AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
公司
央視新聞|《網絡安全審查辦法》今日施行,安恒信息范淵接受央視采訪
安恒信息董事長范淵接受央視新聞采訪,對《辦法》實施后申報網絡安全審查的三種情況進行了解釋說明。《辦法》要求關鍵信息基礎運營者采購網絡產品和服務的應該預判該產品和服務投入使用后可能帶來的國家安全風險,影響或者可能影響國家安全的應當向網絡安全審查辦公室申報網絡安全審查。
接下來,本文從關基保護和數據安全全球現狀出發,重在解讀《辦法》亮點內容、以及《辦法》實施后企業應當采取的數據安全合規措施。
關基保護和數據安全
被推向國際斗爭第一線
當前,數字革命正推動著全球生產模式的變革,數據已經成為全球政府和企業最核心資產。以關鍵基礎設施攻擊、數據安全攻擊為代表的高破壞、強針對性攻擊被推向國際斗爭的第一線。
近年來,黑客組織和一些國家或地區有組織、有預謀地針對他國關鍵基礎設施的網絡攻擊頻率明顯增高。如俄羅斯衛星通訊社2021年7月12日消息,稱“2021年上半年,俄羅斯關鍵基礎設施遭到的攻擊次數是去年的兩倍多(增加150%)。與此同時,40%的攻擊由網絡犯罪分子實施,60%由國家資助的行為體實施。”
圖1 近年來全球重大關基設施被攻擊事件(部分)
在數據安全領域,以美國為例,2020年5月國會發布《外國公司問責法》,要求對來自中國的公司提高上市門檻,加強信息披露要求,其要求獲取的企業審計底稿有可能使企業掌握的敏感數據悉數流失國外。
在此波瀾詭譎的國際網絡空間安全形勢下,《辦法》修訂恰逢其時,增加將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍,并明確要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。這些修訂,對相關法律法律的落地實施都提供了良好促進作用,為切實保障國家安全提供了有力抓手。
總體而言,與上版相比,《辦法》將網絡安全審查的范圍拓展至網絡平臺運營者開展數據處理活動,審查考慮要素也基于審查范圍的擴大,增加了核心數據、重要數據或者大量個人信息。并對赴國外上市情形做出了明確規定,即要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市需經過審查,使得監管更加完善。
1社會廣泛關切的赴國外上市審查問題1)?審查對象:掌握超過100萬用戶個人信息的網絡平臺運營者;
2)?觸發條件:境內企業國外直接發行上市、境內企業國外間接發行上市。特別的是,《辦法》中雖未明確提及赴港上市,但是涉及數據出境的,仍可能需要按照數據出境安全評估的有關規定進行評估;
3)?審查方式:主動申報、主動審查;
4)?提交材料:包括申報書、關于影響或者可能影響國家安全的分析報告、上市申請文件以及其他需要的材料
5)?受理機構:網絡安全審查辦公室,具體工作委托中國網絡安全審查技術與認證中心承擔。
由于赴國外上市問題引起的社會反響巨大,因此,外界普遍誤認為啟動審查的條件為某企業赴國外上市或其被列為關鍵新基礎設施。
根據《辦法》第十六條,網絡安全審查工作機制成員單位可提請申請,以及第十九條,可由社會舉報等。
顯然,審查的啟動條件與否屬于關鍵信息基礎設施、是否赴國外上市沒有必然聯系。
《辦法》第十六條明確規定:為了防范風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。
顯然,為了防范風險擴大,有權利采取一定的應對措施,如某些被審查企業被要求停止注冊新用戶等,下架APP等。
《辦法》關于關于審查程序和內容方面,延長了特別審查程序的審查時間,增加了核心數據、重要數據或者大量個人信息、上市企業關鍵信息基礎設施等角度。具體的審查工作流程和期限如圖。
圖2 網絡安全審查流程圖
《辦法》實施后,推動國家數據安全治理進入新階段,有利于關鍵信息基礎設施運營者和網絡平臺運營者進一步強化數據安全建設意識。
《辦法》中關于數據處理活動參照《數據安全法》的規定,即數據處理活動包括數據的收集、存儲、使用、加工、傳輸、提供、公開等活動。《辦法》重點聚焦的是網絡平臺運營者開展上述數據處理活動,影響或者可能影響國家安全的情形。
關于《辦法》實施后,企業應當如何滿足數據安全合規建設?安恒信息首席科學家劉博提到,企業和機構需要考慮建設體系化的數據安全能力,重視數據安全的體系規劃。建議從“管理、技術、運營”三個維度開展,建立相應的管理體系、技術保障以及常態化的數據安全運營,以實現利用數據安全技術更好地開展業務。
圖3 AiGuard數據安全保護體系框架邏輯圖
企業數據安全管理的成敗,主要取決主要領導是否重視、意識是否提升、全員是否參與、是否建立了一套完善數據安全管理體系。
為更好地制定和執行數據安全相關要求,需要設計成立數據安全組織,按照“邊界分明、權責清晰”原則進一步明確數據安全各相關方職責,形成部門橫向協同有力的工作機制。
圖4? 數據安全組織架構
同時應當配套建設相關的數據安全管理制度和規范,以支撐本單位的數據安全治理工作。相關數據安全管理制度和規范可以參考以下幾個方面:
表1 數據安全制度文件示例
同時,對于掌握100萬用戶個人信息的網絡平臺運營者而言,由于歷史數據的累計,導致數據安全治理以及數據安全合規是一項繁重而龐雜的工作。
建議這些企業在繼續做好業務安全的基礎之上,通過建設智能化數據安全管理平臺,以實現相關數據安全治理流程的自動化。在技術層面實現對風險核查(Check)能力、數據梳理(Ass or t)能力、數據保護(Protect)能力以及數據威脅監控預警(Examine)能力4大核心能力的建設,實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理,最終建立“數據安全運營”的全過程自適應安全支撐能力,直至達到整體智治的安全目標。
圖5 以“CAPE”為核心的數據安全技術能力建設全景圖
3建立常態化的數據安全運營體系常態化的數據安全運營是對企業數據安全能力建設成果是否具備持續生命力的有效支撐,是企業是否持續合規的最有效的保障。在整體安全運營中,通過對安全組織、制度、技術、培訓、檢查、合規等各子模塊的不斷研究、建設、服務和優化,形成一個完整的循環體系,以全面提升企業數據安全管理能力,常態化的滿足數據合規要求。
圖6 安全運營示例
我國“十四五”規劃、“新基建”、《數據安全法》等法律法規明確要求構建數據安全保障能力建設,持續深入推進數據要素安全管控和市場化,提升社會數據資源價值。相信隨著《網絡安全審查辦法(2021)》的出臺和落地實施,將進一步推動國家數據安全治理進入新階段,并有力促進了相關上位法的落地實施。
針對此次《辦法》的發布,安恒信息進行了深入的解讀,草擬了“合法合規應對建議”,以提升法律意識為目的,從“管理、技術、運營”三個維度,分解法律法規、標準。安恒信息自成立以來深耕數據安全,在充分理解法律法規和地方監管、行業主管、運營者等業務場景需求的基礎上,以“咨詢規劃”創建框架、以”技術產品”實現落地、以“運營服務”持續改進,形成合法合規應對建議,提供全方位的數據安全合規方案。積極履行網安企業的社會責任,發揮技術優勢,為維護國家網絡安全貢獻力量。
