云开·全站app中心手机版 网络安全监管体系下的合规管理工作简述
自 2017 年《网络安全法》生效以来,网络安全相关工作一直是法律的强制性要求。近日,随着《数安法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》等一系列法律法规的出台,企业用户,尤其是大型集团企业,在建设和规划自身网络安全体系时,需要以全球视野看待网络安全合规问题。避免因现行网络安全法律法规要求不同而导致的重复建设,给自身的管理和运营带来不便。本文尝试从政府监管、第三方检验检测、企业用户管理三个维度进行简要分析,并给出一些在构建网络安全规划时可以参考的建议。让我们从上图开始。
(emm,开头一张图,内容全由小编决定~)。
1. 政府监管
首先,需要了解哪些与网络安全相关的主管部门:《网络安全法》第八条明确规定,“国家网信部门负责网络安全工作和相关监督管理工作的统筹协调”。国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护、监督和管理工作,依照本法和有关法律、行政法规的规定。”
这里,中国国家互联网信息办公室、工业和信息化部、工业和信息化部、公安部和其他相关机构,国家发展和改革委员会、财政部等。如果涉及的部门更多,其实可以从 2022 年 1 月发布的《网络安全审查办法》中看出。(与 2020 年 4 月发布的措施相比,增加了中国证监会。)
。
其次,要了解目前中国各监管部门出台的法律法规和政策要求在国内有哪些。
(1) 网络安全法
生效时间:《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,并于2017年6月1日起施行。
主要内容:作为《基本法》,它解决了以下问题:一是明确了部门、企业、社会组织和个人的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和主要指导思想和理念;三是成熟的政策措施上行法律化,为政府部门的工作提供了法律依据,体现了依法治国的要求;四是建立了一系列具有整体性、基础性特征的国家网络安全基本制度,是推进工作、巩固能力、防范重大风险所必需的。[1]
作为企业用户,或者法律上所说的网络运营者,一般来说,需要关注的内容主要包括以下几个方面。
(2) 密码学法
施行时间:《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,并于2020年1月1日起施行。
主要内容:为了规范密码的应用和管理,促进密码的发展,保障网络和信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
密码部分太专业了开yun体育app入口登录,这里只是需要注意的几点:
1. 密码分为核心密码、普通密码和商业密码。核心密码和常用密码用于保护国家秘密信息,核心密码保护信息最高保密级别为最高机密,普通密码保护信息最高机密性最高。
核心密码和普通密码均为国家机密。密码管理部门依照本法和有关法律、行政法规和国家有关规定,对核心密码和普通密码严格统一管理。这类密码一般用于保密信息系统的建设,不对互联网开放,所涉及的信息系统一般按照分级保护的相关要求进行测试和评估。
商业密码用于保护非国家机密的信息。公民、法人和其他组织可以依法使用商业密码保护网络和信息安全。
2. 国家推进建立商用密码检测认证体系。商用密码检测认证机构应当依法取得相关资质,并依照法律、行政法规的规定以及商用密码检测认证技术规范和规则的规定开展商用密码检测认证。本部分详见《国家市场监督管理总局实施意见》和《国家密码管理局关于开展商用密码检测认证的实施意见》。
在评价密码在信息系统中的应用时,我们可以重点关注国家密码管理局公告(第43号)。
(3) 《数据安全法》
生效时间:2021 年 6 月 10 日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,该法将于 2021 年 9 月 1 日起施行。
主要内容:为了规范数据处理活动,确保数据安全,促进数据开发利用,保护个人和组织的合法权益。
作为数据安全的重要组成部分,相关政策正在完善和制定过程中,这里需要重点关注的两个内容是:
第二十一条 国家建立分类分层数据保护制度,......各地区、各部门应当按照数据分类分级保护制度,为本地区、本部门以及相关行业、领域指定重要数据专项目录,对录入目录的数据进行重点保护。
第三十一条 关键信息基础设施运营者在中华人民共和国境内运营过程中收集、产生的重要数据出境的安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营过程中收集和产生的重要数据的安全管理办法,由国家网信部门会同国务院有关部门制定。
相关的政策和机构要求是:
数据出境安全评估办法
网络数据安全管理规定(征求意见稿)
工业数据分类和分级指南(试用)。
工业和信息化领域数据安全管理办法(试行)。工业
和信息化行业数据安全风险信息报告与共享指南(试行)(征求意见稿)。
(4) 个人信息保护法
生效时间:2021 年 8 月 20 日,第十三届全国人民代表大会常务委员会第三十次会议表决通过了《中华人民共和国个人信息保护法》。它将于 2021 年 11 月 1 日生效。
主要内容:为保护个人信息权益,规范个人信息处理活动,促进个人信息合理使用,根据宪法制定本法。
从运营商的角度来看,需要关注的主要条款包括:
第 13 条第 ......个人信息的处理应......经个人同意
第 15:...... 条个人信息处理者应当提供便捷的撤回同意方式。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由拒绝提供产品或服务.......
相关政策和制度要求主要如下:
《移动互联网应用个人信息保护管理暂行规定(征求意见稿)》。
儿童个人信息网络保护规定
电信和互联网用户个人信息保护规定
关于常见类型移动互联网应用程序必要个人信息范围的规定
“判断应用程序非法收集和使用个人信息的方法”。
(5) 《网络产品安全漏洞管理规定》。
生效时间:2021 年 7 月 12 日,工业和信息化部、国家互联网信息办公室、公安部发布了《网络产品安全漏洞管理规定》。它将于 2021 年 9 月 1 日生效。
主要内容:规范网络产品安全漏洞的发现、报告、修补和发布,防范网络安全风险。
适用主体:中华人民共和国境内的网络产品(含硬件和软件)提供者、网络运营者,以及从事发现、收集、发布网络产品安全漏洞等活动的组织或者个人,应当遵守本规定。
关于这一要求,我们主要关注两个方面:
首先,网络产品提供者(第七条)和网络运营者(第八条)都有责任进行安全漏洞修补,发现或获悉其网络、信息系统、设备存在安全漏洞后,应当立即采取措施及时核证并完成安全漏洞修补工作。
作为企业用户,为确保遵守本规定,应重点关注第五条“建立健全网络产品安全漏洞信息接收渠道并保持畅通,并保留接收网络产品安全漏洞信息的日志至少6个月”和第七条“网络产品提供者应当履行以下网络产品安全漏洞管理义务: 确保他们的产品安全漏洞得到修补和合理发布,并指导和支持产品用户采取预防措施:......
“.
这里还要补充一点:一般情况下,网络运营者一般不具备开发产品(APP、网站、应用系统等)的能力,在提供服务的过程中,通常会购买成熟的商业软件产品或委托第三方进行定制开发。根据《漏洞管理规定》的要求,网络运营者发现其使用的应用程序和网站存在安全漏洞时,还应立即采取措施核对并及时完成安全漏洞的修补工作。不能简单地将责任推给负责开发的第三方。
第二条是第 10 条。任何组织和个人建立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。……
关于漏洞采集平台,官方属性的平台主要有:
工业和信息化部网络安全威胁与漏洞信息共享平台拥有多个专业库,其中通用网络产品漏洞数据库---由中国信息通信研究院运营;工业信息安全漏洞数据库和信息创新产品漏洞数据库 - 由国家工业信息安全发展研究中心运营;APP 漏洞数据库 - 由中国软件测评中心运营;车联网漏洞数据库 - 由中国汽车技术研究中心有限公司运营
国家网络与信息安全信息通报中心漏洞平台(公安下属)。
国家计算机网络应急响应技术协调中心漏洞平台(National Information Security Vulnerability Sharing Platform,CNVD)。
中国信息安全评估中心漏洞数据库(National Information Security Vulnerability Database,CNNVD)。
此外,2022 年 10 月 25 日,工业和信息化部(工信部)发布了《网络产品安全漏洞收集平台备案管理办法》。本办法所称网络产品安全漏洞采集平台,是指有关组织或者个人建立的公共互联网平台,用于收集不属于自身网络产品的安全漏洞,但以修补自身网络产品、网络和系统安全漏洞为目的。第三方组织在开展漏洞收集平台建设时,应遵循《变更备案管理办法》。
(6) 网络安全审查办法
生效时间:2021 年 12 月 28 日,13 个部门联合发布《网络安全审查办法》。它将于 2022 年 2 月 15 日生效。
主要内容:为保障关键信息基础设施供应链安全,确保网络安全和数据安全,维护国家安全。
适用主体:关键信息基础设施运营者购买网络产品和服务,网络平台运营者开展影响或者可能影响国家安全的数据处理活动的,应当依照本办法进行网络安全审查。
这
网络安全审查的重点是《办法》第十条。我不会在这里讨论这个问题。
(7) 数据出境安全评估办法
生效时间:2022 年 7 月 7 日,中国国家互联网信息办公室 (CAC) 发布了《数据出境安全评估办法》。它将于 2022 年 9 月 1 日生效。
主要内容:为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全自由流动。
适用主体:数据处理者对中华人民共和国境内向境外运营过程中收集和产生的重要数据和个人信息进行安全评估,适用本办法。
对于相关方进行数据出境,《办法》第四条明确了四类情况:
(a) 数据处理者向境外提供重要数据的;b. 关键信息基础设施运营者和数据处理者处理向境外提供个人信息的超过 100 万人的个人信息;c. 自上一届 1 月 1 日起向境外提供 10 万人个人信息或 10,000 人敏感个人信息的数据处理者;d. 国家网信部门提供的其他需要安全评估声明的情形用于数据导出。
与数据安全相关的标准目前由全国信息安全标准化技术委员会 (TC260) 正在推广。有关数据安全的相关标准,您可以通过国家标准全文披露平台在线预览(免费)。
二、第三方检验检测
第三方检验检测机构一般是指依照相关法律、标准或合同开展的商品检验活动,称为第三方非当事人。第三方检验检测机构一般用于补充政府监管,协助政府开展相关市场活动和监管行为。关于第三方检验检测机构,从服务类型来看,一般可以分为三个方面:产品检测认证、信息系统和云平台的安全评估、企业运营和组织模式的系统认证
(1) 产品检测认证
1. 网络关键设备及网络安全专用产品的安全认证和安全检测
《网络安全法》第二十三条:“网络关键设备和网络安全专用产品,应当由有资质的机构按照国家有关标准的强制性要求,通过安全认证或者安全检测要求后,方可销售或者提供。由国家网信部门会同国务院有关部门制定公布网络关键设备和网络安全专用产品目录,推动安全认证和安全检测结果互认,避免重复认证检测。
按照有关标准和程序对产品进行认证和检测,是我国标准化法确立的重要制度,也是国际惯例。在《网络安全法》颁布之前,我国已经开展了相关的安全认证和安全检测,主要包括[2]:
根据我国《电信条例》的规定,国务院电信部门建立了电信设备入网许可制度,对电信终端设备、无线电通信设备和网间互联设备实行入网试验;--电信产品入网许可制度。
根据《计算机信息系统安全保护条例》的规定,国务院公安部门等部门建立了信息安全专用产品销售许可证制度,对用于保护计算机信息系统安全的专用硬件和软件产品进行安全功能测试;---安全产品销售许可证制度。
国务院质检部门按照认证认可规定,建立了信息安全产品认证制度,实施信息安全产品认证。
从 2017 年至今,《网安法》有一系列落地文件指导网络重点设备和网络安全专项产品的安全认证,需要注意的几个关键点:
“国家标准的强制性要求”---《GB40050-2021 网络关键设备安全通用要求》。
“合格机构” ---- 关于发布《网络重点设备和网络安全专用产品安全认证和安全检测任务承担机构名单(第一批)》的公告 2018年第12号
《网络安全关键网络设备和专用产品目录》---四部门关于发布《网络安全关键网络设备和专用产品目录(第一批)》的公告。
2、关于产品的第三方检测,国内常见的检测认证有两种:
a. 中国网络安全审查技术与认证中心 (CCRC) 推动的国家信息安全产品认证。目前,相关产品认证的产品范围为 8 大类 13 种产品。详情请参阅中央商业研究中心的官方网站。
湾。中国信息安全测评中心开展的信息安全产品评价,对国内外信息技术产品的安全性进行评估,包括防火墙、入侵监控、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等各种信息安全产品云开·全站app中心手机版,以及操作系统等各种非安全专用IT产品。 数据库、交换机、路由器、应用软件等。详情请参考官网链接:。
(2) 信息系统和云平台的安全评估
1. 网络安全等级保护评估。
《网络安全法》第 21 条规定,国家实行网络安全分级保护制度。自1994年国务院颁布《等保条例》以来,这项工作在中国已经实施了20多年。该系统的分级、评估和构建标准分别于 2019 年和 2020 年更新。主要参考标准为GB/T28448-2019、GB/T22239-2019和GB/T22240-2020。()
2. 云计算服务安全评估。
2019 年 7 月 2 日,国家互联网信息办公室、国家发展改革委、工业和信息化部、财政部联合发布了《云计算服务安全评估办法》,对党政机关和关键信息基础设施运营者采购、使用云计算服务的行为进行安全评估。
专业技术机构在开展云计算服务安全评估时,在办公室的指导和监督下,参照《云计算服务安全指南》和《云计算服务安全能力要求》等国家标准,重点评估《云计算服务安全评估办法》第三条所述内容, 并形成评估报告。
3. 信息安全风险评估
在 2017 年《网络安全法》中,“第十七条:国家推动建立社会化网络安全服务体系,鼓励相关企业事业单位开展网络安全认证、检测、风险评估等安全服务。第五十三条 国家网信部门会同有关部门建立健全网络安全风险评估和应急处置工作机制,制定网络安全事件应急预案,定期组织演练。......"均指与风险评估相关的工作。
2021 年 7 月 30 日,国务院正式颁布了《关键信息基础设施安全保护条例》。第十七条 运营者应当每年至少自行或者委托网络安全服务机构对关键信息基础设施进行一次网络安全检测和风险评估,发现的安全问题及时整改,并按照保护工作部门的要求报告情况。风险评估工作主要参照GB/T20984-2022《信息安全技术 信息安全风险评估方法》进行 [3]。
(3) ISO27001。ISO20000体系认证
ISO 27001 信息安全管理体系和 ISO 20000 信息技术服务管理体系,这两个体系认证在我们国内企业中也比较普遍。从差异的角度来看,两者的重点和适用范围并不一致:
ISO 27001 信息安全管理体系侧重于内部信息安全管理,通过风险控制点达到企业信息安全管理的目的。
ISO 20000 信息技术服务管理侧重于对外提供 IT 服务时的信息质量管理,安全性是评估企业提供 IT 服务质量的重要指标之一。
(四)第三方检验检测机构资质
第三方检测检验机构的资质通常被纳入国家检测认证体系的范围。2021年11月19日,为贯彻落实国务院改革要求,国家网络安全等级保护工作协调小组办公室发布公告,撤销网络安全等级评估机构推荐证书,相关工作纳入国家认证体系。
关于第三方检验检测机构的资质,中国合格评定国家认可委员会(CNAS)统一实施对国内认证机构、实验室和检验机构等相关机构的认可。
您可能看到的其他服务资质包括信息安全服务资质、CCRC 信息安全应急响应资质和 CCRC 信息安全风险评估资质
3. 企业用户管理(网络运营商)。
emm,我有个朋友......
根据现行法律法规的要求,其单位需要处理的网络安全工作是数据安全评估、信息安全风险评估、ISO27001认证、等保评估、密码评估、集团网络安全检查、主管部门(三部委)的网络安全检查,据说也可能做跨境数据评估
emm云开·全站app中心手机版,我有个朋友......
当天,他所在的小队接待了网安支队、国家网信办、经信委的网络安全检查组(该组安全检查员因疫情原因无法赶上本次会议)。检查完成后,应同时撰写三份检查整改报告。
因此,作为网络运营者,做好网络安全规划与管理体系最实际的意义在于制定一套适合自身的网络安全管理制度和运行机制,既能满足企业自身网络安全运行的需求,又能保证适当的成本投入, 同时可以应对各种检查和各种整改。
网安是一项投入成本的工作,自疫情以来,很多用户都减少了不少安防资金,在应对网安检查方面,我在这里分享两种方式,仅供参考:
1. 纯粹的反应性合规响应。例如,《网络安全法》和《数安法》分别提到,应明确网络安全和数据安全的负责人和管理机构,并落实网络安全和数据安全保护的责任。在企业的实际运营中,通常只有一个部门负责网络安全和数据安全,专职保安人员相对较少,处理管理制度和岗位设置中合规检查的方式是将原来的所谓网络安全管理岗位改为网络和数据安全管理岗位, 使原来的网络安全管理员成为网络和数据安全管理员(打开网络安全管理系统文件,按 Ctrl+F 将网络安全替换为网络和数据安全.......虽然这个方法看起来很滑稽,解决不了实际问题,但对于一个没钱、没人、网安检查很多的单位来说,可能是最合适的......
2. 主动合规响应。以一个标准为基础,建立一套安全管理体系,并与其他标准和相关要求形成映射关系。我们以安全管理体系中对人员管理的要求为例:
在GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》中,对于三级制,对人员的一般要求为8.18名安全管理人员。
在 GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求中,对人员的要求为 7.4 安全管理人员。
在《ISO27001信息安全管理体系》中,对人员的一般要求将在整个系统的二级方案文件和人员安全管理程序中。
在 GB/T37988-2019 数据安全能力成熟度模型中,对人员的要求为 12.2 PA21 组织和人员管理。
这四项标准基于不同的方法模型,都规定了操作员在人员管理、培训、背景调查、工作职责和保密义务方面应遵循的要求。因此,在编写自己的网络安全管理体系文档和需求时,可以形成一个简单的映射关联,如下图所示:
当外部法律法规或相关标准发生变化时,可与关系进行比对及时修订,从而达到多元合规体系的管理模式。
以上是网络安全合规体系建设的介绍,欢迎您予以纠正。
引用:
[1]
[2] 《中华人民共和国网络安全法解释》。杨和清.中国民主法制出版社
[3] GB/T20984-2022 信息安全技术 信息安全风险评估方法
鲁ICP备18019460号-4
我要评论