2020年作為網(wǎng)絡(luò)安全等級保護(hù)制度正式實施的“開局之年”,同時也是眾多網(wǎng)絡(luò)安全合規(guī)方向發(fā)生巨大突破的一年。從年初的《中華人民共和國密碼法》(簡稱《密碼法》)正式實施,到《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》(簡稱《等級保護(hù)定級指南))的正式發(fā)布;從公網(wǎng)安【2020】1960號文的發(fā)布到《中華人民共和國個人信息保護(hù)法(草案)》(簡稱《個人信息保護(hù)法(草案))征求意見,合規(guī)工作逐漸成為網(wǎng)絡(luò)安全建設(shè)中 為重要的一部分。那么,2020年合規(guī)方面發(fā)生了哪些大事件,2021年合規(guī)建設(shè)該何去何從?
2020年1月:《密碼法》正式實施
《密碼法》作為我國密碼領(lǐng)域首部綜合性、基礎(chǔ)性法律,從密碼管理的基本原則、分類管理、商用密碼從業(yè)單位管理,檢測認(rèn)證體系建設(shè),網(wǎng)絡(luò)運營者使用等多個角度進(jìn)行了規(guī)范。對于關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)使用者則要求必須使用商用密碼并開展商用密碼應(yīng)用安全性評估工作,未開展評估工作 高面臨一百萬的罰款,未采用經(jīng)過安全審查的產(chǎn)品或服務(wù)則 高面臨采購金額十倍的罰款。《密碼法》的正式實施也極大地推動了網(wǎng)絡(luò)運營者對信息系統(tǒng)開展商用密碼改造工作的積極性。
2020年4月:《等級保護(hù)定級指南》正式發(fā)布
《等級保護(hù)定級指南》作為等級保護(hù)2.0 后一個更新的標(biāo)準(zhǔn),明確了確認(rèn)網(wǎng)絡(luò)安全等級保護(hù)對象保護(hù)等級的原理與流程,可用于指導(dǎo)網(wǎng)絡(luò)運營者開展非涉及秘密的等級保護(hù)對象的定級工作。較上一版本主要有以下幾點變化:
定級要素與安全保護(hù)等級調(diào)整
安全保護(hù)等級矩陣表
專家評審的范圍明確:從原來的第三級及以上需要進(jìn)行專家評審調(diào)整為第二級及以上,提高了等級保護(hù)對象等級確認(rèn)的準(zhǔn)確性。
定級對象范圍的擴(kuò)大:伴隨著等級保護(hù)工作的不斷深入,保護(hù)對象的范圍需要適應(yīng)網(wǎng)絡(luò)安全發(fā)展的需要,因此在《等級保護(hù)定級指南》中新加入了“云計算平臺/系統(tǒng)”、“物聯(lián)網(wǎng)”、“工業(yè)控制系統(tǒng)”、“采用移動互聯(lián)技術(shù)的系統(tǒng)”、“數(shù)據(jù)資源”等多種對象,也為采用新技術(shù)的系統(tǒng)開展等級保護(hù)工作提供了依據(jù)。
2020年7月:公網(wǎng)安【2020】1960號文件發(fā)布
公網(wǎng)安【2020】1960號文件指出,《貫徹落實網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》作為公安部用于指導(dǎo)重點行業(yè)、部門開展等保、關(guān)保工作的指導(dǎo)性文件。該指導(dǎo)性文件提出了“三大基本原則”(堅持分等級保護(hù)、突出重點;堅持積極防御、綜合防護(hù);堅持依法防護(hù)、形成合力)與“四大工作目標(biāo)”(貫徹落實等級保護(hù)制度、建立與實施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、顯著提升網(wǎng)絡(luò)安全監(jiān)測預(yù)警和綜合處置能力、基本形成網(wǎng)絡(luò)安全綜合防控體系)。對于網(wǎng)絡(luò)運營者主要關(guān)注以下幾點:
定級備案:應(yīng)全面梳理網(wǎng)絡(luò)現(xiàn)狀,新建網(wǎng)絡(luò)需在規(guī)劃設(shè)計階段確定安全保護(hù)等級;
等級測評:新建第三級及以上系統(tǒng)必須在通過等保測評后方可投入運行;
建設(shè)整改:落實“三同步”原則,按照“一個中心、三重防護(hù)”的要求開展建設(shè)整改工作;
安全責(zé)任:定期開展安全自查與檢測評估工作,及時整改安全隱患與薄弱環(huán)節(jié);
供應(yīng)鏈管理:采購、使用符合法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品和服務(wù);
密碼安全防護(hù):第三級及以上運營者應(yīng)在網(wǎng)絡(luò)安全等級測評中同步開展商用密碼應(yīng)用安全性評估。
2020年10月:《個人信息保護(hù)法(草案)》征求意見
《個人信息法(草案)》以保護(hù)個人信息權(quán)益、規(guī)范個人信息處理活動、保障個人信息依法有序自由流動、促進(jìn)個人信息合理使用為立法宗旨,規(guī)定了個人、企業(yè)、機(jī)關(guān)多主體對個人信息保護(hù)的權(quán)利/權(quán)力與義務(wù)。作為網(wǎng)絡(luò)運營者,應(yīng)重點關(guān)注以下方面:
建立個人信息安全保護(hù)制度:應(yīng)對外部用戶需要明確告知收集、使用、向第三方提供、跨境時個人信息處理的規(guī)則;對內(nèi)則需要制定個人信息安全內(nèi)部管理制度。
對外預(yù)防個人信息流通的風(fēng)險:應(yīng)保證個人信息來源的合法性;應(yīng)在接收方變更原先的處理目的、處理方式時重新向個人告知并獲得同意;與第三方共享時應(yīng)明確雙方對個人信息處理的責(zé)任。
2020年11月:金融行業(yè)等級保護(hù)標(biāo)準(zhǔn)發(fā)布
金融行業(yè)等級保護(hù)2.0標(biāo)準(zhǔn)于11月11日正式發(fā)布與實施,在國標(biāo)的基礎(chǔ)上提出了網(wǎng)絡(luò)安全保障總體框架與增強(qiáng)的要求,作為金融設(shè)施的運營者應(yīng)重點關(guān)于以下內(nèi)容:
總體原則:“技管交互、綜合保障”。遵循“技術(shù)要求”、“管理要求”互相交融的原則,實現(xiàn)“技術(shù)體系”與“管理體系”的互補(bǔ)。
技術(shù)體系:在傳統(tǒng)防護(hù)的基礎(chǔ)上增強(qiáng)了對于***持續(xù)威脅監(jiān)測的要求,增強(qiáng)了對于誘捕、欺騙攻擊者的要求;在數(shù)據(jù)備份與恢復(fù)方面進(jìn)一步強(qiáng)化,對同城數(shù)據(jù)中心、異地數(shù)據(jù)中心提出了更高的要求;在云計算擴(kuò)展要求部分則增強(qiáng)了對于互聯(lián)網(wǎng)提供金融服務(wù)的云平臺安全能力的要求。
管理體系:網(wǎng)絡(luò)運營者應(yīng)基于“建立(規(guī)劃)”、“實施和執(zhí)行(實施)”、“監(jiān)控和審查(檢查)”、“保持和改進(jìn)(處置)”的原則,構(gòu)建生命周期管理體系。
結(jié)合2020年合規(guī)大事件,展望2021年合規(guī)工作:
1、合規(guī)工作的重要性逐漸提高:2021年將會有更多的條例與標(biāo)準(zhǔn)發(fā)布,合規(guī)工作的開展也將繼續(xù)深入。從新產(chǎn)品到新方案的運用,從經(jīng)費與人員的保障到管理制度的落實,公網(wǎng)安【2020】1960號文也為網(wǎng)絡(luò)運營者指明了后續(xù)工作的方向。
2、行業(yè)合規(guī)要求日益強(qiáng)化:2020年發(fā)布了民航、金融、廣電、報業(yè)等多個領(lǐng)域的等級保護(hù)標(biāo)準(zhǔn),多個行業(yè)等級保護(hù)及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)也在積極編制中。2021年合規(guī)工作的行業(yè)屬性將更強(qiáng),合規(guī)要求也將更為細(xì)化。
3、被動防御向主動對抗轉(zhuǎn)換:在關(guān)鍵信息基礎(chǔ)設(shè)施的合規(guī)建設(shè)中,主動防御、主動對抗將成為重點,這對網(wǎng)絡(luò)運營者自身的安全能力提出了更高的要求,如何從海量的安全事件中篩選出有用的信息并進(jìn)行反制是網(wǎng)絡(luò)運營者首先要解決的問題。
4、新技術(shù)領(lǐng)域的合規(guī)要求重視程度逐漸提升:云計算、5G、區(qū)塊鏈等新技術(shù)廣泛應(yīng)用的同時,也帶來了新的安全風(fēng)險,如何更好開展新技術(shù)領(lǐng)域合規(guī)工作是網(wǎng)絡(luò)運營者需要關(guān)注的重點。
客服1 
客服2