新(xīn)聞詳情

News

多(duō)項網絡安(ān)全推薦性國(guó)家标準計劃下達,合規建設刻不容緩
新(xīn)聞動态
2024-07-16

随着數字化進程的加速推進,網絡安(ān)全成為(wèi)了國(guó)家發展的重要基石。近日,國(guó)家标準化管理(lǐ)委員會下達5項網絡安(ān)全推薦性國(guó)家标準計劃,涵蓋數據安(ān)全、個人信息安(ān)全、網絡安(ān)全等多(duō)個關鍵領域。這一系列标準現廣泛征求意見,旨在構建更加完善的安(ān)全體(tǐ)系,強化網絡空間的防禦能(néng)力,為(wèi)各行各業的數字化轉型保駕護航。

1721093241(1).jpg

一、我國(guó)網絡安(ān)全合規建設迫在眉睫

随着信息技(jì )術的飛速發展,網絡安(ān)全威脅日益嚴峻,從數據洩露到勒索軟件,從網絡詐騙到高級持續性威脅(APT),每一次攻擊都可(kě)能(néng)在不經意間對企業乃至國(guó)家造成不可(kě)估量的損失。面對日益複雜的網絡安(ān)全環境,我國(guó)網絡安(ān)全合規建設已迫在眉睫。無論是《網絡安(ān)全法》、《數據安(ān)全法》還是《個人信息保護法》等法律法規的相繼出台,都彰顯了國(guó)家對于網絡安(ān)全合規的高度重視。

1. 基礎性法律凸顯網絡安(ān)全合規重要性

網絡安(ān)全法律法規伴随着行業高速成長(cháng)而不斷完善和豐富。從2017年6月實施的《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》,再到2019年12月實施的網絡安(ān)全等級保護制度2.0标準(簡稱:等保2.0),以及2021年連續實施的《關鍵信息基礎設施安(ān)全保護條例》、《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》,以及《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》等等,2022年《網絡數據安(ān)全管理(lǐ)條例》也正式納入立法過程。無論是政策法規、規章條例的數量之多(duō),還是近期政策推出的頻度之密,都凸顯了網絡安(ān)全合規的重要性和緊迫性。

2. 網絡安(ān)全合規由國(guó)家立法向行業立法深入

随着《網絡安(ān)全法》及相關條例的實施,行業立法在網絡安(ān)全領域逐步深化,着重于合規管理(lǐ)。2022至2023年間,多(duō)個行業響應國(guó)家法規,制定具(jù)體(tǐ)管理(lǐ)辦(bàn)法:醫(yī)療衛生領域首推網絡安(ān)全管理(lǐ)辦(bàn)法;能(néng)源領域發布電(diàn)力行業網絡安(ān)全等級保護辦(bàn)法,并強化關鍵信息基礎設施監管;證券期貨行業出台網絡和信息安(ān)全管理(lǐ)辦(bàn)法,加強投資者數據保護及合規指導;交通運輸部與國(guó)家鐵路局亦分(fēn)别制定了公(gōng)路水路及鐵路關鍵信息基礎設施的安(ān)全保護管理(lǐ)辦(bàn)法,構建全面保護機制。

這些舉措反映了高數據價值行業及公(gōng)共服務(wù)領域對網絡安(ān)全合規的重視,旨在通過前置保護與全程監管,确保數據安(ān)全與行業發展并進。電(diàn)信、證券、能(néng)源、交通等行業因涉及大量敏感數據與公(gōng)共服務(wù),面臨嚴峻安(ān)全挑戰,需密切關注監管動态,不斷完善内部網絡安(ān)全合規體(tǐ)系,以應對不斷演變的網絡安(ān)全威脅。

二、網絡安(ān)全合規面臨諸多(duō)挑戰

随着網絡安(ān)全監管規定繁多(duō)且複雜,網絡安(ān)全監管要求越來越多(duō),越來越細,網絡安(ān)全面臨着諸多(duō)挑戰。

1.網絡安(ān)全監管合規要求多(duō)

《網絡安(ān)全法》、《數據安(ān)全法》、《密碼法》、《個人信息保護法》、《網絡安(ān)全責任制》、《關鍵信息基礎設施保護條例》、《信息安(ān)全技(jì )術 信息系統安(ān)全等級保護基本要求》等法律、制度、條例要求不斷完善。

2.合規驗證工(gōng)作(zuò)存在重複性

網絡安(ān)全不同法規、标準間可(kě)能(néng)存在交叉,導緻合規評估與整改工(gōng)作(zuò)耗時耗力,效率亟待提升。為(wèi)滿足監管要求,開展了等級測評、密碼應用(yòng)安(ān)全評估、數據安(ān)全、風險評估、個人信息保護等工(gōng)作(zuò),但其中(zhōng)近40%的工(gōng)作(zuò)都存在一定的重複,付出了大量重複工(gōng)作(zuò)和重複勞動,如重複編寫文(wén)檔、填寫報告、測評等,浪費了時間、人力、資金成本。

3.難以實現一次性合規

由于法規更新(xīn)頻繁、技(jì )術發展迅速、業務(wù)需求變化等因素,信息系統難以實現一次性合規。沒有(yǒu)形成動态管理(lǐ)的機制,沒有(yǒu)随着信息系統、信息資産(chǎn)、外部環境等各類變化,動态調整相應的合規管理(lǐ)工(gōng)作(zuò),缺乏對合規問題的持續監測與跟蹤,不能(néng)滿足長(cháng)期符合不斷演進的網絡安(ān)全監管要求。

三、多(duō)規管理(lǐ)融合保障網絡安(ān)全全面合規

面臨諸多(duō)風險挑戰,道普信息風險管控專家提出需在合規規劃、合規實施、結果管理(lǐ)和合規跟蹤等關鍵環節上,實施多(duō)合規融合管理(lǐ)策略,以實現全面、持續性的合規效果。

1.合規規劃階段多(duō)規管理(lǐ)

應充分(fēn)調研并梳理(lǐ)适用(yòng)的網絡安(ān)全法規、标準與政策,明确合規目标與要求,形成統一的合規清單。并對合規管理(lǐ)進行整體(tǐ)規劃,通過全面識别、梳理(lǐ)合規管理(lǐ)對象,分(fēn)析合規管理(lǐ)對象的合規現狀,形成全面合規管理(lǐ)規劃,保障合規管理(lǐ)全覆蓋、實現對管理(lǐ)對象的合規分(fēn)類管理(lǐ),減少後期合規管理(lǐ)的成本。

2.合規實施階段多(duō)規管理(lǐ)

按照多(duō)合規要求融合整改(建設),确定各合規管理(lǐ)對象的合規要求,綜合分(fēn)析安(ān)全現狀與合規要求之間的差距,從技(jì )術和管理(lǐ)兩個維度進行融合整改(建設),實現“一次整改(建設),滿足多(duō)規”,避免重複投入、保障各合規要求的有(yǒu)效融合,從而工(gōng)作(zuò)中(zhōng)心向合規管理(lǐ)聚焦。

3.結果管理(lǐ)階段多(duō)規管理(lǐ)

對合規實施的結果進行有(yǒu)效管控,首先,開展等保、密評、關保、數據安(ān)全、個人信息保護“N合1”融合評估,驗證多(duō)合規整改(建設)的有(yǒu)效性;其次,将評估結果上報監管部門;最後,對安(ān)全狀态、不符合項進行分(fēn)析并建檔,為(wèi)後續的合規管理(lǐ)持續改進提供支撐。

4.合規追蹤階段多(duō)規管理(lǐ)

持續跟蹤合規狀況并持續改進,主要進行合規狀态管理(lǐ)(動态更新(xīn)資産(chǎn)清單、對象合規控制清單)、安(ān)全狀态監控(實時監測、周期測試)、管理(lǐ)記錄維護、不符合項管理(lǐ)(不符合項動态處置)。通過建立法規監測與更新(xīn)機制,及時跟進網絡安(ān)全相關法律法規、标準與政策的變化,評估其對現有(yǒu)系統的影響,适時調整合規規劃與實施策略。通過合規跟蹤實現合規管理(lǐ)持續優化、改進,提升合規管理(lǐ)能(néng)力,确保信息系統始終保持合規狀态。

網絡安(ān)全推薦性國(guó)家标準不斷發布,不僅體(tǐ)現了國(guó)家對網絡安(ān)全合規重視程度的提升,也反映了當前網絡安(ān)全形勢的嚴峻性和複雜性。多(duō)規融合管理(lǐ)策略的提出,為(wèi)實現全面、持續性的合規效果提供了新(xīn)的思路。在未來的數字化進程中(zhōng),隻有(yǒu)将合規視為(wèi)企業發展戰略的一部分(fēn),才能(néng)在瞬息萬變的網絡空間中(zhōng)穩健前行,構築起堅不可(kě)摧的安(ān)全防線(xiàn)。讓我們攜手并進,共創網絡空間的美好未來。