《网络安全法》(以下简称“网安法”)第三十八条和《关键信息基础设施安全保护条例》(征求意见稿)第二十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。该规定与美国《联邦信息安全现代化法》等域外法律已体现出各国对网络安全风险评估的认识与重要性研判上升到类似《萨班斯法案》的合规高度,对关键信息基础设施运营者的成本投入、内控水平等都提出了更高要求。
本文比较了美国家标准与技术研究院(NIST)于2014年制定的《提升关键基础设施网络安全框架》(CSF Ver 1.0 )、我国财政部、证监会、审计署、银监会、保监会2009年开始实施的《企业内部控制基本规范》(借鉴了包括COSO内部控制整合框架等)、传统信息安全领域经典的ISO 27001体系,以及工信部《工业控制系统信息安全防护指南》《工业控制系统信息安全防护能力评估工作管理办法》(含附件《工业控制系统信息安全防护能力评估方法》)几种年度风险评估的方法,以供开展相关合规工作参考。
NIST框架 | ISO/IEC体系 | 内控规范(COSO) | 工控指南 | |||
提供了《联邦信息安全管理法》、《联邦信息安全现代化法》等与关键设施保护总统令、标准的衔接 | 基于信息安全风险管理,通过从控制域到控制目标再到控制措施逐层细化,特定的增加项体现在27000等标准簇中 | 侧重业务整体性和审计:内部控制审计是建设与实施内部控制的重要环节,是检验内部控制有效性的重要手段和有力保证 | 按照《工业控制系统信息安全防护能力评估方法》5.8.3定期评估要求,该评估为“评估所形成的评估得分及报告,仅是对评估时工控系统安全防护状况的表述”,表明实质上符合第38条评估要求 | |||
识别 | 资产管理 | 安全方针(策略) | 内部环境 | 组织架构 | 内部控制应用 | 安全软件选择与管理 |
业务环境 | 信息安全组织 | 发展战略 | 配置和补丁管理 | |||
(公司)治理 | 资产管理 | 人力资源 | 边界安全防护 | |||
风险评估 | 人力资源安全 | 社会责任 | 物理和环境安全防护 | |||
风险管理战略 | 物理和环境安全 | 企业文化 | 身份认证 | |||
供应链风险管理 | 通信和操作管理 | 风险评估 | 资金活动 | 远程访问安全 | ||
防护 | 身份管理与访问控制 | 访问控制 | 采购业务 | 安全监测和应急预案演练 | ||
意识与培训 | 信息系统获取、开发和维护 | 资产管理 | 资产安全 | |||
数据安全 | 事件管理 | 销售业务 | 数据安全 | |||
信息保护规程 | 业务连续性管理 | 研究与开发 | 供应链管理 | |||
(业务)连续性 | 符合性 | 工程项目 | 落实责任(人) | |||
保护技术措施 | 提供审计与认证的组织增加项 | 担保业务 | ||||
检测 | 异常与事件 | 电信组织增加项 | 业务外包 | |||
安全持续性监控 | 金融机构增加项 | 信息系统 | ||||
检测规程 | 云服务机构增加项 | 控制活动 | 财务报告 | |||
响应 | 应急计划 | 个人可识别信息(PII)增加项 | 全面预算 | |||
通讯 | 能源行业增加项 | 合同管理 | ||||
分析 | 网络安全(Cybersecurity)增加项 | 信息与沟通 | 内部信息传递 | |||
缓解 | 信息安全事件管理增加项 | 内部监督 | 缺陷认定 | 内部控制评价 | ||
改进 | 供应链安全增加项 | 自我评价 | ||||
恢复 | 恢复计划 | 电子数据证据增加项 | 利用信息系统实施内部控制 | |||
提升 | 入侵检测(IDPS)增加项 | 内控审计报告 | 内部控制审计 | |||
通讯 | 隐私管理增加项 | (本格特意留空) |
作为基础制度文件,网安法并未对检测评估的具体内容作出指引和示范性规定,因此可以理解为在相应的指引或示范性规定未出台之前,关键信息基础设施运营者根据并结合所在行业要求和自身特点,以上述规定的实质性符合为目标所作出和报送的评估报告,都属于网安法所称的年度关键信息基础设施网络安全评估报告。
作者简介:
原浩:江苏竹辉律师事务所合伙人,CISSP (2007-2010),江苏省律协电子商务与信息网络业务委员会副主任,全国律协信息网络与高新技术专业委员会研讨员,西安交通大学信息安全法律研究中心兼职研究员