2020年作爲網絡安全等級保護制度正式實施的(de)“開局之年”,同時也(yě)是衆多(duō)網絡安全合規方向發生巨大(dà)突破的(de)一年。從年初的(de)《中華人(rén)民共和(hé)國密碼法》(簡稱《密碼法》)正式實施,到《信息安全技術 網絡安全等級保護定級指南(nán)》(簡稱《等級保護定級指南(nán)))的(de)正式發布;從公網安【2020】1960号文的(de)發布到《中華人(rén)民共和(hé)國個人(rén)信息保護法(草(cǎo)案)》(簡稱《個人(rén)信息保護法(草(cǎo)案))征求意見,合規工作逐漸成爲網絡安全建設中 爲重要的(de)一部分(fēn)。那麽,2020年合規方面發生了(le)哪些大(dà)事件,2021年合規建設該何去何從?
2020年1月(yuè):《密碼法》正式實施
《密碼法》作爲我國密碼領域首部綜合性、基礎性法律,從密碼管理(lǐ)的(de)基本原則、分(fēn)類管理(lǐ)、商用(yòng)密碼從業單位管理(lǐ),檢測認證體系建設,網絡運營者使用(yòng)等多(duō)個角度進行了(le)規範。對于關鍵信息基礎設施網絡使用(yòng)者則要求必須使用(yòng)商用(yòng)密碼并開展商用(yòng)密碼應用(yòng)安全性評估工作,未開展評估工作 高(gāo)面臨一百萬的(de)罰款,未采用(yòng)經過安全審查的(de)産品或服務則 高(gāo)面臨采購金額十倍的(de)罰款。《密碼法》的(de)正式實施也(yě)極大(dà)地推動了(le)網絡運營者對信息系統開展商用(yòng)密碼改造工作的(de)積極性。
2020年4月(yuè):《等級保護定級指南(nán)》正式發布
《等級保護定級指南(nán)》作爲等級保護2.0 後一個更新的(de)标準,明(míng)确了(le)确認網絡安全等級保護對象保護等級的(de)原理(lǐ)與流程,可(kě)用(yòng)于指導網絡運營者開展非涉及秘密的(de)等級保護對象的(de)定級工作。較上一版本主要有以下(xià)幾點變化(huà):
定級要素與安全保護等級調整
安全保護等級矩陣表
專家評審的(de)範圍明(míng)确:從原來的(de)第三級及以上需要進行專家評審調整爲第二級及以上,提高(gāo)了(le)等級保護對象等級确認的(de)準确性。
定級對象範圍的(de)擴大(dà):伴随著(zhe)等級保護工作的(de)不斷深入,保護對象的(de)範圍需要适應網絡安全發展的(de)需要,因此在《等級保護定級指南(nán)》中新加入了(le)“雲計算(suàn)平台/系統”、“物(wù)聯網”、“工業控制系統”、“采用(yòng)移動互聯技術的(de)系統”、“數據資源”等多(duō)種對象,也(yě)爲采用(yòng)新技術的(de)系統開展等級保護工作提供了(le)依據。
2020年7月(yuè):公網安【2020】1960号文件發布
公網安【2020】1960号文件指出,《貫徹落實網絡安全等級保護制度和(hé)關鍵信息基礎設施安全保護制度的(de)指導意見》作爲公安部用(yòng)于指導重點行業、部門開展等保、關保工作的(de)指導性文件。該指導性文件提出了(le)“三大(dà)基本原則”(堅持分(fēn)等級保護、突出重點;堅持積極防禦、綜合防護;堅持依法防護、形成合力)與“四大(dà)工作目标”(貫徹落實等級保護制度、建立與實施關鍵信息基礎設施保護制度、顯著提升網絡安全監測預警和(hé)綜合處置能力、基本形成網絡安全綜合防控體系)。對于網絡運營者主要關注以下(xià)幾點:
定級備案:應全面梳理(lǐ)網絡現狀,新建網絡需在規劃設計階段确定安全保護等級;
等級測評:新建第三級及以上系統必須在通(tōng)過等保測評後方可(kě)投入運行;
建設整改:落實“三同步”原則,按照(zhào)“一個中心、三重防護”的(de)要求開展建設整改工作;
安全責任:定期開展安全自查與檢測評估工作,及時整改安全隐患與薄弱環節;
供應鏈管理(lǐ):采購、使用(yòng)符合法律法規和(hé)有關标準規範要求的(de)網絡産品和(hé)服務;
密碼安全防護:第三級及以上運營者應在網絡安全等級測評中同步開展商用(yòng)密碼應用(yòng)安全性評估。
2020年10月(yuè):《個人(rén)信息保護法(草(cǎo)案)》征求意見
《個人(rén)信息法(草(cǎo)案)》以保護個人(rén)信息權益、規範個人(rén)信息處理(lǐ)活動、保障個人(rén)信息依法有序自由流動、促進個人(rén)信息合理(lǐ)使用(yòng)爲立法宗旨,規定了(le)個人(rén)、企業、機關多(duō)主體對個人(rén)信息保護的(de)權利/權力與義務。作爲網絡運營者,應重點關注以下(xià)方面:
建立個人(rén)信息安全保護制度:應對外部用(yòng)戶需要明(míng)确告知收集、使用(yòng)、向第三方提供、跨境時個人(rén)信息處理(lǐ)的(de)規則;對内則需要制定個人(rén)信息安全内部管理(lǐ)制度。
對外預防個人(rén)信息流通(tōng)的(de)風險:應保證個人(rén)信息來源的(de)合法性;應在接收方變更原先的(de)處理(lǐ)目的(de)、處理(lǐ)方式時重新向個人(rén)告知并獲得(de)同意;與第三方共享時應明(míng)确雙方對個人(rén)信息處理(lǐ)的(de)責任。
2020年11月(yuè):金融行業等級保護标準發布
金融行業等級保護2.0标準于11月(yuè)11日正式發布與實施,在國标的(de)基礎上提出了(le)網絡安全保障總體框架與增強的(de)要求,作爲金融設施的(de)運營者應重點關于以下(xià)内容:
總體原則:“技管交互、綜合保障”。遵循“技術要求”、“管理(lǐ)要求”互相交融的(de)原則,實現“技術體系”與“管理(lǐ)體系”的(de)互補。
技術體系:在傳統防護的(de)基礎上增強了(le)對于***持續威脅監測的(de)要求,增強了(le)對于誘捕、欺騙攻擊者的(de)要求;在數據備份與恢複方面進一步強化(huà),對同城(chéng)數據中心、異地數據中心提出了(le)更高(gāo)的(de)要求;在雲計算(suàn)擴展要求部分(fēn)則增強了(le)對于互聯網提供金融服務的(de)雲平台安全能力的(de)要求。
管理(lǐ)體系:網絡運營者應基于“建立(規劃)”、“實施和(hé)執行(實施)”、“監控和(hé)審查(檢查)”、“保持和(hé)改進(處置)”的(de)原則,構建生命周期管理(lǐ)體系。
結合2020年合規大(dà)事件,展望2021年合規工作:
1、合規工作的(de)重要性逐漸提高(gāo):2021年将會有更多(duō)的(de)條例與标準發布,合規工作的(de)開展也(yě)将繼續深入。從新産品到新方案的(de)運用(yòng),從經費與人(rén)員的(de)保障到管理(lǐ)制度的(de)落實,公網安【2020】1960号文也(yě)爲網絡運營者指明(míng)了(le)後續工作的(de)方向。
2、行業合規要求日益強化(huà):2020年發布了(le)民航、金融、廣電、報業等多(duō)個領域的(de)等級保護标準,多(duō)個行業等級保護及網絡安全标準也(yě)在積極編制中。2021年合規工作的(de)行業屬性将更強,合規要求也(yě)将更爲細化(huà)。
3、被動防禦向主動對抗轉換:在關鍵信息基礎設施的(de)合規建設中,主動防禦、主動對抗将成爲重點,這對網絡運營者自身的(de)安全能力提出了(le)更高(gāo)的(de)要求,如何從海量的(de)安全事件中篩選出有用(yòng)的(de)信息并進行反制是網絡運營者首先要解決的(de)問題。
4、新技術領域的(de)合規要求重視程度逐漸提升:雲計算(suàn)、5G、區塊鏈等新技術廣泛應用(yòng)的(de)同時,也(yě)帶來了(le)新的(de)安全風險,如何更好開展新技術領域合規工作是網絡運營者需要關注的(de)重點。
客服1 
客服2