 工业和信息化部 财政部联合发布了《云计算服务安全评估办法》,对党政机关、关键信息基础设施运营者采购使用云计算服务开展安全评估工作。
开展云计算服务安全评估工作时,专业技术机构在办公室指导监督下,参照《云计算服务安全指南》《云计算服务安全能力要求》等国家标准,重点评价《云计算服务安全评估办法》第三条所述内容,形成评价报告。
3.信息安全风险评估
2017年《网络安全法》中,“第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”“第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。……”均提到了风险评估的相关工作。
2021年7月30日,国务院正式公布了《关键信息基础设施安全保护条例》。第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。开展风险评估的工作主要参照《GB/T20984-2022 信息安全技术 信息安全风险评估方法》[3]。
(三)ISO27001、ISO20000体系认证
ISO 27001信息安全管理体系 和ISO 20000信息技术服务管理体系,这两种体系认证在我们国内企业中也比较常见。从区别的角度来说,两者之间侧重点和应用范围不一致:
ISO 27001信息安全管理体系,注重对内部的信息安全管理工作,通过以风险控制点的方式来达到企业信息安全管理的目的。
ISO 20000信息技术服务管理,注重对外部提供IT服务时的信息质量管理,安全作为其中的一项重要指标,是考核企业提供IT服务时的质量。
(四)第三方检验检测机构的资质相关
第三方检测检验机构的资质通常是纳入在国家检测认证体系范围之内。这里以等保测评资质为例,2021年11月19日,为贯彻国务院“放管服”改革要求,国家网络安全等级保护工作协调小组办公室发布公告,撤销网络安全等级测评机构推荐证书,相关工作纳入国家认证体系。
关于第三方检验检测机构的资质,国内由中国合格评定国家认可委员会(CNAS)统一实施对认证机构、实验室和检验机构等相关机构的认可工作。
其他大家可能会见到的服务资质也包括信息安全服务资质认证,CCRC信息安全应急处理资质、CCRC信息安全风险评估资质,
三、企业用户管理(网络运营者)
emm,我有一个朋友...
按照现行的法律法规要求,他所在的单位需要应对的网络安全工作是数据安全评估、信息安全风险评估、ISO27001认证、等保测评、密码测评、集团网络安全检查、主管部门(三个部委)网络安全检查,据说可能还要做数据跨境评估...
emm,我还有一个朋友...
他所在的单位在同一天的时间里,接待了网安支队、网信办、经信委的网络安全检查队伍(集团的安全检查人员因为疫情,没有能赶上这次会师)。检查完成后,要同时写三份检查整改报告。
所以,作为一个网络运营者,做好网络安全规划和管理制度体系的最现实意义:是制定一套适合自身的网络安全管理制度和运营机制,既能满足企业自身网络安全运营需要,也要确保合适的成本投入,同时还能应付各种检查和各种整改。
网络安全是个成本投入的工作,疫情以来,很多用户都缩减了不少安全经费,在应对网络安全检查方面,我这里分享两种方式,仅供参考:
1.单纯被动式的合规应对。例如,《网络安全法》和《数据安全法》分别都提到了,应当明确网络安全和数据安全的负责人和管理机构,落实网络安全和数据安全保护责任。在企业实际的运行当中,负责网络安全和数据安全的部门通常只有一个,安全专职人员也相对较少,在管理制度和岗位设置上应对合规检查的方式,就是把原来的所谓网络安全管理岗,改成网络和数据安全管理岗,让原来的网络安全管理员变成网络和数据安全管理员(打开网络安全管理制度文件,ctrl+f 将网络安全替换成网络和数据安全.......).这种方式虽然看起来好笑,也没有解决实际的问题,但是对于一个没钱、没人,网络安全检查还特别多的单位来说,可能是最合适的...
2.主动性质的合规应对。建立一套基于一个标准的安全管理体系,并形成与其他标准和相关要求的映射关系。我们以安全管理制度中对人员管理的要求为例:
在《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》中,针对三级系统,对人员的通用要求部分为8.18安全管理人员。
在《GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》中,对人员的要求部分为7.4安全管理人员。
在《ISO27001信息安全管理体系中》中,一般针对人员的要求会在整个体系的二级程序文档,人员安全管理程序中。
在《GB/T37988-2019 数据安全能力成熟度模型》中,对人员的要求部分为12.2 PA21 组织和人员管理。
四个标准基于不同方法模型,都对运营者在人员管理方面的上岗、培训、背景审查、岗位职责和保密义务所应遵循的要求进行了规定。因此在编制自身网络安全管理制度文件和要求时,可形成如下图所示简单的映射关联:
当外部法律法规或者相关标准发生变更时,能够参照该关联关系进行对照,及时修订,实现一套制度多项合规的管理模式。
以上,就是关于网络安全合规体系建设相关的介绍,欢迎大家多多指正。
参考资料:
[1]https://www.dufe.edu.cn/content_13802.html
[2]中华人民共和国网络安全法释义.杨合庆.中国民主法制出版社
[3]《GB/T20984-2022 信息安全技术 信息安全风险评估方法》