2020年作爲網絡安全等級保護制度正式實施的“開局之年”,同時也是衆多網絡安全合規方向發生(shēng)巨大(dà)突破的一(yī)年。從年初的《中(zhōng)華人民共和國密碼法》(簡稱《密碼法》)正式實施,到《信息安全技術 網絡安全等級保護定級指南(nán)》(簡稱《等級保護定級指南(nán)))的正式發布;從公網安【2020】1960号文的發布到《中(zhōng)華人民共和國個人信息保護法(草案)》(簡稱《個人信息保護法(草案))征求意見,合規工(gōng)作逐漸成爲網絡安全建設中(zhōng) 爲重要的一(yī)部分(fēn)。那麽,2020年合規方面發生(shēng)了哪些大(dà)事件,2021年合規建設該何去(qù)何從?
2020年1月:《密碼法》正式實施
《密碼法》作爲我(wǒ)國密碼領域首部綜合性、基礎性法律,從密碼管理的基本原則、分(fēn)類管理、商(shāng)用密碼從業單位管理,檢測認證體系建設,網絡運營者使用等多個角度進行了規範。對于關鍵信息基礎設施網絡使用者則要求必須使用商(shāng)用密碼并開展商(shāng)用密碼應用安全性評估工(gōng)作,未開展評估工(gōng)作 高面臨一(yī)百萬的罰款,未采用經過安全審查的産品或服務則 高面臨采購金額十倍的罰款。《密碼法》的正式實施也極大(dà)地推動了網絡運營者對信息系統開展商(shāng)用密碼改造工(gōng)作的積極性。
2020年4月:《等級保護定級指南(nán)》正式發布
《等級保護定級指南(nán)》作爲等級保護2.0 後一(yī)個更新的标準,明确了确認網絡安全等級保護對象保護等級的原理與流程,可用于指導網絡運營者開展非涉及秘密的等級保護對象的定級工(gōng)作。較上一(yī)版本主要有以下(xià)幾點變化:
定級要素與安全保護等級調整
安全保護等級矩陣表
專家評審的範圍明确:從原來的第三級及以上需要進行專家評審調整爲第二級及以上,提高了等級保護對象等級确認的準确性。
定級對象範圍的擴大(dà):伴随着等級保護工(gōng)作的不斷深入,保護對象的範圍需要适應網絡安全發展的需要,因此在《等級保護定級指南(nán)》中(zhōng)新加入了“雲計算平台/系統”、“物(wù)聯網”、“工(gōng)業控制系統”、“采用移動互聯技術的系統”、“數據資源”等多種對象,也爲采用新技術的系統開展等級保護工(gōng)作提供了依據。
2020年7月:公網安【2020】1960号文件發布
公網安【2020】1960号文件指出,《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》作爲公安部用于指導重點行業、部門開展等保、關保工(gōng)作的指導性文件。該指導性文件提出了“三大(dà)基本原則”(堅持分(fēn)等級保護、突出重點;堅持積極防禦、綜合防護;堅持依法防護、形成合力)與“四大(dà)工(gōng)作目标”(貫徹落實等級保護制度、建立與實施關鍵信息基礎設施保護制度、顯著提升網絡安全監測預警和綜合處置能力、基本形成網絡安全綜合防控體系)。對于網絡運營者主要關注以下(xià)幾點:
定級備案:應全面梳理網絡現狀,新建網絡需在規劃設計階段确定安全保護等級;
等級測評:新建第三級及以上系統必須在通過等保測評後方可投入運行;
建設整改:落實“三同步”原則,按照“一(yī)個中(zhōng)心、三重防護”的要求開展建設整改工(gōng)作;
安全責任:定期開展安全自查與檢測評估工(gōng)作,及時整改安全隐患與薄弱環節;
供應鏈管理:采購、使用符合法律法規和有關标準規範要求的網絡産品和服務;
密碼安全防護:第三級及以上運營者應在網絡安全等級測評中(zhōng)同步開展商(shāng)用密碼應用安全性評估。
2020年10月:《個人信息保護法(草案)》征求意見
《個人信息法(草案)》以保護個人信息權益、規範個人信息處理活動、保障個人信息依法有序自由流動、促進個人信息合理使用爲立法宗旨,規定了個人、企業、機關多主體對個人信息保護的權利/權力與義務。作爲網絡運營者,應重點關注以下(xià)方面:
建立個人信息安全保護制度:應對外(wài)部用戶需要明确告知(zhī)收集、使用、向第三方提供、跨境時個人信息處理的規則;對内則需要制定個人信息安全内部管理制度。
對外(wài)預防個人信息流通的風險:應保證個人信息來源的合法性;應在接收方變更原先的處理目的、處理方式時重新向個人告知(zhī)并獲得同意;與第三方共享時應明确雙方對個人信息處理的責任。
2020年11月:金融行業等級保護标準發布
金融行業等級保護2.0标準于11月11日正式發布與實施,在國标的基礎上提出了網絡安全保障總體框架與增強的要求,作爲金融設施的運營者應重點關于以下(xià)内容:
總體原則:“技管交互、綜合保障”。遵循“技術要求”、“管理要求”互相交融的原則,實現“技術體系”與“管理體系”的互補。
技術體系:在傳統防護的基礎上增強了對于***持續威脅監測的要求,增強了對于誘捕、欺騙攻擊者的要求;在數據備份與恢複方面進一(yī)步強化,對同城數據中(zhōng)心、異地數據中(zhōng)心提出了更高的要求;在雲計算擴展要求部分(fēn)則增強了對于互聯網提供金融服務的雲平台安全能力的要求。
管理體系:網絡運營者應基于“建立(規劃)”、“實施和執行(實施)”、“監控和審查(檢查)”、“保持和改進(處置)”的原則,構建生(shēng)命周期管理體系。
結合2020年合規大(dà)事件,展望2021年合規工(gōng)作:
1、合規工(gōng)作的重要性逐漸提高:2021年将會有更多的條例與标準發布,合規工(gōng)作的開展也将繼續深入。從新産品到新方案的運用,從經費與人員的保障到管理制度的落實,公網安【2020】1960号文也爲網絡運營者指明了後續工(gōng)作的方向。
2、行業合規要求日益強化:2020年發布了民航、金融、廣電、報業等多個領域的等級保護标準,多個行業等級保護及網絡安全标準也在積極編制中(zhōng)。2021年合規工(gōng)作的行業屬性将更強,合規要求也将更爲細化。
3、被動防禦向主動對抗轉換:在關鍵信息基礎設施的合規建設中(zhōng),主動防禦、主動對抗将成爲重點,這對網絡運營者自身的安全能力提出了更高的要求,如何從海量的安全事件中(zhōng)篩選出有用的信息并進行反制是網絡運營者首先要解決的問題。
4、新技術領域的合規要求重視程度逐漸提升:雲計算、5G、區塊鏈等新技術廣泛應用的同時,也帶來了新的安全風險,如何更好開展新技術領域合規工(gōng)作是網絡運營者需要關注的重點。