前言
随着我國(guó)信息化建設的不斷推進和互聯網應用(yòng)的日趨普及,網絡安(ān)全問題層出不窮:網絡入侵、網絡攻擊等非法活動威脅了我國(guó)信息安(ān)全;非法獲取、倒賣公(gōng)民(mín)信息、侵犯知識産(chǎn)權損害了我國(guó)公(gōng)民(mín)的合法利益;危害國(guó)家安(ān)全、社會穩定與公(gōng)共利益的不良信息借助網絡迅速傳播。反觀國(guó)外,包括歐盟、美國(guó)、日本在内的國(guó)家或組織紛紛制定了與網絡安(ān)全相關的法律。
因此,《網絡安(ān)全法》的制定對我國(guó)相關立法工(gōng)作(zuò)的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實黨中(zhōng)央決策部署的重要舉措,是維護網絡安(ān)全的客觀需要,是維護大衆切身利益的必然要求,也是我國(guó)參與互聯網國(guó)際競争和國(guó)際治理(lǐ)的必然選擇。
《網絡安(ān)全法》的頒布實施,最重要的意義在于它把網絡安(ān)全工(gōng)作(zuò)以法律形式提高到了國(guó)家安(ān)全戰略的高度,并将信息安(ān)全等級保護制度上升為(wèi)法律,成為(wèi)維護國(guó)家網絡空間主權、安(ān)全和發展利益的重要舉措。同時,它的出台也符合維護網絡安(ān)全的客觀需要,提高了全社會網絡安(ān)全保護的意識和能(néng)力,确保今後網絡使用(yòng)更加安(ān)全、開放和便利。
關鍵内容
√ 基于《網絡安(ān)全法》要求,對近期與該法相關的法規标準進行了歸納總結,從而為(wèi)組織機構在法律應對與實施的具(jù)體(tǐ)操作(zuò)中(zhōng)提供參考指南;同時,本指南還識别了其他(tā)國(guó)家和地區(qū)的相關法規和标準,從而為(wèi)國(guó)内組織機構在應對、實施《網絡安(ān)全法》時提供對比和參考内容。
√ 本指南從網絡安(ān)全管理(lǐ)、網絡安(ān)全技(jì )術和個人信息保護等三方面的法律、法規監管要求出發,為(wèi)組織機構提供了合規差距分(fēn)析的參考維度及相應的合規要求;同時,在合規應對實施環節,從網絡運營安(ān)全、網絡信息安(ān)全及關鍵信息基礎設施保護等三方面,就“相關責任方”、“管理(lǐ)措施”及“技(jì )術措施”等三個維度總結了具(jù)體(tǐ)實施要點。
√ 為(wèi)确保組織機構建立完善的信息安(ān)全管理(lǐ)體(tǐ)系,本指南以信息安(ān)全等級保護制度和網絡安(ān)全等級保護及其他(tā)法規要求為(wèi)基礎,總結并設計出了包括安(ān)全策略、安(ān)全管理(lǐ)和安(ān)全技(jì )術在内的等級保護體(tǐ)系;同時,基于《網絡安(ān)全法》中(zhōng)對組織人員能(néng)力和意識的要求,給出了相應的教育模型和培訓案例,最終實現組織信息安(ān)全的持續改進。
引言
2017年6月1日正式實施的《網絡安(ān)全法》具(jù)有(yǒu)裏程碑式的意義。它不僅是我國(guó)第一部網絡安(ān)全的專門性綜合性立法,提出了應對網絡安(ān)全挑戰這一全球性問題的中(zhōng)國(guó)方案,彰顯了黨和國(guó)家對網絡安(ān)全問題的高度重視,同時,它還是我國(guó)網絡安(ān)全法治建設的重要裏程碑,使得今後我國(guó)網絡安(ān)全管理(lǐ)工(gōng)作(zuò)步入法制化軌道,信息安(ān)全行業将由合規性驅動過渡到合規性和強制性驅動并重的新(xīn)階段。
《網絡安(ān)全法》在網絡空間主權、國(guó)家網絡安(ān)全等級保護制度、關鍵信息基礎設施保護、網絡運營者、網絡産(chǎn)品和服務(wù)提供者義務(wù)、保障網絡信息安(ān)全,個人信息保護、關鍵信息基礎設施重要數據跨境傳輸、監測預警與應急處置等方面做出明确規定。因此,國(guó)内組織機構,特别是涉及關鍵信息基礎設施的行業機構在踐行《網絡安(ān)全法》時,一方面應切實履行好自身網絡安(ān)全工(gōng)作(zuò)的責任與義務(wù),另一方面,還需要依據《網絡安(ān)全法》的法律要求進行落地實施,有(yǒu)效提高自身的網絡安(ān)全保護水平。
一、《網絡安(ān)全法》概述
1. 立法背景
2014年2月中(zhōng)央網絡安(ān)全和信息化領導小(xiǎo)組成立,标志(zhì)着我國(guó)把網絡安(ān)全提升到了國(guó)家安(ān)全的高度并開始醞釀網絡安(ān)全法編寫工(gōng)作(zuò);2015年6月十二屆全國(guó)人大常委會審議了《網絡安(ān)全法(草(cǎo)案)》,2016年7月二次審議稿正式在中(zhōng)國(guó)人大網公(gōng)布,并向社會公(gōng)開征求意見;2016年11月7日,曆經全國(guó)人大常委會兩次審議的關于我國(guó)網絡安(ān)全管理(lǐ)的法律《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》最終審議通過,并于2017年6月1日正式實施。
與國(guó)外立法相比,《網絡安(ān)全法》曆經三年就發布實施無疑是快速的。這是因為(wèi)中(zhōng)國(guó)當前的網絡安(ān)全迫切要求。網絡已經深刻地融入了中(zhōng)國(guó)經濟社會生活的各個方面,網絡安(ān)全威脅也随之向經濟社會的各個層面滲透,網絡安(ān)全的重要性随之不斷提高。
一方面,黨的十八大以來,國(guó)家主管部門加強了國(guó)家網絡安(ān)全工(gōng)作(zuò)并做出了重要的部署,對加強網絡安(ān)全法制建設提出了明确的要求,制定《網絡安(ān)全法》是适應我們國(guó)家網絡安(ān)全工(gōng)作(zuò)新(xīn)形勢、新(xīn)任務(wù),落實中(zhōng)央決策部署,保障網絡安(ān)全和發展利益的重大舉措,是落實國(guó)家總體(tǐ)安(ān)全觀的重要舉措。另一方面,中(zhōng)國(guó)是網絡大國(guó),也是面臨網絡安(ān)全威脅最嚴重的國(guó)家之一,迫切需要建立和完善網絡安(ān)全的法律制度,提高全社會的網絡安(ān)全意識和網絡安(ān)全保障水平,使我們的網絡更加安(ān)全、更加開放、更加便利,也更加充滿活力。
在這樣的形勢下,制定網絡安(ān)全法是維護國(guó)家廣大人民(mín)群衆切身利益的需要,是維護網絡安(ān)全的客觀需要,是落實國(guó)家總體(tǐ)安(ān)全觀的重要舉措。
2. 立法意義
《網絡安(ān)全法》旨在保障我國(guó)網絡安(ān)全,維護網絡空間主權和國(guó)家安(ān)全、社會公(gōng)共利益,保護公(gōng)民(mín)、法人和其他(tā)組織的合法權益,促進經濟社會信息化健康發展。其立法的意義主要體(tǐ)現在以下幾點:
該法從法律層面上把我國(guó)網絡安(ān)全工(gōng)作(zuò)提高到了國(guó)家安(ān)全戰略的高度,強調對關鍵信息基礎設施及個人信息數據的保護,明确了國(guó)家、主管部門、網絡所有(yǒu)者、運營者及普通用(yòng)戶各自的責任以及違規後的相關處罰。
該法律的出台對我國(guó)互聯網安(ān)全管理(lǐ)具(jù)有(yǒu)重大意義,是我國(guó)網絡安(ān)全法律法規體(tǐ)系建設的一個重要裏程碑,為(wèi)我國(guó)網絡安(ān)全工(gōng)作(zuò)提供了法律依據。
從企業角度來看,該法律将強化互聯網監管力度,規範網絡空間秩序,為(wèi)企業“互聯網+”業務(wù)的發展營造良好的環境。
從個人角度來看,在當前個人信息因信息管理(lǐ)出現漏洞而被洩露并違法使用(yòng),進而導緻個人權利和利益頻遭侵害的背景下,該法律對個人信息保護提出了明确要求,從而有(yǒu)效地保障了公(gōng)民(mín)權利。
3. 内容概述
3.1 法律内容
《網絡安(ān)全法》全文(wén)共7章79條。其中(zhōng),第三章“網絡運行安(ān)全”和第四章“網絡信息安(ān)全”分(fēn)别對網絡運營者、關鍵信息基礎設施的網絡運行和個人信息管理(lǐ)做了詳細說明。
《網絡安(ān)全法》章節概覽
3.2 保護對象
縱觀法律全文(wén),《網絡安(ān)全法》的重點保護對象主要針對第三章第二節 “關鍵信息基礎設施的運行安(ān)全”中(zhōng)的“關鍵信息基礎設施”和第四章“網絡信息安(ān)全”中(zhōng)的“個人信息”。
1) 關鍵信息基礎設施
由于關鍵信息基礎設施在國(guó)家網絡安(ān)全中(zhōng)有(yǒu)着舉足輕重的作(zuò)用(yòng),因此,國(guó)家對重要行業和領域,以及其他(tā)一旦遭到破壞、喪失功能(néng)或者數據洩露,可(kě)能(néng)嚴重危害國(guó)家安(ān)全、國(guó)計民(mín)生、公(gōng)共利益的關鍵信息基礎設施,在網絡安(ān)全等級保護制度的基礎上,實行重點保護。
關鍵信息基礎設施保護範圍:
政府機關和能(néng)源、金融、交通、水利、衛生醫(yī)療、教育、社保、環境保護、公(gōng)用(yòng)事業等行業領域的單位;
電(diàn)信網、廣播電(diàn)視網、互聯網等信息網絡,以及提供雲計算、大數據和其他(tā)大型公(gōng)共信息網絡服務(wù)的單位;
國(guó)防科(kē)工(gōng)、大型裝(zhuāng)備、化工(gōng)、食品藥品等行業領域科(kē)研生産(chǎn)單位;
廣播電(diàn)台、電(diàn)視台、通訊社等新(xīn)聞單位;
其他(tā)重點單位。
* 以上關鍵信息關鍵基礎設施的範圍參考了網信辦(bàn)2017年7月發布的《關鍵信息基礎設施安(ān)全保護條例(征求意見稿)》
2) 個人信息
個人信息是指以電(diàn)子或其他(tā)方式記錄的能(néng)夠單獨或與其他(tā)信息結合識别自然人身份的各種信息,包括與确定自然人相關的生物(wù)特征、位置、行為(wèi)等信息,如姓名(míng)、出生日期、身份證号、個人賬号信息、住址、電(diàn)話号碼、指紋、虹膜等。
*以上個人信息的定義參考了全國(guó)信息安(ān)全标準化技(jì )術委員會2016年12月發布的《個人信息安(ān)全規範(征求意見稿)》
3.3 保護方法
《網絡安(ān)全法》中(zhōng)涉及的保護方法主要有(yǒu)以下幾種:
1) 實施等級保護
《網絡安(ān)全法》第二十一條規定“網絡運營者應當按照網絡安(ān)全等級保護制度的要求,履行下列安(ān)全保護義務(wù),保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改”。
2) 網絡運行安(ān)全和關鍵信息基礎設施保護
在确保網絡運行安(ān)全方面,要制定安(ān)全制度,落實安(ān)全職責,部署安(ān)全技(jì )術措施,防範網絡攻擊(第21條);确保網絡産(chǎn)品和服務(wù)的安(ān)全性和合規性(第22條);網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品的安(ān)全認證和安(ān)全檢測(第23條);建立網絡安(ān)全事件處置流程,及時啓動應急預案(第25條);關鍵信息基礎設施的網絡安(ān)全與信息化應做到“三同步”(第33條);設立信息安(ān)全專門機構和負責人,定期培訓考核,系統與數據容災備份,應急預案并定期演練(第39條);采購(gòu)安(ān)全産(chǎn)品與服務(wù)要接受主管部門的安(ān)全審查(第35條);要與安(ān)全産(chǎn)品與服務(wù)方簽訂保密協議(第36條);重要數據和個人信息跨境傳輸(第37條);至少每年進行一次安(ān)全評估,并向主管部門上報評估結果;主管部門對關鍵信息基礎設施進行抽查檢測與評估(第38、39條)。
3) 個人信息保護
在個人信息保護方面,組織應制定敏感信息保護制度(第21(4)、37、40、45、47、48、50條);網絡運營者收集、使用(yòng)個人信息時,要向用(yòng)戶明示并取得同意,不得超範圍濫用(yòng)個人信息(第22、41、44、45條);網絡運營者應當采取技(jì )術措施和其他(tā)必要措施,确保其收集的個人信息安(ān)全(第42條);個人有(yǒu)權要求網絡運營者删除和更改其個人信息(第43條);網絡運營者要對其内部及外部用(yòng)戶使用(yòng)網絡行為(wèi)進行監督(第46、47、48條);網絡運營者應當建立網絡信息安(ān)全投訴、舉報制度,配合主管部門的調查與處置(第49、50條)。
4) 網絡安(ān)全檢測與預警
為(wèi)保障網絡安(ān)全,《網絡安(ān)全法》第二十一條還規定,“網絡運營者應當采取監測、記錄網絡運行狀态、網絡安(ān)全事件的技(jì )術措施,并按照規定留存相關的網絡日志(zhì)不少于六個月”, 第五十二條規定,“負責關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)的部門,應當建立健全本行業、本領域的網絡安(ān)全監測預警和信息通報制度,并按照規定報送網絡安(ān)全監測預警信息。”;第五十一條規定,國(guó)家層面上“國(guó)家網信部門應當統籌協調有(yǒu)關部門加強網絡安(ān)全信息收集、分(fēn)析和通報工(gōng)作(zuò),按照規定統一發布網絡安(ān)全監測預警信息。”
5) 網絡安(ān)全應急管理(lǐ)
《網絡安(ān)全法》第二十五條規定,“普通網絡運營者應當制定網絡安(ān)全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安(ān)全風險;在發生危害網絡安(ān)全的事件時,立即啓動應急預案,采取相應的補救措施,并按照規定向有(yǒu)關主管部門報告。“;第三十四條規定,“關鍵信息基礎設施的運營者除制定網絡安(ān)全事件應急預案外還應定期進行演練”。對于行業監管者而言,第五十三條規定,“負責關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)的部門應當制定本行業、本領域的網絡安(ān)全事件應急預案,并定期組織演練”。國(guó)家層面,第三十九條規定,“網信部門定期組織關鍵信息基礎設施的運營者進行網絡安(ān)全應急演練,提高應對網絡安(ān)全事件的水平和協同配合能(néng)力”。
6) 網絡安(ān)全技(jì )術人才培養和安(ān)全意識宣傳
《網絡安(ān)全法》第三十四條規定,關鍵信息基礎設施的運營者還應當定期對從業人員進行網絡安(ān)全教育、技(jì )術培訓和技(jì )能(néng)考核; 第十九條則要求各級人民(mín)政府、有(yǒu)關部門應組織開展經常性的網絡安(ān)全宣傳教育,并指導、督促有(yǒu)關單位做好網絡安(ān)全宣傳教育工(gōng)作(zuò),大衆媒體(tǐ)應有(yǒu)針對性地面向社會進行網絡安(ān)全宣傳教育。
7) 職責落實與違規處罰
為(wèi)确保《網絡安(ān)全法》順利實施,執行有(yǒu)力,該法第六章“法律責任”對所涉及責任主體(tǐ)的違法懲處進行了詳細規定。
二、《網絡安(ān)全法》實施
為(wèi)有(yǒu)效地推進《網絡安(ān)全法》的實施,總體(tǐ)可(kě)分(fēn)為(wèi)相關法規識别、合規差距分(fēn)析、合規對應實施和體(tǐ)系持續完善四個步驟。本部分(fēn)詳細描述前三個步驟,第三部分(fēn)“信息安(ān)全體(tǐ)系完善”描述第四個步驟。
1. 相關法規識别
《網絡安(ān)全法》第八條規定:“國(guó)務(wù)院電(diàn)信主管部門、公(gōng)安(ān)部門和其他(tā)有(yǒu)關機關依照本法和有(yǒu)關法律、行政法規的規定,在各自職責範圍内負責網絡安(ān)全保護和監督管理(lǐ)工(gōng)作(zuò)。”因此,各網絡運營者在實施《網絡安(ān)全法》時,不僅要深入了解《網絡安(ān)全法》的要求,還需要參考其他(tā)配套的法規及标準,以确保《網絡安(ān)全法》的安(ān)全控制措施能(néng)有(yǒu)效落實。
近年來,主管部門及安(ān)全标準化機構發布了多(duō)個與《網絡安(ān)全法》實施相關的法規與标準,有(yǒu)的還處在征求意見當中(zhōng)。為(wèi)方便各類機構在實施《網絡安(ān)全法》時加以參考,把最重要的相關法規與标準列表如下:
國(guó)内近期發布《網絡安(ān)全法》相關法規标準
國(guó)外相關法律與規範識别
組織在實施《網絡安(ān)全法》時,可(kě)以根據自身的需要對其他(tā)國(guó)家和地區(qū)的相關法規和标準進行識别,其目的一方面使國(guó)内機構借鑒國(guó)外的一些網絡安(ān)全最佳實踐,同時可(kě)以為(wèi)國(guó)外組織在國(guó)内實施網絡安(ān)全合規要求時,建立一個可(kě)以對比的參照系。
國(guó)外網絡安(ān)全相關法規
2. 合規差距分(fēn)析
以《網絡安(ān)全法》為(wèi)基礎,網絡運營者應從網絡安(ān)全管理(lǐ)、網絡安(ān)全技(jì )術和個人信息保護三方面綜合考慮各項法律、法規的監管要求,通過對組織現狀的了解,對組織當前合規情況進行差距分(fēn)析。
《網絡安(ān)全法》合規差距分(fēn)析
3. 合規對應實施
《網絡安(ān)全法》具(jù)體(tǐ)合規實施時,可(kě)以從網絡運營安(ān)全、網絡信息安(ān)全及關鍵信息基礎設施保護三個方面,描述對應的保護要求和對應條款,分(fēn)别從“相關責任方”、“管理(lǐ)措施”及“技(jì )術措施”三個維度分(fēn)析其具(jù)體(tǐ)實施要點。以下舉例說明。
3.1 網絡運營安(ān)全控制措施
3.2 網絡信息安(ān)全控制措施
3.3 關鍵信息基礎設施安(ān)全控制措施
三、信息安(ān)全體(tǐ)系完善
按照《網絡安(ān)全法》實施網絡安(ān)全控制措施,是當前國(guó)内各類組織在信息安(ān)全方面的重要實踐,但我們也要清醒地看到,落實法律的合規要求隻是組織信息安(ān)全的最基本要求,法規不可(kě)能(néng)面面俱到。因此,就算組織逐條落實了法規的要求,也隻是達到了合規的基本要求,也不能(néng)保證組織的信息安(ān)全體(tǐ)系達到一個完善的水平。
因此,在合規的基礎上,我們建議組織根據《網絡安(ān)全法》的要求,通過等級保護的方法來進一步完善信息安(ān)全保障體(tǐ)系,通過人員安(ān)全培訓與意識教育來提升組織的人員安(ān)全能(néng)力,通過持續安(ān)全評估與IT審計來推進安(ān)全體(tǐ)系持續完善。
1. 等級保護相關規範标準
信息安(ān)全等級保護制度是國(guó)家信息安(ān)全保障工(gōng)作(zuò)的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國(guó)家安(ān)全、社會秩序和公(gōng)共利益的根本保障。
組織可(kě)以基于合規差距分(fēn)析結果并參照網絡安(ān)全等級保護和其他(tā)法規對信息安(ān)全的要求,建立健全組織信息安(ān)全保障體(tǐ)系,部署并完善安(ān)全管理(lǐ)策略和安(ān)全技(jì )術措施,持續穩定地提升信息安(ān)全水平。
到目前為(wèi)止,國(guó)家制定與頒布了與等級保護相關的多(duō)個國(guó)家标準,一些重點行業也制定了本行業的信息安(ān)全等級保護标準,等級保護的方法近年來在國(guó)内得到廣泛的應用(yòng)。
已經發布的等級保護相關标準:
正在征求意見的等級保護标準修訂稿
為(wèi)配合國(guó)家落實《網絡安(ān)全法》,等級保護标準的名(míng)稱将由原來的GB/T22239-2008《信息安(ān)全技(jì )術 信息系統安(ān)全等級保護基本要求》改為(wèi)“信息安(ān)全技(jì )術 網絡安(ān)全等級保護基本要求”,标準由原來的一個标準變更為(wèi)多(duō)個部分(fēn)組成的标準,分(fēn)别為(wèi):
等級保護對象由原來的信息系統,調整為(wèi):安(ān)全等級保護的對象包括網絡基礎設施、信息系統、大數據、雲計算平台、物(wù)聯網、工(gōng)控系統等。
等級保護相關的定級指南、測評指南、設計技(jì )術要求、測評要求、測評過程指南等相關标準也發布了相應的修訂版(征求意見稿)。
2. 等級保護體(tǐ)系的設計
等級保護的設計分(fēn)為(wèi)安(ān)全策略設計、安(ān)全管理(lǐ)設計及安(ān)全技(jì )術設計三個方面的内容,形成信息安(ān)全保障體(tǐ)系的組織體(tǐ)系、策略體(tǐ)系、技(jì )術體(tǐ)系及運行體(tǐ)系。
2.1 總體(tǐ)安(ān)全策略設計
總體(tǐ)策略設計的目标是形成組織綱領性的安(ān)全策略文(wén)件,包括确定安(ān)全方針和安(ān)全策略兩方面的内容。安(ān)全方針是闡明安(ān)全工(gōng)作(zuò)的使命和意願,定義信息安(ān)全的總體(tǐ)目标,規定信息安(ān)全責任機構和職責,建立安(ān)全工(gōng)作(zuò)運行模式等;安(ān)全策略是說明安(ān)全工(gōng)作(zuò)的主要策略,包括安(ān)全組織機構劃分(fēn)策略、業務(wù)系統分(fēn)級策略、數據信息分(fēn)級策略、等級保護對象互連策略、信息流控制策略等。
通過方針與策略的設計,以便組織可(kě)以結合等級保護基本要求系列标準、行業基本要求和安(ān)全保護特殊要求,構建機構等級保護對象的安(ān)全技(jì )術體(tǐ)系結構和安(ān)全管理(lǐ)體(tǐ)系結構。對于新(xīn)建的等級保護對象,應在立項時明确其安(ān)全保護等級,并按照相應的保護等級要求進行總體(tǐ)安(ān)全策略設計。
2.2 安(ān)全管理(lǐ)體(tǐ)系設計
根據等級保護基本要求系列标準、行業基本要求、安(ān)全需求分(fēn)析報告等,設計等級保護對象安(ān)全管理(lǐ)體(tǐ)系框架。主要是從安(ān)全管理(lǐ)制度、安(ān)全管理(lǐ)機構、人員安(ān)全管理(lǐ)、系統建設管理(lǐ)、系統運維管理(lǐ)五個方面進行設計。
安(ān)全管理(lǐ)體(tǐ)系設計成果可(kě)分(fēn)為(wèi)四層。第一層為(wèi)總體(tǐ)方針、安(ān)全策略,通過信息安(ān)全總體(tǐ)方針、安(ān)全策略明确機構信息安(ān)全工(gōng)作(zuò)的總體(tǐ)目标、範圍、原則等。第二層為(wèi)信息安(ān)全管理(lǐ)制度,通過對信息安(ān)全活動中(zhōng)的各類内容建立管理(lǐ)制度,約束信息安(ān)全相關行為(wèi)。第三層為(wèi)安(ān)全技(jì )術标準、操作(zuò)規程,通過對管理(lǐ)人員或操作(zuò)人員執行的日常管理(lǐ)行為(wèi)建立操作(zuò)規程,規範信息安(ān)全管理(lǐ)制度的具(jù)體(tǐ)技(jì )術實現細節。第四層為(wèi)記錄、表單,用(yòng)于在信息安(ān)全管理(lǐ)制度、操作(zuò)規程實施時需填寫的表單和需保留的操作(zuò)記錄。
2.3 安(ān)全技(jì )術體(tǐ)系設計
根據組織總體(tǐ)安(ān)全策略文(wén)件、GB/T 22239、行業基本要求和安(ān)全需求,設計等級保護對象的安(ān)全技(jì )術體(tǐ)系架構。等級保護對象的安(ān)全技(jì )術防護體(tǐ)系由從外到内的“縱深防禦”體(tǐ)系構成,首先通過“物(wù)理(lǐ)環境安(ān)全防護”保護服務(wù)器、網絡設備以及其他(tā)設備設施免遭地震、火災、水災、盜竊等事故導緻的破壞,然後通過“通信網絡安(ān)全防護”保護暴露于外部的通信線(xiàn)路和通信設備,通過“網絡邊界安(ān)全防護”對等級保護對象實施邊界安(ān)全防護,内部不同級别定級對象盡量分(fēn)别部署在相應保護等級的内部安(ān)全區(qū)域,低級别定級對象部署在高等級安(ān)全區(qū)域時遵循“就高保護”原則,對于内部安(ān)全區(qū)域将實施“主機設備安(ān)全防護”和“應用(yòng)和數據安(ān)全防護”,通過“安(ān)全管理(lǐ)中(zhōng)心”對整個等級保護對象實施統一的安(ān)全技(jì )術管理(lǐ)。
等級保護對象的安(ān)全技(jì )術體(tǐ)系架構見下圖所示:
根據安(ān)全技(jì )術架構的設計,組織可(kě)以尋找相應的技(jì )術與産(chǎn)品來實施安(ān)全控制措施。安(ān)全技(jì )術與産(chǎn)品的選擇,請參考安(ān)全調查分(fēn)析機構安(ān)全牛推出的 “網絡安(ān)全行業全景圖”(http://all.aqniu.com/)。
網絡安(ān)全全景圖目前共分(fēn)為(wèi)17大安(ān)全領域,59個細分(fēn)領域,包含約200家安(ān)全企業和相關機構,比較全面地對主流的安(ān)全技(jì )術與産(chǎn)品進行了介紹,可(kě)以供用(yòng)戶在選擇技(jì )術與産(chǎn)品解決方案時加以參考。
3. 信息安(ān)全教育與培訓
《網絡安(ān)全法》第三十四條規定,關鍵信息基礎設施的運營者還應當履行對從業人員進行網絡安(ān)全教育、技(jì )術培訓和技(jì )能(néng)考核的義務(wù)。
信息安(ān)全教育與培訓是實施有(yǒu)效信息管理(lǐ)的重要基礎,組織要周期性地進行信息安(ān)全教育與培訓規劃,要在員工(gōng)中(zhōng)形成一個行之有(yǒu)效、常抓不懈的氛圍,教育的形式既要生動有(yǒu)趣,又(yòu)要緊湊有(yǒu)效。組織可(kě)以考慮采用(yòng)以下NIST基于角色與職責的、框架式的安(ān)全教育模型:
組織可(kě)根據各崗位人員信息安(ān)全能(néng)力建設需求,設計未來3到5年信息安(ān)全培訓規劃,并針對各崗位的工(gōng)作(zuò)特征,制定各崗位信息安(ān)全能(néng)力需求表,以及由知識組合成的課程。根據組織的實際情況可(kě)采用(yòng)以下基于角色與職責的、框架式的課程設計。以下是基于崗位與信息安(ān)全知識體(tǐ)對應的培訓方案示例:
此外,《網絡安(ān)全法》第十九條規定,“各級人民(mín)政府及其有(yǒu)關部門應當組織開展經常性的網絡安(ān)全宣傳教育,并指導、督促有(yǒu)關單位做好網絡安(ān)全宣傳教育工(gōng)作(zuò)。“因此,網絡運營者在進行人員能(néng)力建設的同時,還應加強包括管理(lǐ)層在内全員網絡安(ān)全意識培養和重要性宣傳的工(gōng)作(zuò)。
普通員工(gōng)是各項業務(wù)的執行者,員工(gōng)信息安(ān)全意識的薄弱是組織信息安(ān)全最大的風險。内部員工(gōng)無意的疏忽,往往會引發敏感信息洩露等安(ān)全事件的發生。内部員工(gōng)的信息安(ān)全意識水平提升有(yǒu)助于減少信息安(ān)全風險,提升組織的總體(tǐ)信息安(ān)全水平。
組織應設計與提供貫穿員工(gōng)整個職業生命周期的、多(duō)種層次、多(duō)種方式的信息安(ān)全意識宣貫,提高組織全體(tǐ)員工(gōng)的信息安(ān)全意識水平。以下是各類信息安(ān)全意識教育形式示例:
4. 安(ān)全體(tǐ)系的持續改進
組織在經過合規差距分(fēn)析并建成組織、管理(lǐ)和技(jì )術體(tǐ)系之後,要推進體(tǐ)系的運行。如果條件許可(kě),組織還可(kě)以建立信息安(ān)全監控運行中(zhōng)心(SOC),對安(ān)全運行狀态進行檢測與管理(lǐ)。組織要持續地收集體(tǐ)系運行數據,對體(tǐ)系運行狀态進行測量,并根據測量結果建立信息安(ān)全績效考核機制,這樣才能(néng)把信息安(ān)全要求落實到業務(wù)流程和員工(gōng)崗位之中(zhōng)。
組織要建立信息安(ān)全保障體(tǐ)系的PDCA循環模式,以推進體(tǐ)系建設的持續完善,全面提升組織的風險識别、安(ān)全防禦、安(ān)全檢測、安(ān)全響應與安(ān)全恢複能(néng)力,最終實現風險可(kě)視化、防禦主動化、運行自動化、管理(lǐ)流程化的安(ān)全目标,積極、主動、快速地應對網絡安(ān)全風險,保障業務(wù)與數據安(ān)全。