公司

首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2022 > 正文

央視新聞|《網(wǎng)絡(luò)安全審查辦法》今日施行，安恒信息范淵接受央視采訪

閱讀量：次

由國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部等十三個(gè)部門聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法（2021）》（以下簡(jiǎn)稱《辦法》）今日施行。《辦法》共二十三條，在《網(wǎng)絡(luò)安全審查辦法（2020）》的基礎(chǔ)上，根據(jù)《中華人民共和國(guó)國(guó)家安全法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》法規(guī)的要求，修訂了網(wǎng)絡(luò)安全審查的范圍及審查程序、考慮因素等內(nèi)容。

安恒信息董事長(zhǎng)范淵接受央視新聞采訪，對(duì)《辦法》實(shí)施后申報(bào)網(wǎng)絡(luò)安全審查的三種情況進(jìn)行了解釋說明。《辦法》要求關(guān)鍵信息基礎(chǔ)運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的應(yīng)該預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，影響或者可能影響國(guó)家安全的應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

接下來(lái)，本文從關(guān)基保護(hù)和數(shù)據(jù)安全全球現(xiàn)狀出發(fā)，重在解讀《辦法》亮點(diǎn)內(nèi)容、以及《辦法》實(shí)施后企業(yè)應(yīng)當(dāng)采取的數(shù)據(jù)安全合規(guī)措施。

關(guān)基保護(hù)和數(shù)據(jù)安全

被推向國(guó)際斗爭(zhēng)第一線

當(dāng)前，數(shù)字革命正推動(dòng)著全球生產(chǎn)模式的變革，數(shù)據(jù)已經(jīng)成為全球政府和企業(yè)最核心資產(chǎn)。以關(guān)鍵基礎(chǔ)設(shè)施攻擊、數(shù)據(jù)安全攻擊為代表的高破壞、強(qiáng)針對(duì)性攻擊被推向國(guó)際斗爭(zhēng)的第一線。

近年來(lái)，黑客組織和一些國(guó)家或地區(qū)有組織、有預(yù)謀地針對(duì)他國(guó)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊頻率明顯增高。如俄羅斯衛(wèi)星通訊社2021年7月12日消息，稱“2021年上半年，俄羅斯關(guān)鍵基礎(chǔ)設(shè)施遭到的攻擊次數(shù)是去年的兩倍多（增加150%）。與此同時(shí)，40%的攻擊由網(wǎng)絡(luò)犯罪分子實(shí)施，60%由國(guó)家資助的行為體實(shí)施。”

圖1 近年來(lái)全球重大關(guān)基設(shè)施被攻擊事件（部分）

在數(shù)據(jù)安全領(lǐng)域，以美國(guó)為例，2020年5月國(guó)會(huì)發(fā)布《外國(guó)公司問責(zé)法》，要求對(duì)來(lái)自中國(guó)的公司提高上市門檻，加強(qiáng)信息披露要求，其要求獲取的企業(yè)審計(jì)底稿有可能使企業(yè)掌握的敏感數(shù)據(jù)悉數(shù)流失國(guó)外。

在此波瀾詭譎的國(guó)際網(wǎng)絡(luò)空間安全形勢(shì)下，《辦法》修訂恰逢其時(shí)，增加將網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng)影響或者可能影響國(guó)家安全等情形納入網(wǎng)絡(luò)安全審查范圍，并明確要求掌握超過100萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市必須申報(bào)網(wǎng)絡(luò)安全審查。這些修訂，對(duì)相關(guān)法律法律的落地實(shí)施都提供了良好促進(jìn)作用，為切實(shí)保障國(guó)家安全提供了有力抓手。

《辦法》亮點(diǎn)內(nèi)容解讀

總體而言，與上版相比，《辦法》將網(wǎng)絡(luò)安全審查的范圍拓展至網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng)，審查考慮要素也基于審查范圍的擴(kuò)大，增加了核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息。并對(duì)赴國(guó)外上市情形做出了明確規(guī)定，即要求掌握超過100萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市需經(jīng)過審查，使得監(jiān)管更加完善。

1社會(huì)廣泛關(guān)切的赴國(guó)外上市審查問題

1)?審查對(duì)象：掌握超過100萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者；

2)?觸發(fā)條件：境內(nèi)企業(yè)國(guó)外直接發(fā)行上市、境內(nèi)企業(yè)國(guó)外間接發(fā)行上市。特別的是，《辦法》中雖未明確提及赴港上市，但是涉及數(shù)據(jù)出境的，仍可能需要按照數(shù)據(jù)出境安全評(píng)估的有關(guān)規(guī)定進(jìn)行評(píng)估；

3)?審查方式：主動(dòng)申報(bào)、主動(dòng)審查；

4)?提交材料：包括申報(bào)書、關(guān)于影響或者可能影響國(guó)家安全的分析報(bào)告、上市申請(qǐng)文件以及其他需要的材料

5)?受理機(jī)構(gòu)：網(wǎng)絡(luò)安全審查辦公室，具體工作委托中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)。

2明確規(guī)定了審查的啟動(dòng)條件

由于赴國(guó)外上市問題引起的社會(huì)反響巨大，因此，外界普遍誤認(rèn)為啟動(dòng)審查的條件為某企業(yè)赴國(guó)外上市或其被列為關(guān)鍵新基礎(chǔ)設(shè)施。

根據(jù)《辦法》第十六條，網(wǎng)絡(luò)安全審查工作機(jī)制成員單位可提請(qǐng)申請(qǐng)，以及第十九條，可由社會(huì)舉報(bào)等。

顯然，審查的啟動(dòng)條件與否屬于關(guān)鍵信息基礎(chǔ)設(shè)施、是否赴國(guó)外上市沒有必然聯(lián)系。

3審查期間要求企業(yè)暫停部分業(yè)務(wù)的問題

《辦法》第十六條明確規(guī)定：為了防范風(fēng)險(xiǎn)，當(dāng)事人應(yīng)當(dāng)在審查期間按照網(wǎng)絡(luò)安全審查要求采取預(yù)防和消減風(fēng)險(xiǎn)的措施。

顯然，為了防范風(fēng)險(xiǎn)擴(kuò)大，有權(quán)利采取一定的應(yīng)對(duì)措施，如某些被審查企業(yè)被要求停止注冊(cè)新用戶等，下架APP等。

4進(jìn)一步明確了審查工作流程和時(shí)間期限

《辦法》關(guān)于關(guān)于審查程序和內(nèi)容方面，延長(zhǎng)了特別審查程序的審查時(shí)間，增加了核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息、上市企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施等角度。具體的審查工作流程和期限如圖。

圖2 網(wǎng)絡(luò)安全審查流程圖

企業(yè)應(yīng)采取的數(shù)據(jù)安全合規(guī)措施

《辦法》實(shí)施后，推動(dòng)國(guó)家數(shù)據(jù)安全治理進(jìn)入新階段，有利于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者進(jìn)一步強(qiáng)化數(shù)據(jù)安全建設(shè)意識(shí)。

《辦法》中關(guān)于數(shù)據(jù)處理活動(dòng)參照《數(shù)據(jù)安全法》的規(guī)定，即數(shù)據(jù)處理活動(dòng)包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)。《辦法》重點(diǎn)聚焦的是網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展上述數(shù)據(jù)處理活動(dòng)，影響或者可能影響國(guó)家安全的情形。

關(guān)于《辦法》實(shí)施后，企業(yè)應(yīng)當(dāng)如何滿足數(shù)據(jù)安全合規(guī)建設(shè)？安恒信息首席科學(xué)家劉博提到，企業(yè)和機(jī)構(gòu)需要考慮建設(shè)體系化的數(shù)據(jù)安全能力，重視數(shù)據(jù)安全的體系規(guī)劃。建議從“管理、技術(shù)、運(yùn)營(yíng)”三個(gè)維度開展，建立相應(yīng)的管理體系、技術(shù)保障以及常態(tài)化的數(shù)據(jù)安全運(yùn)營(yíng)，以實(shí)現(xiàn)利用數(shù)據(jù)安全技術(shù)更好地開展業(yè)務(wù)。

圖3 AiGuard數(shù)據(jù)安全保護(hù)體系框架邏輯圖

1建立健全管理體系

企業(yè)數(shù)據(jù)安全管理的成敗，主要取決主要領(lǐng)導(dǎo)是否重視、意識(shí)是否提升、全員是否參與、是否建立了一套完善數(shù)據(jù)安全管理體系。

為更好地制定和執(zhí)行數(shù)據(jù)安全相關(guān)要求，需要設(shè)計(jì)成立數(shù)據(jù)安全組織，按照“邊界分明、權(quán)責(zé)清晰”原則進(jìn)一步明確數(shù)據(jù)安全各相關(guān)方職責(zé)，形成部門橫向協(xié)同有力的工作機(jī)制。

圖4? 數(shù)據(jù)安全組織架構(gòu)

同時(shí)應(yīng)當(dāng)配套建設(shè)相關(guān)的數(shù)據(jù)安全管理制度和規(guī)范，以支撐本單位的數(shù)據(jù)安全治理工作。相關(guān)數(shù)據(jù)安全管理制度和規(guī)范可以參考以下幾個(gè)方面：

表1 數(shù)據(jù)安全制度文件示例

2建立完善的數(shù)據(jù)安全技術(shù)體系和落地

同時(shí)，對(duì)于掌握100萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者而言，由于歷史數(shù)據(jù)的累計(jì)，導(dǎo)致數(shù)據(jù)安全治理以及數(shù)據(jù)安全合規(guī)是一項(xiàng)繁重而龐雜的工作。

建議這些企業(yè)在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上，通過建設(shè)智能化數(shù)據(jù)安全管理平臺(tái)，以實(shí)現(xiàn)相關(guān)數(shù)據(jù)安全治理流程的自動(dòng)化。在技術(shù)層面實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)核查（Check）能力、數(shù)據(jù)梳理（Ass or t）能力、數(shù)據(jù)保護(hù)（Protect）能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警（Examine）能力4大核心能力的建設(shè)，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀全生命周期的管理，最終建立“數(shù)據(jù)安全運(yùn)營(yíng)”的全過程自適應(yīng)安全支撐能力，直至達(dá)到整體智治的安全目標(biāo)。

圖5 以“CAPE”為核心的數(shù)據(jù)安全技術(shù)能力建設(shè)全景圖

3建立常態(tài)化的數(shù)據(jù)安全運(yùn)營(yíng)體系

常態(tài)化的數(shù)據(jù)安全運(yùn)營(yíng)是對(duì)企業(yè)數(shù)據(jù)安全能力建設(shè)成果是否具備持續(xù)生命力的有效支撐，是企業(yè)是否持續(xù)合規(guī)的最有效的保障。在整體安全運(yùn)營(yíng)中，通過對(duì)安全組織、制度、技術(shù)、培訓(xùn)、檢查、合規(guī)等各子模塊的不斷研究、建設(shè)、服務(wù)和優(yōu)化，形成一個(gè)完整的循環(huán)體系，以全面提升企業(yè)數(shù)據(jù)安全管理能力，常態(tài)化的滿足數(shù)據(jù)合規(guī)要求。

圖6 安全運(yùn)營(yíng)示例

關(guān)于安恒信息數(shù)據(jù)安全

我國(guó)“十四五”規(guī)劃、“新基建”、《數(shù)據(jù)安全法》等法律法規(guī)明確要求構(gòu)建數(shù)據(jù)安全保障能力建設(shè)，持續(xù)深入推進(jìn)數(shù)據(jù)要素安全管控和市場(chǎng)化，提升社會(huì)數(shù)據(jù)資源價(jià)值。相信隨著《網(wǎng)絡(luò)安全審查辦法（2021）》的出臺(tái)和落地實(shí)施，將進(jìn)一步推動(dòng)國(guó)家數(shù)據(jù)安全治理進(jìn)入新階段，并有力促進(jìn)了相關(guān)上位法的落地實(shí)施。

針對(duì)此次《辦法》的發(fā)布，安恒信息進(jìn)行了深入的解讀，草擬了“合法合規(guī)應(yīng)對(duì)建議”，以提升法律意識(shí)為目的，從“管理、技術(shù)、運(yùn)營(yíng)”三個(gè)維度，分解法律法規(guī)、標(biāo)準(zhǔn)。安恒信息自成立以來(lái)深耕數(shù)據(jù)安全，在充分理解法律法規(guī)和地方監(jiān)管、行業(yè)主管、運(yùn)營(yíng)者等業(yè)務(wù)場(chǎng)景需求的基礎(chǔ)上，以“咨詢規(guī)劃”創(chuàng)建框架、以”技術(shù)產(chǎn)品”實(shí)現(xiàn)落地、以“運(yùn)營(yíng)服務(wù)”持續(xù)改進(jìn)，形成合法合規(guī)應(yīng)對(duì)建議，提供全方位的數(shù)據(jù)安全合規(guī)方案。積極履行網(wǎng)安企業(yè)的社會(huì)責(zé)任，發(fā)揮技術(shù)優(yōu)勢(shì)，為維護(hù)國(guó)家網(wǎng)絡(luò)安全貢獻(xiàn)力量。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>