关于w优德88 13810412827

请选择搜索: 互联网安全 局域网安全 安全运维 数据安全 信息安全等级保护

w优德88 / 新闻资讯 / 网络安全监管体系下的合规管理工作简述
返回

网络安全监管体系下的合规管理工作简述

浏览次数:52 分类:新闻资讯

自2017年《网络安全法》正式生效以来,网络安全相关工作已属于法律的强制性规范要求。近一段时间以来,随着《数据安全法》《个人信息保护法》等相关法律,《关键信息基础设施安全保护条例》《网络安全审查办法》等一系列的法规的出台,企业用户,特别是大型集团企业在建设和规划自己的网络安全体系的时候就更需要有一个全局性的视角来看待网络安全合规问题,既要避免疏漏引发违规风险,也要合理设计制度体系,避免由于当前网络安全法律法规之间要求表述的不同造成重复建设,给自身管理上和运营上带来不便。本文试着从政府监管、第三方检验检测和企业用户管理这三个维度进行简要分析,并给出一些在建设网络安全规划时可以参考的建议。先上图。

(emm,开局一张图,内容全靠编~)

一、政府监管

首先,要了解有哪些是与网络安全相关的主管机构:《网络安全法》第8条中明确规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门公安部门其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”

在这里,国家网信部门—国家互联网信息办公室,国务院电信主管部门—工业和信息化部,公安部门—公安部,其他有关机关—发改委、财政部等。如果说有更多涉及到的部门,其实从2022年1月发布的《网络安全审查办法》中可以看出。(该办法与2020年4月发布的相比,新增中国证券监督管理委员会。)

其次,要知道当前国内有哪些法律、法规和各个监管部门出台的政策要求。

(一)《网络安全法》

生效时间:《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。

主要内容:作为“基本法”,其解决了以下几个问题:一是明确了部门、企业、社会组织和个人的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;四是建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。[1]

作为企业用户,或者说法律条文里称之为的网络运营者,一般来说需要关注的内容主要包括以下几个方面。

(二)《密码法》

生效时间:《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,自2020年1月1日起施行。

主要内容:为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。

密码的部分专业性太强,这里仅提几点需要注意的内容:

1.密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。这类密码一般是应用在涉密信息系统内建设的,不对互联网开放,所涉及的信息系统一般遵照分级保护的相关要求开展测试测评。

商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

2.国家推进商用密码检测认证体系建设。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。这部分内容可以详见《市场监管总局 国家密码管理局关于开展商用密码检测认证工作的实施意见 》。

在信息系统密码应用测评部分,可以重点关注《国家密码管理局公告》(第43号)。

(三)数据安全法

生效时间:2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。

主要内容:为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益。

数据安全作为重要的组成部分,相关的政策都在完善和制定过程中,这里需要重点关注的两个内容分别是:

第二十一条 国家建立数据分类分级保护制度,……各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

相关联的政策和制度要求主要为:

《数据出境安全评估办法》

《网络数据安全管理条例(征求意见稿)》

《工业数据分类分级指南(试行)》

《工业和信息化领域数据安全管理办法(试行)》

《工业和信息化领域数据安全风险信息报送与共享工作指引(试行) (征求意见稿)》

(四)个人信息保护法

生效时间:2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。

主要内容:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

从运营者的角度来讲,重点关注的条款主要包括:

第十三条:…… 处理个人信息应当取得个人同意……

第十五条:……个人信息处理者应当提供便捷的撤回同意的方式。

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务……。

相关的政策和制度要求主要为:

《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》

《儿童个人信息网络保护规定》

《电信和互联网用户个人信息保护规定》

《常见类型移动互联网应用程序必要个人信息范围规定》

《App违法违规收集使用个人信息行为认定方法》

(五)《网络产品安全漏洞管理规定》

生效时间:2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部发布《网络产品安全漏洞管理规定》。自2021年9月1日起施行。

主要内容:为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。

适用主体:中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。

关于这项规定要求,这里重点介绍两个方面:

一是网络产品提供者(第七条)和网络运营者(第八条)都有安全漏洞修补责任,发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

作为企业用户而言,为保证遵守该项规定时合规,应重点关注第五条“建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月”和第七条“网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:……”

这里多补充一些:通常情况下,网络运营者一般都不具备产品的开发能力(APP、网站、应用系统等),在对外提供服务的过程中通常采用购买成熟的商业软件产品或者委托第三方进行定制化的开发。按照《漏洞管理规定》的要求,网络运营者当发现自身使用的APP、网站等存在安全漏洞时,也应当立即采取措施,及时对安全漏洞进行验证并完成修补。不能简单的把相关责任推给负责开发的第三方。

二是规定第十条。任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部

”网络关键设备和网络安全专用产品目录“—四部门关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告

2.关于产品的第三方检测,国内还有两种经常见到的检测认证:

a.中国网络安全审查技术与认证中心(CCRC)推行的国家信息安全产品认证。目前,开展相关产品认证的产品范围为8大类13种产品。具体可见CCRC官网链接:https://www.isccc.gov.cn/zxyw/cprz/gjxxaqcprz/index.shtml。

b.中国信息安全测评中心推行的信息安全产品测评等,对国内外信息技术产品的安全性进行测评,其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。具体可见官网链接:http://www.itsec.gov.cn/cp/。

(二)信息系统、云平台的安全评估类

1.网络安全等级保护测评。

《网安法》第二十一条,国家实行网络安全等级保护制度。等保工作自1994年国务院出台《等保条例》之后,在w优德88国运行了已有二十多年之久。开展系统定级、测评和建设的标准分别于2019年和2020年进行了更新。主要参考的标准为GB/T28448-2019 GB/T22239-2019和GB/T22240-2020.关于等保的相关工作,大家可以关注网络安全等级保护网。(http://www.djbh.net/)

2.云计算服务安全评估。

2019年7月2日,国家互联网信息办公室 国家发展和改革委员会 ?工业和信息化部 财政部联合发布了《云计算服务安全评估办法》,对党政机关、关键信息基础设施运营者采购使用云计算服务开展安全评估工作。

开展云计算服务安全评估工作时,专业技术机构在办公室指导监督下,参照《云计算服务安全指南》《云计算服务安全能力要求》等国家标准,重点评价《云计算服务安全评估办法》第三条所述内容,形成评价报告。

3.信息安全风险评估

2017年《网络安全法》中,“第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”“第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。……”均提到了风险评估的相关工作。

2021年7月30日,国务院正式公布了《关键信息基础设施安全保护条例》。第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。开展风险评估的工作主要参照《GB/T20984-2022 信息安全技术 信息安全风险评估方法》[3]。

(三)ISO27001、ISO20000体系认证

ISO 27001信息安全管理体系?和ISO 20000信息技术服务管理体系,这两种体系认证在w优德88国内企业中也比较常见。从区别的角度来说,两者之间侧重点和应用范围不一致:

ISO 27001信息安全管理体系,注重对内部的信息安全管理工作,通过以风险控制点的方式来达到企业信息安全管理的目的。

ISO 20000信息技术服务管理,注重对外部提供IT服务时的信息质量管理,安全作为其中的一项重要指标,是考核企业提供IT服务时的质量。

(四)第三方检验检测机构的资质相关

第三方检测检验机构的资质通常是纳入在国家检测认证体系范围之内。这里以等保测评资质为例,2021年11月19日,为贯彻国务院“放管服”改革要求,国家网络安全等级保护工作协调小组办公室发布公告,撤销网络安全等级测评机构推荐证书,相关工作纳入国家认证体系。

关于第三方检验检测机构的资质,国内由中国合格评定国家认可委员会(CNAS)统一实施对认证机构、实验室和检验机构等相关机构的认可工作。

其他大家可能会见到的服务资质也包括信息安全服务资质认证,CCRC信息安全应急处理资质、CCRC信息安全风险评估资质,

三、企业用户管理(网络运营者)

emm,w优德88有一个朋友…

按照现行的法律法规要求,他所在的单位需要应对的网络安全工作是数据安全评估、信息安全风险评估、ISO27001认证、等保测评、密码测评、集团网络安全检查、主管部门(三个部委)网络安全检查,据说可能还要做数据跨境评估…

emm,w优德88还有一个朋友…

他所在的单位在同一天的时间里,接待了网安支队、网信办、经信委的网络安全检查队伍(集团的安全检查人员因为疫情,没有能赶上这次会师)。检查完成后,要同时写三份检查整改报告。

所以,作为一个网络运营者,做好网络安全规划和管理制度体系的最现实意义:是制定一套适合自身的网络安全管理制度和运营机制,既能满足企业自身网络安全运营需要,也要确保合适的成本投入,同时还能应付各种检查和各种整改。

网络安全是个成本投入的工作,疫情以来,很多用户都缩减了不少安全经费,在应对网络安全检查方面,w优德88这里分享两种方式,仅供参考:

1.单纯被动式的合规应对。例如,《网络安全法》和《数据安全法》分别都提到了,应当明确网络安全和数据安全的负责人和管理机构,落实网络安全和数据安全保护责任。在企业实际的运行当中,负责网络安全和数据安全的部门通常只有一个,安全专职人员也相对较少,在管理制度和岗位设置上应对合规检查的方式,就是把原来的所谓网络安全管理岗,改成网络和数据安全管理岗,让原来的网络安全管理员变成网络和数据安全管理员(打开网络安全管理制度文件,ctrl+f 将网络安全替换成网络和数据安全…….).这种方式虽然看起来好笑,也没有解决实际的问题,但是对于一个没钱、没人,网络安全检查还特别多的单位来说,可能是最合适的…

2.主动性质的合规应对。建立一套基于一个标准的安全管理体系,并形成与其他标准和相关要求的映射关系。w优德88以安全管理制度中对人员管理的要求为例:

在《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》中,针对三级系统,对人员的通用要求部分为8.18安全管理人员。

在《GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》中,对人员的要求部分为7.4安全管理人员。

在《ISO27001信息安全管理体系中》中,一般针对人员的要求会在整个体系的二级程序文档,人员安全管理程序中。

在《GB/T37988-2019 数据安全能力成熟度模型》中,对人员的要求部分为12.2 PA21 组织和人员管理。

四个标准基于不同方法模型,都对运营者在人员管理方面的上岗、培训、背景审查、岗位职责和保密义务所应遵循的要求进行了规定。因此在编制自身网络安全管理制度文件和要求时,可形成如下图所示简单的映射关联:

当外部法律法规或者相关标准发生变更时,能够参照该关联关系进行对照,及时修订,实现一套制度多项合规的管理模式。

以上,就是关于网络安全合规体系建设相关的介绍,欢迎大家多多指正。

参考资料:

[1]https://www.dufe.edu.cn/content_13802.html

[2]中华人民共和国网络安全法释义.杨合庆.中国民主法制出版社

[3]《GB/T20984-2022 信息安全技术 信息安全风险评估方法》

本文作者:Security大忽悠,?转载来自FreeBuf.COM

点击取消回复

    分类

    在线客服x

    客服
    顶部 回到顶部
    XML 地图 | Sitemap 地图