《网络安全法》对网络安全风险管理提出更高要求

自从十二届全国人大常委会把制定网络安全方面的立法列入立法工作计划以来,社会各界对《中华人民共和国网络安全法》的制定高度关注。大家清楚地看到,网络安全问题引起社会公共利益和经济受损,公民、法人和其他组织的合法权益遭受侵害的事件屡见不鲜,通过立法手段来进一步加强网络安全管理已成众望所归。11月7日,全国人大常委会表决通过《中华人民共和国网络安全法》(以下简称《网络安全法》),网络安全领域第一部基础性、框架性法律正式出台。

“没有绝对的安全”是网络安全从业人员的共识,实施网络安全风险管理,将安全风险控制在可接受的水平是网络安全工作的基本方法论,纵观《网络安全法》,其中就包含安全标准、安全检测和认证、安全风险评估、安全审查为代表的网络安全风险管理措施的条款多达十五条。《网络安全法》具体阐述了网络安全风险管理的哪些理念?会对今后的网络安全风险管理工作带来什么变化?本文从以下三方面予以论述。

一、网络安全风险管理的地位得以全面提升

仅从方法论来看网络安全风险管理,其过程涉及信息系统的全生命周期,包括规划、建设、运行、废弃等阶段的风险管理。然而,从实施角度来看,首先,网络安全风险管理需具备合法和正当的目的。《网络安全法》第二十六条明确规定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”目前,我国尚存在不少机构和个人未得到正式授权进行安全检测、漏洞挖掘和披露的行为,其中不乏因操作不当或对后果估计不足对被检测方造成危害的案例,其所谓的“安全风险评估”反而成为真正的风险点。其次,安全检测、认证和风险评估作为加强网络安全管理的手段,也在《网络安全法》中有多处提及,为网络安全风险管理相关工作提供了充分的法律依据。

此外,实施网络安全风险管理,在法律的基础上,还必须依赖科学先进的网络安全标准。今年8月,中央网信办、国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》,意见明确要求,推动网络安全标准与国家相关法律法规的配套衔接。《网络安全法》即是该思想的充分体现,提及安全标准和规范的条款达七条之多,其中多处提到“国家标准的强制性要求”,安全标准的地位得到显著加强。由上述可见,《网络安全法》所阐述的网络安全风险管理理念,是以法律法规为基,以安全标准为纲,只有“立得稳,行得正”的网络安全风险管理措施才能真正发挥其效用。

二、网络安全风险管理的范围得到全面扩展

实施网络安全风险管理,原本是从保护组织资产和业务的角度出发,使其免于遭受损失。然而,《网络安全法》是从总体国家安全观出发,将网络空间主权和国家安全、社会公共利益,公民、法人和其他组织的合法权益均纳入保护对象,大大扩展了网络安全风险管理的适用范围。首先,《网络安全法》进一步强化了关键信息基础设施保护的内容,在第三十一条中明确列出关键信息基础设施的范围。关键信息基础设施保护,因其影响重大,是在网络安全等级保护基础上的进一步重点保护,充分体现了安全风险管理的思想。其次,第三十五条提出,关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应通过安全审查,该措施即是针对国家安全层面实施安全风险管理的有效举措。

此外,《网络安全法》针对公民个人信息保护,提出了大量具体要求,一方面弥补了国内在此方面立法的不足,另一方面将个人信息保护纳入到网络产品提供者和服务运营者实施网络安全风险管理的必要内容。由上述可见,《网络安全法》所阐述的网络安全风险管理范围,是在传统网络信息系统基础上,进一步扩展到国家关键信息基础设施、公民个人信息等方面,同时提出了安全审查等国家层面的治理手段,其内容大大丰富,效应更加广泛。

三、网络安全风险管理的落地将会更加扎实

从以往网络安全风险管理经验来看,有些时候所取得的效果欠佳。首先,由于以前国家在网络安全方面立法尚不完善,有不少企业实施的信息安全管理体系、PDCA(即计划、执行、检查、纠正程序)等管理方式往往只是流于形式,没有在效果上形成真正的“闭环”。《网络安全法》可谓“一锤定音”,将网络产品提供者和服务运营者的法律责任予以明确,使用执法手段倒逼其强化自身安全管理。其次,以往的网络安全风险管理中,我们一直关心的是发现脆弱性,改进安全措施,而对威胁的控制无计可施,此种方式非常被动且成本很高。《网络安全法》在第六章法律责任中提出了对各类违法行为的制裁措施,由被动转主动,有效震慑威胁源行为,将更多的成本转移到威胁源,打通了安全风险处置的“最后一公里”,形成真正的风险管理闭环。由上述可见,实施《网络安全法》,定会大幅度提升网络安全风险管理的效果。

出台《网络安全法》是我国网络安全领域立法工作跨出的最为关键的一步,意义非凡。围绕《网络安全法》展开工作,将是今后网络安全标准制定、安全检测和认证、风险评估、安全审查等网络安全风险管理工作的重中之重。

本文转自d1net(转载)

时间: 2024-10-25 04:32:55

《网络安全法》对网络安全风险管理提出更高要求的相关文章

强制性国家标准 对胎压监测传感器提出更高要求

汽车行业最重要的被动安全设备主要是安全带,安全气囊及胎压监测系统.而随着节能.环保和安全等理念愈发深入人心的趋势下,人们对汽车的安全提出了更高的要求,特别是越来越受人关注的胎压监测系统. 作为安全设备之一的胎压监测系统,可以在轮胎出现危险征兆时及时报警,提醒驾驶员采取相应措施,从而有效的避免事故的发生.在欧美等国,胎压装置已经开始实施成为标配.中国近年来也有不少人开始加装这个配置,毕竟这关乎到汽车能否正常安全行驶. 强制性国家标准 对胎压监测传感器提出更高要求 据了解,中国工业和信息化部近日牵头

创业板对资本市场风险定价能力提出更高要求

深交所总经理宋丽萍:创业板对资本市场的风险定价能力提出了更高要求 新华网深圳7月7日电(记者王传真)深圳证券交易所总经理宋丽萍7日在"2009创业板高峰论坛"上指出,创业板市场的启动,对我国资本市场的风险定价能力提出了更高的要求,能否对企业给出一个合理的定价,事关创业板市场的稳定运行和资源配置功能的有效发挥. 宋丽萍说,相比较于当前的主板和中小板,创业板是一个相对高风险的市场.创业板上市公司多处于成长的初期,经营层面的不确定因素多,风险识别.风险定价的难度更大.从目前创业板上市资源的情

Gartner:新安全环境对虚拟化和云计算提出更高要求

匆忙实施企业内部技术资源的虚拟化和云计算能够有服务器整合等许多优势,但是,这会超过传统的安全和身份管理做法发展的速度.这会产生巨大的漏洞,混乱的感觉以及安全产品和服务应该用在多厂商虚拟机管理程序环境的什么地方的疑问. Gartner分析师Neil MacDonald上星期在一年一度的Gartner安全与风险管理峰会身上称,虚拟化将显著改变你保护和管理你的计算环境的方式.工作量更加移动并且更难保护.它打破了与物理位置捆绑在一起的安全政策.我们需要不依赖于网络结构的安全政策. Gartner预测称,

《中华人民共和国网络安全法》给金融IT安全带来了哪些影响?

为了加强网络安全标准体系的建设,<中华人民共和国网络安全法>(以下简称:<网络安全法>)于2017年6月1日正式实施.该法案的实施在保障网络安全,保护公民.法人和其他组织的合法权益的同时,也对各行各业的IT安全提出了更高的要求. 以金融行业为例,<网络安全法>中明确指出银行业及金融机构不仅是网络服务的提供者,也是关键信息基础设施的运营者,一方面,突出了金融行业的战略地位和价值;另一方面,也明确了银行业及金融机构做好自身网络安全工作的义务和责任.金融行业需要依据<网

网络安全法6.1起施行,怎样让你的网站更安全?

信息化时代,网络已深刻地融入到社会生活的各个方面,网络安全威胁也随之向各层面渗透,并且已经从线上渗透到线下.为保障网络空间和国家安全,社会公共利益,保护公民.法人和其他组织的合法权益,促进经济社会信息化健康发展,6月1日起,<中华人民共和国网络安全法>(以下简称<网络安全法>)将正式施行. 那么问题来了,<网络安全法>对网站运营者提出了哪些要求,网站该如何做好应对措施?哪些新规和网站运营者息息相关?网站运营该做好哪些应对措施呢?为此,小编采访了百度安全专家,从网站安全建

接地气版《网络安全法》专业解读:这些条文务必重点关注!

      雷锋网按:本文原刊登于绿盟科技内刊,是绿盟科技资深安全从业者为其客户挑出的一些需要重点关注的条文,加上绿盟科技的法务经理的通俗解读,内容很中肯,可读性和实用性很高.雷锋网(公众号:雷锋网)经授权发布. 2016年11月7日我国第一部网络安全法颁布.笔者作为安全行业的从业人员,认真阅读了相关条文.总体感觉: 安全法不但对各种网络行为,明确了规范和法律责任,同时还是对我们如何建设网络安全提供了指引.从条文中,可以看到 iso27001 信息安全管理体系标准的影子. 安全法的各种规范和要求

《网络安全法》今日实施,百度安全专家教你网站运营的正确姿势

      雷锋网编者按:6月1日起,<中华人民共和国网络安全法>(以下简称<网络安全法>)将正式施行.问题来了,<网络安全法>对网站运营者提出了哪些要求,网站该如何做好应对措施?哪些新规和网站运营者息息相关?网站运营该做好哪些应对措施? 百度安全专家从网站安全建设.规范网络运营两大方面进行了解读,希望给网站提供一些操作性强的建议. 以下内容为百度安全投稿,雷锋网(公众号:雷锋网)配图,授权雷锋网首发. 第一部分 关于企业自身的安全建设 问题一:定期给网站进行安全体检

网络安全法如何避免“徐玉玉悲剧”的发生?

全国人大常委会7日表决通过网络安全法.三审稿特别增加了惩治网络诈骗的有关规定. 今年以来,徐玉玉案等一系列电信网络诈骗案引发社会广泛关注.网络安全法如何从立法层面上回应公众关切,遏制网络诈骗的蔓延?"新华视点"记者采访了权威专家. 焦点1:如何规范个人信息收集行为?保护用户权益并确立边界 [法律规定]网络安全法第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度. 第四十一条规定,网络运营者收集.使用个人信息,应当遵循合法.正当.必要的原则,公开收集.使用

解读《网络安全法》 分析互联网信息泄露来龙去脉

6月1日起,<中华人民共和国网络安全法>正式施行,作为我国网络安全治理领域的基础性立法,首次在法律层面规定了个人信息保护的基本原则,明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息. 解读<网络安全法> 分析互联网信息泄露来龙去脉 84%网民遭遇信息泄露 你中奖了吗? 所谓个人信息包括两类,一类是姓名.住址等基本信息:另一类是账户.密码等交易类信息.随着互联网应用的普及和人们对互联网的依