首頁 > 專家視角 > 正文

《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理提出更高要求

稿件來源:光明網(wǎng) 發(fā)布時(shí)間:2016-11-21 11:15:16

  自從十二屆全國人大常委會(huì)把制定網(wǎng)絡(luò)安全方面的立法列入立法工作計(jì)劃以來,社會(huì)各界對(duì)《中華人民共和國網(wǎng)絡(luò)安全法》的制定高度關(guān)注。大家清楚地看到,網(wǎng)絡(luò)安全問題引起社會(huì)公共利益和經(jīng)濟(jì)受損,公民、法人和其他組織的合法權(quán)益遭受侵害的事件屢見不鮮,通過立法手段來進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全管理已成眾望所歸。11月7日,全國人大常委會(huì)表決通過《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》),網(wǎng)絡(luò)安全領(lǐng)域第一部基礎(chǔ)性、框架性法律正式出臺(tái)。

“沒有絕對(duì)的安全”是網(wǎng)絡(luò)安全從業(yè)人員的共識(shí),實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理,將安全風(fēng)險(xiǎn)控制在可接受的水平是網(wǎng)絡(luò)安全工作的基本方法論,縱觀《網(wǎng)絡(luò)安全法》,其中就包含安全標(biāo)準(zhǔn)、安全檢測(cè)和認(rèn)證、安全風(fēng)險(xiǎn)評(píng)估、安全審查為代表的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理措施的條款多達(dá)十五條。《網(wǎng)絡(luò)安全法》具體闡述了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的哪些理念?會(huì)對(duì)今后的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作帶來什么變化?本文從以下三方面予以論述。

一、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的地位得以全面提升

僅從方法論來看網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理,其過程涉及信息系統(tǒng)的全生命周期,包括規(guī)劃、建設(shè)、運(yùn)行、廢棄等階段的風(fēng)險(xiǎn)管理。然而,從實(shí)施角度來看,首先,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理需具備合法和正當(dāng)?shù)哪康!毒W(wǎng)絡(luò)安全法》第二十六條明確規(guī)定,“開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng),向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,應(yīng)當(dāng)遵守國家有關(guān)規(guī)定。”目前,我國尚存在不少機(jī)構(gòu)和個(gè)人未得到正式授權(quán)進(jìn)行安全檢測(cè)、漏洞挖掘和披露的行為,其中不乏因操作不當(dāng)或?qū)蠊烙?jì)不足對(duì)被檢測(cè)方造成危害的案例,其所謂的“安全風(fēng)險(xiǎn)評(píng)估”反而成為真正的風(fēng)險(xiǎn)點(diǎn)。其次,安全檢測(cè)、認(rèn)證和風(fēng)險(xiǎn)評(píng)估作為加強(qiáng)網(wǎng)絡(luò)安全管理的手段,也在《網(wǎng)絡(luò)安全法》中有多處提及,為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理相關(guān)工作提供了充分的法律依據(jù)。

此外,實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理,在法律的基礎(chǔ)上,還必須依賴科學(xué)先進(jìn)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。今年8月,中央網(wǎng)信辦、國家質(zhì)檢總局、國家標(biāo)準(zhǔn)委聯(lián)合印發(fā)《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》,意見明確要求,推動(dòng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與國家相關(guān)法律法規(guī)的配套銜接!毒W(wǎng)絡(luò)安全法》即是該思想的充分體現(xiàn),提及安全標(biāo)準(zhǔn)和規(guī)范的條款達(dá)七條之多,其中多處提到“國家標(biāo)準(zhǔn)的強(qiáng)制性要求”,安全標(biāo)準(zhǔn)的地位得到顯著加強(qiáng)。由上述可見,《網(wǎng)絡(luò)安全法》所闡述的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理理念,是以法律法規(guī)為基,以安全標(biāo)準(zhǔn)為綱,只有“立得穩(wěn),行得正”的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理措施才能真正發(fā)揮其效用。

二、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的范圍得到全面擴(kuò)展

實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理,原本是從保護(hù)組織資產(chǎn)和業(yè)務(wù)的角度出發(fā),使其免于遭受損失。然而,《網(wǎng)絡(luò)安全法》是從總體國家安全觀出發(fā),將網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益,公民、法人和其他組織的合法權(quán)益均納入保護(hù)對(duì)象,大大擴(kuò)展了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的適用范圍。首先,《網(wǎng)絡(luò)安全法》進(jìn)一步強(qiáng)化了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的內(nèi)容,在第三十一條中明確列出關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),因其影響重大,是在網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)上的進(jìn)一步重點(diǎn)保護(hù),充分體現(xiàn)了安全風(fēng)險(xiǎn)管理的思想。其次,第三十五條提出,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)通過安全審查,該措施即是針對(duì)國家安全層面實(shí)施安全風(fēng)險(xiǎn)管理的有效舉措。

此外,《網(wǎng)絡(luò)安全法》針對(duì)公民個(gè)人信息保護(hù),提出了大量具體要求,一方面彌補(bǔ)了國內(nèi)在此方面立法的不足,另一方面將個(gè)人信息保護(hù)納入到網(wǎng)絡(luò)產(chǎn)品提供者和服務(wù)運(yùn)營者實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的必要內(nèi)容。由上述可見,《網(wǎng)絡(luò)安全法》所闡述的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理范圍,是在傳統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)上,進(jìn)一步擴(kuò)展到國家關(guān)鍵信息基礎(chǔ)設(shè)施、公民個(gè)人信息等方面,同時(shí)提出了安全審查等國家層面的治理手段,其內(nèi)容大大豐富,效應(yīng)更加廣泛。

三、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的落地將會(huì)更加扎實(shí)

從以往網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理經(jīng)驗(yàn)來看,有些時(shí)候所取得的效果欠佳。首先,由于以前國家在網(wǎng)絡(luò)安全方面立法尚不完善,有不少企業(yè)實(shí)施的信息安全管理體系、PDCA(即計(jì)劃、執(zhí)行、檢查、糾正程序)等管理方式往往只是流于形式,沒有在效果上形成真正的“閉環(huán)”!毒W(wǎng)絡(luò)安全法》可謂“一錘定音”,將網(wǎng)絡(luò)產(chǎn)品提供者和服務(wù)運(yùn)營者的法律責(zé)任予以明確,使用執(zhí)法手段倒逼其強(qiáng)化自身安全管理。其次,以往的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中,我們一直關(guān)心的是發(fā)現(xiàn)脆弱性,改進(jìn)安全措施,而對(duì)威脅的控制無計(jì)可施,此種方式非常被動(dòng)且成本很高!毒W(wǎng)絡(luò)安全法》在第六章法律責(zé)任中提出了對(duì)各類違法行為的制裁措施,由被動(dòng)轉(zhuǎn)主動(dòng),有效震懾威脅源行為,將更多的成本轉(zhuǎn)移到威脅源,打通了安全風(fēng)險(xiǎn)處置的“最后一公里”,形成真正的風(fēng)險(xiǎn)管理閉環(huán)。由上述可見,實(shí)施《網(wǎng)絡(luò)安全法》,定會(huì)大幅度提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的效果。

出臺(tái)《網(wǎng)絡(luò)安全法》是我國網(wǎng)絡(luò)安全領(lǐng)域立法工作跨出的最為關(guān)鍵的一步,意義非凡。圍繞《網(wǎng)絡(luò)安全法》展開工作,將是今后網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定、安全檢測(cè)和認(rèn)證、風(fēng)險(xiǎn)評(píng)估、安全審查等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作的重中之重。