解读网络安全合规的五大问题
随着《网络安全法》、《密码法》、《数据安全法》等国家法规的颁布,从法律、制度、条例、标准等多个层面对运营单位网络安全提出了更高要求,网安合规获得了前所未有的重视,各界关于网安合规的理解与建议也如雨后春笋。
本文中,结合多年网安合规项目经验,就运营单位普遍关注的几个网络安全合规问题,汇总解答如下:
1、什么是网络安全合规?
2、为什么要做网络安全合规?
3、不落实网络安全合规的影响?
4、参考标准有哪些?
5、网络安全合规总体要求?
1.什么是网络安全合规?
网络安全合规是指行业、企业为了实现依法、依规经营,防控网络安全风险,所建立的一种网络治理机制。
它主要体现在3方面:一是网络安全法律法规、制度标准;二是企业内部的网络安全规章、制度;三是企业应遵守的网络安全道德规范。
2.为什么要做网络安全合规?
《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
《密码法》第二十二条 国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
《商用密码应用安全性评估管理办法(试行)》第二章第十条 关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
《个人信息保护法》第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
《党委(党组)网络安全工作责任制实施办法》第十条 各级党委(党组)应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容。
《网络安全审查办法》第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
3.不落实网络安全合规的影响?
《网络安全法》第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
《数据安全法》第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
《密码法》第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《党委(党组)网络安全工作责任制实施办法》第八条 各级党委(党组)违反或者未能正确履行本办法所列职责,按照有关规定追究其相关责任。
《个人信息法》第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
4.参考标准有哪些?
5.网络安全合规总体要求?
网络安全合规主要包括等保合规、关保合规、数据安全合规、密码合规、个人信息保护合规等。
等保合规
等保是国家通过制定统一的安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。
工作流程:
1.定级
确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,经过主管部门审核,到公安机关备案审查
2.备案
确定定级对象等级后,运营、使用单位把定级材料提交到市一级公安机关网安部门办理备案手续。备案成功后,网安部门颁发《备案证明》。
3.安全建设整改
对备案对象进行调研,依据相应等级要求开展差距分析,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试,完善管理制度等工作。
4.等级测评
运营、使用单位或者主管部门应选择合规测评机构,定期对定级对象进行等级测评。测评通过的,出具《等级测评报告》。测评不通过的,运营、使用单位应对测评中发现的问题及时进行整改。
5.监督检查
测评报告出来后,向市一级公安机关网安部门提交测评报告。公安机关监督检查运营使用单位开展等级保护工作情况。运营使用单位应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关材料。
关保合规
关保是针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
工作流程:
识别认定
运营者配合安全保护工作部门,开展关键信息基础设施识别和认定活动,围绕关健信息基础设施承载的关键业务,开展风险识别。
安全防护
运营者根据已识别的安全风险,在规划、人员、数据、供应链等方面制定和实施适当的安全防护措施,确保关键信息基础设施的运行安全。
检测评估
为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要索,并分析潜在安全风险可能引起的安全事件。
监测预警
为检验安全防护措施的有效性,运营者制定秉实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。
应急处置
根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,并恢复由于网络安全事件而受损的功能或服务,动态识别关键信息基础设施的安全风险。
数据安全合规
国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
工作流程:
现状调研
基础信息调研
数据资产梳理
数据资产盘点
数据分类分级
数据安全风险评估
数据基础风险评估
数据安全合规风险评估
数据安全能力评估
数据全生命周期风险评估
数据安全建设规划
数据权限设计
数据安全管理建设规划
数据安全技术建设规划
数据安全体系建设
密码合规
密评是指对采用商业密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
工作流程:
1.确定评估对象
组织相关单位编制密码应用方案
2.开展测评工作
委托密评机构开展系统评估
3.输出密码测评报告
密评机构出具《密码应用评估结果上报材料》
4.密评结果上报
报密码管理部门审核