云安全
大数据安全态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
公司
央视新闻|《网络安全审查办法》今日施行,安恒信息范渊接受央视采访
安恒信息董事长范渊接受央视新闻采访,对《办法》实施后申报网络安全审查的三种情况进行了解释说明。《办法》要求关键信息基础运营者采购网络产品和服务的应该预判该产品和服务投入使用后可能带来的国家安全风险,影响或者可能影响国家安全的应当向网络安全审查办公室申报网络安全审查。
接下来,本文从关基保护和数据安全全球现状出发,重在解读《办法》亮点内容、以及《办法》实施后企业应当采取的数据安全合规措施。
关基保护和数据安全
被推向国际斗争第一线
当前,数字革命正推动着全球生产模式的变革,数据已经成为全球政府和企业最核心资产。以关键基础设施攻击、数据安全攻击为代表的高破坏、强针对性攻击被推向国际斗争的第一线。
近年来,黑客组织和一些国家或地区有组织、有预谋地针对他国关键基础设施的网络攻击频率明显增高。如俄罗斯卫星通讯社2021年7月12日消息,称“2021年上半年,俄罗斯关键基础设施遭到的攻击次数是去年的两倍多(增加150%)。与此同时,40%的攻击由网络犯罪分子实施,60%由国家资助的行为体实施。”
图1 近年来全球重大关基设施被攻击事件(部分)
在数据安全领域,以美国为例,2020年5月国会发布《外国公司问责法》,要求对来自中国的公司提高上市门槛,加强信息披露要求,其要求获取的企业审计底稿有可能使企业掌握的敏感数据悉数流失国外。
在此波澜诡谲的国际网络空间安全形势下,《办法》修订恰逢其时,增加将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。这些修订,对相关法律法律的落地实施都提供了良好促进作用,为切实保障国家安全提供了有力抓手。
总体而言,与上版相比,《办法》将网络安全审查的范围拓展至网络平台运营者开展数据处理活动,审查考虑要素也基于审查范围的扩大,增加了核心数据、重要数据或者大量个人信息。并对赴国外上市情形做出了明确规定,即要求掌握超过100万用户个人信息的网络平台运营者赴国外上市需经过审查,使得监管更加完善。
1社会广泛关切的赴国外上市审查问题1) 审查对象:掌握超过100万用户个人信息的网络平台运营者;
2) 触发条件:境内企业国外直接发行上市、境内企业国外间接发行上市。特别的是,《办法》中虽未明确提及赴港上市,但是涉及数据出境的,仍可能需要按照数据出境安全评估的有关规定进行评估;
3) 审查方式:主动申报、主动审查;
4) 提交材料:包括申报书、关于影响或者可能影响国家安全的分析报告、上市申请文件以及其他需要的材料
5) 受理机构:网络安全审查办公室,具体工作委托中国网络安全审查技术与认证中心承担。
由于赴国外上市问题引起的社会反响巨大,因此,外界普遍误认为启动审查的条件为某企业赴国外上市或其被列为关键新基础设施。
根据《办法》第十六条,网络安全审查工作机制成员单位可提请申请,以及第十九条,可由社会举报等。
显然,审查的启动条件与否属于关键信息基础设施、是否赴国外上市没有必然联系。
《办法》第十六条明确规定:为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
显然,为了防范风险扩大,有权利采取一定的应对措施,如某些被审查企业被要求停止注册新用户等,下架APP等。
《办法》关于关于审查程序和内容方面,延长了特别审查程序的审查时间,增加了核心数据、重要数据或者大量个人信息、上市企业关键信息基础设施等角度。具体的审查工作流程和期限如图。
图2 网络安全审查流程图
《办法》实施后,推动国家数据安全治理进入新阶段,有利于关键信息基础设施运营者和网络平台运营者进一步强化数据安全建设意识。
《办法》中关于数据处理活动参照《数据安全法》的规定,即数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。《办法》重点聚焦的是网络平台运营者开展上述数据处理活动,影响或者可能影响国家安全的情形。
关于《办法》实施后,企业应当如何满足数据安全合规建设?安恒信息首席科学家刘博提到,企业和机构需要考虑建设体系化的数据安全能力,重视数据安全的体系规划。建议从“管理、技术、运营”三个维度开展,建立相应的管理体系、技术保障以及常态化的数据安全运营,以实现利用数据安全技术更好地开展业务。
图3 AiGuard数据安全保护体系框架逻辑图
企业数据安全管理的成败,主要取决主要领导是否重视、意识是否提升、全员是否参与、是否建立了一套完善数据安全管理体系。
为更好地制定和执行数据安全相关要求,需要设计成立数据安全组织,按照“边界分明、权责清晰”原则进一步明确数据安全各相关方职责,形成部门横向协同有力的工作机制。
图4 数据安全组织架构
同时应当配套建设相关的数据安全管理制度和规范,以支撑本单位的数据安全治理工作。相关数据安全管理制度和规范可以参考以下几个方面:
表1 数据安全制度文件示例
同时,对于掌握100万用户个人信息的网络平台运营者而言,由于历史数据的累计,导致数据安全治理以及数据安全合规是一项繁重而庞杂的工作。
建议这些企业在继续做好业务安全的基础之上,通过建设智能化数据安全管理平台,以实现相关数据安全治理流程的自动化。在技术层面实现对风险核查(Check)能力、数据梳理(Ass or t)能力、数据保护(Protect)能力以及数据威胁监控预警(Examine)能力4大核心能力的建设,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理,最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。
图5 以“CAPE”为核心的数据安全技术能力建设全景图
3建立常态化的数据安全运营体系常态化的数据安全运营是对企业数据安全能力建设成果是否具备持续生命力的有效支撑,是企业是否持续合规的最有效的保障。在整体安全运营中,通过对安全组织、制度、技术、培训、检查、合规等各子模块的不断研究、建设、服务和优化,形成一个完整的循环体系,以全面提升企业数据安全管理能力,常态化的满足数据合规要求。
图6 安全运营示例
我国“十四五”规划、“新基建”、《数据安全法》等法律法规明确要求构建数据安全保障能力建设,持续深入推进数据要素安全管控和市场化,提升社会数据资源价值。相信随着《网络安全审查办法(2021)》的出台和落地实施,将进一步推动国家数据安全治理进入新阶段,并有力促进了相关上位法的落地实施。
针对此次《办法》的发布,安恒信息进行了深入的解读,草拟了“合法合规应对建议”,以提升法律意识为目的,从“管理、技术、运营”三个维度,分解法律法规、标准。安恒信息自成立以来深耕数据安全,在充分理解法律法规和地方监管、行业主管、运营者等业务场景需求的基础上,以“咨询规划”创建框架、以”技术产品”实现落地、以“运营服务”持续改进,形成合法合规应对建议,提供全方位的数据安全合规方案。积极履行网安企业的社会责任,发挥技术优势,为维护国家网络安全贡献力量。
