新闻详情

News

网络安全合规监管规范、要求、标准多,多规管理融合大势所趋
新闻动态
2023-02-24

随着《网络安全法》、《密码法》、《数据安全法》等国家法规的颁布,从法律、制度、条例、标准等多个层面对运营单位网络安全提出了更高要求,国内安全领域合规环境的规范性更进一步,为产业高质量发展提供了良好环境,为筑牢数据安全防线、构建网络强国提供了根本遵循。基于各监管要求,等保、密码、关保等多规管理融合大势所趋,一次测评,多规满足,避免了重复测评带来的时间和经济额外成本。


本文中,就运营单位普遍关注的几个网络安全合规问题,汇总解答如下:

1、什么是网络安全合规?

2、为什么要做网络安全合规?

3、不落实网络安全合规的影响?

4、网络安全合规总体要求?

5、网络安全相关政策和要求有哪些?

01、什么是网络安全合规?

网络安全合规是指网络运营者应当全面遵守网络安全法律法规、制度标准以及相关文本规范,避免受到法律制裁或监管处罚。


02、为什么要做网络安全合规?

《中华人民共和国网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

《中华人民共和国数据安全法》

第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

《中华人民共和国密码法》

第二十二条 国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。

《中华人民共和国个人信息保护法》

第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

《关键信息基础设施安全保护条例》

第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。


03、不落实网络安全合规的影响?

《中华人民共和国网络安全法》

第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

《中华人民共和国数据安全法》

第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。

《中华人民共和国密码法》

第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

《中华人民共和国个人信息保护法》

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

《关键信息基础设施安全保护条例》

第三十九条 运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。


04、网络安全合规总体要求是什么?

等保合规

等保是国家通过制定统一的安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。

图片

关保合规

关保是针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

图片

数据安全合规

国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

图片

密码合规

密评是指对采用商业密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

图片


个人信息保护合规

图片

05、网络安全相关政策和要求有哪些?

从2017年6月实施的《中华人民共和国网络安全法》,再到2019年12月实施的网络安全等级保护制度2.0标准,以及2021年连续实施的《关键信息基础设施安全保护条例》、《数据安全法》,以及《个人信息保护法》等等,无论是政策法规、规章条例的数量之多,还是近期政策推出的频度之密,都凸显了网络安全合规的重要性和紧迫性。

除以上法律法规之外,本文共搜集了9项国家国家层面相关要求和办法、14项行业政策、7项部分省市法规和12项技术标准。


国家层面相关要求和办法

《党委(党组)网络安全工作责任制实施办法》

按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。

《网络安全审查办法

《中华人民共和国个人信息保护法》

禁止大数据杀熟;明确个人信息处理者义务;赋予大型网络平台特别义务;规范个人信息跨境流动:个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。

《互联网信息服务算法推荐管理规定》

旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。

《要素市场化配置综合改革试点总体方案》

明确提出要完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。

《关于构建数据基础制度更好发挥数据要素作用的意见》

数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。

《关于加强数字政府建设的指导意见》

明确了七方面重点任务,在构建数字政府全方位安全保障体系方面,全面强化数字政府安全管理责任,落实安全管理制度,加快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用,提高自主可控水平,切实筑牢数字政府建设安全防线。 

《互联网用户账号信息管理规定》

提出要建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。

《数据出境安全评估办法》

办法规定数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供具体指引。

《互联网弹窗信息推送服务管理规定》

规定要求,互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。


重点行业法律法规及政策

政务

1、《关于加快推进政务服务标准化规范化便利化的指导意见》

《意见》要求以全国一体化政务服务平台为数据共享总枢纽,在确保数据安全的基础上,充分发挥政务数据共享协调机制作用,建立政务数据共享供需对接机制。

2、《关于加强区块链司法应用的意见》

《意见》明确人民法院区块链平台建设要求,要求充分运用区块链数据防篡改技术,进一步提升司法公信力。安全方面,意见要求以安全可信为前提,着力提升上链数据和智能合约的准确可控水平,确保数据安全,保护个人信息,推动形成区块链在司法领域稳中求进、有序发展、安全可靠的应用生态。

金融

1、《关于银行业保险业数字化转型的指导意见》

意见从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范等方面提出要求。

2、《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》

发布日期:2022年1月19日。

办法规定,金融机构应当通过来源可靠、独立的证明材料、数据或者信息核实客户身份。

3、《关于2022年进一步强化金融支持小微企业发展工作的通知》

加强信用信息安全和保密管理。银行保险机构要完善涉企信用信息的安全管理体系,落实保密管理责任,加强数据安全和隐私保护。

法院

1、《人民法院在线运行规则》

要求各级人民法院应当建设安全保障系统,为人民法院在线运行提供网络和信息安全保障。安全保障系统应当为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务。

电力能源

1、《电力行业网络安全管理办法(修订征求意见稿)》

《办法》规定监督管理职责、电力企业职责等内容,电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。

2、《电力行业网络安全等级保护管理办法(修订征求意见稿)》

《办法》包括等级划分与保护、等级保护的实施与管理等内容,第二级网络每两年应进行一次等级保护测评,第三级及以上网络每年应进行一次等级保护测评。

3、《2022年能源工作指导意见》

加大能源技术装备和核心部件攻关力度,积极推进能源系统数字化智能化升级,提升能源产业链现代化水平。

医疗

1、《医疗卫生机构网络安全管理办法》

办法共六章三十四条,涉及网络安全管理、数据安全管理、监督管理、管理保障等内容。

交通

1、《车联网网络安全和数据安全标准体系建设指南》

聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和关键环节。

2、《关于进一步加强新能源汽车企业安全体系建设的指导意见》

《意见》要求健全网络安全保障体系,加强网络安全防护,强化数据安全保护,落实个人信息安全防护。

教育

1、《高等学校数字校园建设规范(试行)》

《规范》对高等学校数字校园建设各方面内容提出通用要求,并明确高等学校网络安全工作应遵守《中华人民共和国网络安全法》并符合网络安全等级保护相关的GB/T 22239、GB/T 28448、GB/T 25070及GB/T 25058的相关要求。

工业

1、《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》

《办法》对一般数据、重要数据和核心数据的定义做了调整,对备案申请时间等具体数字做出明确规定。补充了主体责任,在数据全生命周期管理方面,围绕数据出境和数据跨主体处理进行了条款补充。



地方层面相关要求和办法

《山东省公共数据开放办法》

明确国家机关,法律法规授权的具有管理公共事务职能的组织,具有公共服务职能的企业事业单位,人民团体等在依法履行公共管理职责、提供公共服务过程中,收集和产生的各类数据均属于公共数据,应纳入公共数据开放办法管理。自2022年4月1日起施行。

《新疆维吾尔自治区关键信息基础设施安全保护条例》

护工作实行部门责任制和运营者主体责任制,并纳入年度网络安全工作责任制考核,自2022年6月15日起施行。

《重庆市数据条例》

分为总则、数据处理和安全、数据资源、数据要素市场、发展应用、区域协同、法律责任等内容,自今年7月1日起施行。

《河北省数字经济促进条例》

主要围绕数字基础设施建设、数据资源开发利用、数字产业化、产业数字化、数字化治理、京津冀数字经济协同发展、保障和监督等方面作出规范,自7月1日起施行。

《辽宁省大数据发展条例》

为解决数据要素市场发育不充分问题,条例设置“数据要素市场”专章,明确市场主体在数据采集、加工、使用、交易等基本权益方面的保障性规定,自2022年8月1日正式施行。

《陕西省大数据条例》

政务部门应当按照一数一源、一源多用的要求,在政务数据目录内收集数据,并及时对政务数据资源进行更新和维护,确保数据收集的准确性、完整性、时效性、安全性,实现政务数据的一次收集、共享使用。

《北京市数字经济促进条例(征求意见稿)》

《条例》涉及数字基础设施、数据资源、数字产业化、产业数字化、数字化治理、数字经济安全和保障措施等内容。在数字经济安全方面,明确了各主体的数据安全责任,提出构建跨领域、跨部门、政企合作的安全风险联防联控机制。


部分技术标准

1、《信息安全技术关键信息基础设施安全保护

要求》GB/T 39204-2022

《保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。

2、《信息安全技术网络安全等级保护基本

要求》2.0  GB/T 22239-2019

将风险评估、安全监测、通报预警、案件调查、数据防护、灾难备份、应急处理、自主可控、供应链安全、效果评价、综治考核等重点措施纳入等级保护制度并实施。

3、《移动互联网应用程序(App)收集

个人信息基本要求》GB/T 41391-2022

《基本要求》适用于所有App的个人信息收集活动。App包括移动智能终端预置、下载安装的应用程序和小程序,其中,小程序指基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。

4、《信息安全技术 信息系统密码应用基本

要求》GB/T 39786-2021

本标准规定了信息系统的四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。

5、《信息安全技术 移动智能终端安全技术

要求及测试评价方法》GB/T 39720-2020

本标准规定了移动智能终端安全技术要求及测试评价方法,包括硬件安全、操作系统安全、应用软件安全、通信连接安全、用户数据安全。

6、《信息安全技术 政务信息共享 数据安全

技术要求》GB/T 39477-2020

本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设的安全技术要求。

7、《信息安全技术 网络安全漏洞管理规范》

GB/T 30276-2020

本标准规定了网络安全漏洞管理流程各阶段(包括漏洞发现和报告、接收、验证、处置、发布、跟踪等)的管理流程、管理要求以及证实方法。

8、《信息安全技术 工业控制系统信息安全

防护能力成熟度模型》GB/T 41400-2022

给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。

9、《信息技术 安全技术 公有云中个人信息

保护实践指南》GB/T 41574-2022

给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云中的个人信息保护指南,自2023年2月1日实施。

10、《信息安全技术 重要工业控制系统

网络安全防护导则》GB/Z 41288-2022

规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。

11、《信息安全技术 关键信息基础设施安全

保护要求》GB/T 39204-2022

规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。将于2023年5月1日实施。

12、《工业互联网总体网络架构》

GB / T 42021-2022

围绕工业互联网网络规划、设计、建设和升级改造,规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求,提出了工业互联网网络实施框架和安全要求。



上一篇: 数字政府建设面临目标、过程、成效等风险,...
下一篇: 工业信息安全事件频发,数据安全和信息系统...

热点新闻