新闻快讯
< >

《网络安全法》合规之:责任主体的双面规范与自查维度

《网络安全法》(以下简称网安法)已于2017年6月1日正式施行,为我国全面解决网络安全问题提供了基本法律支撑。法律生命力在于实施,贯彻落实网安法是当前和今后一个时期网络安全工作的中心任务。

《网络安全法》合规之:责任主体的双面规范与自查维度-E安全

黄道丽 公安部第三研究所 副研究员

一、多层次责任主体的双面规范架构

习近平总书记在主持4.19座谈时明确指出“维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。” 为了切实形成全社会共同维护网络安全的强大合力,网安法构建了政府、组织和个人的多层次责任主体架构,针对不同责任主体给予相对应的发展和保障措施。

政府层面,网络法覆盖国家网信部门、国务院电信主管部门、公安部门、关键信息基础设施安全保护工作部门、国务院标准化行政主管部门、县级以上地方人民政府有关部门等主体。网安法一方面明确网络安全监管体制,理顺各部门之间的权力范围,赋予其维护网络安全、惩治网络犯罪的权力;另一方面通过强化法律责任和社会监督,限定权力边界,推进国家治理体系和治理能力现代化。

组织层面,网安法覆盖网络运营者、网络产品和服务提供者、关键信息基础设施运营者、个人和组织、电子信息发送服务提供者、应用软件下载服务提供者、网络安全服务机构、网络相关行业组织、研究机构、企业、高校、大众传播媒介等主体,网安法一方面明确特定组织的网络安全保护义务和合规要求,强化社会责任,实施信用惩戒,加大对组织违法行为的处罚力度;另一方面鼓励支持企业创新,加强政企合作,支持企业、研究机构、高等院校、行业组织等参与标准制定,支持开展网络安全相关教育与培训,支持多种方式培养网络安全人才,促进经济社会信息化健康发展。

个人层面,网安法一方面保护其依法使用网络的权利,赋予其社会监督权利,突出未成年人保护,全生命周期强化个人信息保护;另一方面倡导社会主义核心价值观,行刑衔接划定个人实施网络安全活动的界限,规范个人网络信息内容,创设从业禁止规定,加大对个人违法行为的处罚力度。

网安法对多层次责任主体的双面规范有助于各级政府和各行业各领域加强对网络安全保护、网络安全教育、网络安全宣传、网络安全产业的统筹规划;有助于促全社会提升对网络安全保护工作重要程度的认知,系统和全面认识网络安全保护工作体系、工作内容和工作措施,提升开展网络安全保护工作的能力;有助于个人 提高网络安全意识,增强自我保护能力,降低个人实施危害网络安全行为的可能性,提升全社会网络安全保护水平。

二、企业主体责任的自查维度

多层次责任主体的双面规范架构决定了可以以合规和自查为工作方法贯彻落实网安法。以企业为例,企业不仅维护网络空间安全的中坚力量,更是政府监管和个人活动的桥梁纽带。“网络安全是动态的而不是静态的”,企业整体系统性安全防护应变能力面临更高的挑战。网安法不仅是一部体现顶层设计、自上而下的基本法,更是一部企业迎难而上,顺势而为的“自适应”规则体系。贯彻落实网安法,也需要企业进行及时全面的网络安全自查,快速发现漏洞等安全隐患,实施有效整改,增强其自我网络安全保障能力。在国家互联网信息办公室的指导下,中国网络空间安全协会与地方网信办共同举办的“网安中国行(2017)”系列活动即包括以面向网安协会会员单位为主开展的行业网安自查工作。

自查维度可以基于简单分类和风险控制清单设计,实现企业对自身网络安全风险、合规风险的快速匹配,为持续合规与完善夯实基础。举例来说,网络运营者自查的维度构成可以分为四个控制“域”:网络安全管理机构制度、网络运行安全、数据安全、监测预警与应急处置,通过这四个域的设置,基本可以实现对网安法要求的网络安全保护义务的覆盖。此外,针对不同类型的企业,还应增加控制域,如对“网络信息服务提供者”和《互联网新闻信息服务管理规定》所规定的“互联网新闻信息服务提供者”,需增加内容安全,以突显对“十不准”等禁止内容的针对性自查,而对于某些涉及特殊项如用户个人信息行业(比如电商、快递),则需要在“网络安全管理机构制度”将人员安全单独列出重点关注。

在区分安全管理的“域”之后,应考虑技术措施、管理制度、协议条款以及具体的部署和管理行为,将法律条款的法言法语进行符合企业应用的重新表述,颗粒度不断细化。以网安法第21条为例,“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,……(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”,在企业的实际部署上,首先,企业要采购和部署IPS/IDS等软硬件设备,并对其进行定期的升级、漏洞修复等规范动作;其次,企业在进行IPS/IDS等软硬件设备的采购和部署时,应按照网安法第22条“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”的规定对供应商进行技术、标准、(服务水平)协议、管理、人员(访问控制)层面的审查。

总体来说,企业主体责任的自查工作,就是按照清单设计和体现的管理思路,发现隐患和问题,为后续的整改提供支持,即问题发现为网安法合规的第一步;同时自查的过程也是一次系统的网安法宣贯培训的过程,有利于企业的不同部门形成对网络安全保护工作重要程度的统一认识,提升企业总体网络安全防护应变的能力。

相关阅读:

黄道丽:以WannaCry勒索攻击事件为例分析《网络安全法》有效性度量

E安全注:本文系E安全独家约稿,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。