3月23日，江蘇省企業(yè)信息化協(xié)會(huì)【課堂+V課堂】第59期，德勤中國(guó)信息風(fēng)險(xiǎn)咨詢服務(wù)合伙人施建俊就中國(guó)網(wǎng)絡(luò)安全以及如何應(yīng)對(duì)網(wǎng)絡(luò)安全存在的新挑戰(zhàn)展開了精彩分享。

一、分享嘉賓

??

[[188066]]

德勤中國(guó)風(fēng)險(xiǎn)咨詢服務(wù)合伙人 施建俊

1. 個(gè)人簡(jiǎn)介

德勤中國(guó)風(fēng)險(xiǎn)咨詢合伙人、工學(xué)博士、上海交通大學(xué)信息安全工程學(xué)院副教授;

項(xiàng)目管理協(xié)會(huì)(PMI)和信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)會(huì)員、上海市政府采購(gòu)咨詢專家。

2. 所獲榮譽(yù)

在任職上海交通大學(xué)信息安全工程學(xué)院副教授期間，長(zhǎng)期從事信息安全教學(xué)和科研工作，曾發(fā)表十余篇科研論文，領(lǐng)導(dǎo)過多個(gè)國(guó)家信息安全研究項(xiàng)目，并曾獲得上海市科技進(jìn)步一等獎(jiǎng)。

3. 擅長(zhǎng)領(lǐng)域

自2006年加入德勤中國(guó)，專業(yè)從事信息技術(shù)風(fēng)險(xiǎn)管理、信息安全管理、IT服務(wù)管理咨詢、業(yè)務(wù)連續(xù)性管理、IT外包管理咨詢，以及信息系統(tǒng)審計(jì)和SOC1/2見證等工作;

在金融銀行、高科技行業(yè)領(lǐng)域以及云計(jì)算等高科技企業(yè)提供各類IT咨詢服務(wù)，尤其在云計(jì)算等新技術(shù)的風(fēng)險(xiǎn)、安全和合規(guī)方面有豐富經(jīng)驗(yàn)。

二、演講主題

《中國(guó)網(wǎng)絡(luò)新紀(jì)元 如何應(yīng)對(duì)網(wǎng)絡(luò)安全新挑戰(zhàn)》

三、大綱演講

1.中國(guó)網(wǎng)絡(luò)安全法概述

2.網(wǎng)絡(luò)運(yùn)行安全

3.個(gè)人信息安全保護(hù)

4.如何與信息監(jiān)管機(jī)構(gòu)的互動(dòng)

5.分享總結(jié)

四、原文實(shí)錄

原文實(shí)錄context：

首先，我會(huì)跟大家簡(jiǎn)單介紹一下網(wǎng)絡(luò)安全法立法的一些背景以及目前的一些現(xiàn)狀，然后針對(duì)網(wǎng)絡(luò)安全法當(dāng)中特別關(guān)注的三個(gè)領(lǐng)域，網(wǎng)絡(luò)運(yùn)行安全、個(gè)人信息保護(hù)，以及今后與監(jiān)管機(jī)構(gòu)的互動(dòng)進(jìn)行展開，同時(shí)總結(jié)一下，大家為了有效應(yīng)對(duì)即將到來的網(wǎng)絡(luò)安全法所應(yīng)該采取的關(guān)鍵行動(dòng)。

??

網(wǎng)絡(luò)安全法從最初醞釀一直到3次征求意見稿當(dāng)中大概歷時(shí)了兩年的時(shí)間。對(duì)于這樣一個(gè)非常技術(shù)性的領(lǐng)域，這樣的一個(gè)立法工作兩年時(shí)間是一個(gè)非常短、非常迅速的一個(gè)時(shí)間，也是近年來立法從醞釀到最后正式人大通過時(shí)間非常短的一部立法，所以在這個(gè)過程當(dāng)中，大家看到這個(gè)法的時(shí)候會(huì)覺得其中還是有很多待確定的問題。比如說里邊還是有諸多的有“關(guān)部門”沒有給予很明確的界定，諸多技術(shù)要求尚未有配套的監(jiān)管細(xì)則和技術(shù)標(biāo)準(zhǔn)。所以該法推出來之后很多相關(guān)的部門、相關(guān)的企事業(yè)單位覺得落地困難的地方。

當(dāng)然，從去年11月份開始一直到現(xiàn)在，很多相關(guān)的監(jiān)管方，包括像網(wǎng)信、公安、銀監(jiān)等，都在針對(duì)我們的網(wǎng)絡(luò)安全法當(dāng)中所提出的各項(xiàng)要求制定細(xì)則。網(wǎng)絡(luò)安全法的推出，把原來網(wǎng)絡(luò)安全、信息安全這樣一個(gè)技術(shù)的領(lǐng)域、商業(yè)領(lǐng)域當(dāng)中的問題上升到了一個(gè)國(guó)家所關(guān)注的戰(zhàn)略高度，并且將網(wǎng)絡(luò)安全作為在中華人民共和國(guó)境內(nèi)，不管是建設(shè)、運(yùn)營(yíng)、維護(hù)，還是使用網(wǎng)絡(luò)的每一個(gè)個(gè)人，每一個(gè)企事業(yè)單位所應(yīng)盡的一項(xiàng)義務(wù)，而不僅僅是一個(gè)技術(shù)的問題或企業(yè)內(nèi)部的管理問題。

??

網(wǎng)絡(luò)安全法共有七個(gè)章節(jié)，第一、第二個(gè)章節(jié)，明確了一些總體的原則，以及國(guó)家和有關(guān)的部門所應(yīng)該做到的一些總體事務(wù);第三章開始，三、四、五明確了網(wǎng)絡(luò)運(yùn)營(yíng)者，每個(gè)個(gè)人所應(yīng)該承擔(dān)的職責(zé)和義務(wù);第六章明確了一旦未能盡盡責(zé)，所應(yīng)該承擔(dān)的責(zé)任和相關(guān)處罰規(guī)定。

從整個(gè)網(wǎng)絡(luò)安全法立法者的意圖來看，其中明確了三個(gè)核心的概念：

第一，首次明確了網(wǎng)絡(luò)運(yùn)行安全這個(gè)概念，明確了所有的網(wǎng)絡(luò)運(yùn)營(yíng)者所應(yīng)該承擔(dān)的保護(hù)義務(wù)、自己的職責(zé)以及在網(wǎng)絡(luò)運(yùn)行當(dāng)中一些關(guān)鍵的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全專用設(shè)備、專用產(chǎn)品該如何進(jìn)行相關(guān)的保護(hù)和部署;同時(shí)也明確了所有的主體對(duì)于網(wǎng)絡(luò)安全事件一旦發(fā)生后，在應(yīng)急過程當(dāng)中所應(yīng)該承擔(dān)的職責(zé)。

第二、網(wǎng)絡(luò)安全法當(dāng)中首次系統(tǒng)地闡述了對(duì)個(gè)人信息保護(hù)的要求。雖然之前其它的一些法律和行業(yè)規(guī)章中對(duì)個(gè)人信息保護(hù)也有所提及，但是這次的網(wǎng)絡(luò)安全法把它上升到了一個(gè)國(guó)家立法的層面，并且闡述得比較完整，包括了個(gè)人對(duì)自己個(gè)人信息的權(quán)利，對(duì)企事業(yè)單位、網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)個(gè)人信息的保護(hù)要求，以及相關(guān)的投訴舉報(bào)和處理機(jī)制和處罰要求等。

第三、在網(wǎng)絡(luò)安全法中首次明確了每一個(gè)相關(guān)的單位、個(gè)人和網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)安全風(fēng)險(xiǎn)評(píng)估，安全事件上報(bào)，參與相關(guān)演練，并且和有關(guān)部門進(jìn)行信息共享和相關(guān)的上報(bào)的機(jī)制的義務(wù)。

??

在網(wǎng)絡(luò)安全法當(dāng)中，首次提出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者這樣一個(gè)概念。首先，對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者來說并不僅是我們通常意義上理解的像電信、互聯(lián)網(wǎng)公司這樣一些對(duì)外提供服務(wù)的企業(yè)，它對(duì)于每一個(gè)使用到網(wǎng)絡(luò)，管理網(wǎng)絡(luò)的企業(yè)和個(gè)體都有可能涉及其中。各種網(wǎng)絡(luò)的管理者、運(yùn)營(yíng)者、所有者、使用者里邊特別強(qiáng)調(diào)了一類叫做關(guān)鍵信息基礎(chǔ)設(shè)施。在網(wǎng)絡(luò)安全法當(dāng)中，沒有對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施給出明確的界定，但是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施它所應(yīng)該承擔(dān)的職責(zé)和義務(wù)給出了一些明確的要求。

其中很多要求是非常的高的，什么樣的信息基礎(chǔ)設(shè)施才會(huì)被界定為關(guān)鍵信息基礎(chǔ)設(shè)施?可能是我們很多企業(yè)非常關(guān)注的，自己會(huì)不會(huì)被列為這樣一個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施，受到比較高的監(jiān)管要求和關(guān)注。根據(jù)目前網(wǎng)絡(luò)安全的主管機(jī)構(gòu)、網(wǎng)信辦的一些精神，現(xiàn)在理解關(guān)鍵信息基礎(chǔ)設(shè)施可能分為三類，包括網(wǎng)站類、平臺(tái)類和業(yè)務(wù)類，網(wǎng)站類如我們的黨政機(jī)關(guān)的網(wǎng)站，企事業(yè)單位的網(wǎng)站，新聞網(wǎng)站等等，都有可能會(huì)認(rèn)為是關(guān)鍵信息基礎(chǔ)設(shè)施，因?yàn)樗窍蚬娺M(jìn)行展示的。平臺(tái)類如我們經(jīng)常使用的QQ、微信這類的即時(shí)通訊，淘寶這類網(wǎng)上購(gòu)物，支付寶這樣的網(wǎng)上支付，搜索引擎、電子郵、論壇、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺(tái)。如果它的注冊(cè)用戶數(shù)足夠多，活躍用戶數(shù)量很大，到了一定的門限值之外，也有可能會(huì)被認(rèn)為關(guān)鍵。另外還有一些可能對(duì)國(guó)計(jì)民生產(chǎn)生重大影響的業(yè)務(wù)類系統(tǒng)。

確定這些類別當(dāng)中的系統(tǒng)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施，通常可以有三個(gè)步驟，由我們的網(wǎng)絡(luò)安全主管部門網(wǎng)信辦來進(jìn)行確認(rèn)：

第一，確定關(guān)鍵業(yè)務(wù)，就是說這個(gè)業(yè)務(wù)是不是對(duì)國(guó)計(jì)民生，對(duì)大眾有很大的一個(gè)影響。

第二，根據(jù)所確定的關(guān)鍵業(yè)務(wù)來看，支撐這個(gè)關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或者工控系統(tǒng)到底是什么。

第三，根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或公共系統(tǒng)的依賴程度，以及發(fā)生安全事件后可能造成的損失，來認(rèn)定它是否屬于一個(gè)關(guān)鍵信息基礎(chǔ)。

認(rèn)定的條件非常多，那么有幾個(gè)關(guān)鍵的數(shù)字，可以跟大家分享一下，就目前的一個(gè)把握尺度。對(duì)于網(wǎng)站內(nèi)來說，它的判斷要求很高，判斷準(zhǔn)則很多，其中有一個(gè)判斷數(shù)量，比如說你的日訪問量是超過100萬人次的網(wǎng)站就會(huì)認(rèn)為是一個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施。對(duì)于平臺(tái)類的，比如說你的注冊(cè)用戶數(shù)超過了1000萬，或者說活躍用戶超過100萬，就會(huì)認(rèn)為是關(guān)鍵信息基礎(chǔ)設(shè)施。對(duì)于一些交易類的，他的日成交訂單額或交易額超過1000萬元，就會(huì)被判定為是關(guān)鍵信息基礎(chǔ)設(shè)施。

按照判斷標(biāo)準(zhǔn)來看，我們會(huì)看到大量的互聯(lián)網(wǎng)平臺(tái)，金融機(jī)構(gòu)的信息系統(tǒng)，都有可能會(huì)被定義為關(guān)鍵信息基礎(chǔ)設(shè)施，所以關(guān)鍵信息基礎(chǔ)設(shè)施的覆蓋范圍可能是非常廣泛的，它們都需要遵循比較高的網(wǎng)絡(luò)安全法當(dāng)中所提出的網(wǎng)絡(luò)運(yùn)行安全的要求。

??

??

下面我們來看一下其中所提到的網(wǎng)絡(luò)運(yùn)行安全當(dāng)中所特別關(guān)注的一些要點(diǎn)，網(wǎng)絡(luò)安全法當(dāng)中關(guān)于網(wǎng)絡(luò)服務(wù)提供者，即通過網(wǎng)絡(luò)提供服務(wù)的表述的覆蓋范圍實(shí)際上是非常廣泛的。它可以指向任何使用網(wǎng)絡(luò)為媒介提供服務(wù)的主體，這不僅包括以網(wǎng)絡(luò)在線業(yè)務(wù)為主體的這種互聯(lián)網(wǎng)企業(yè)。比如說應(yīng)用商店、電商、網(wǎng)約車平臺(tái)等等，也有可能包括因其線下業(yè)務(wù)向線上延伸，而同樣需要借助網(wǎng)絡(luò)的一些傳統(tǒng)的線下企業(yè)，甚至于制造業(yè)企業(yè)。

因此，網(wǎng)絡(luò)安全法基本上覆蓋了當(dāng)前網(wǎng)絡(luò)服務(wù)業(yè)態(tài)的各個(gè)方面。我們會(huì)看到對(duì)于一個(gè)普通的網(wǎng)絡(luò)運(yùn)營(yíng)者來說，這里的網(wǎng)絡(luò)運(yùn)營(yíng)者包括了網(wǎng)絡(luò)的所有者、管理者以及網(wǎng)絡(luò)服務(wù)的提供者，不僅僅是擁有者這么簡(jiǎn)單。同時(shí)，對(duì)于像網(wǎng)絡(luò)防病毒、網(wǎng)絡(luò)防入侵、數(shù)據(jù)分類、備份加密、網(wǎng)絡(luò)事件的應(yīng)急預(yù)案，網(wǎng)絡(luò)設(shè)備和產(chǎn)品的選型選擇，以及在服務(wù)提供過程當(dāng)中的實(shí)名制注冊(cè)以及所選用的網(wǎng)絡(luò)、安全產(chǎn)品和服務(wù)，須符合相關(guān)的國(guó)家強(qiáng)制標(biāo)準(zhǔn)的要求等等。應(yīng)該說大多數(shù)內(nèi)容都是比較常見和普通的一些網(wǎng)絡(luò)全要求，之前很多企業(yè)也都是這么做的，除了一些像實(shí)名制、產(chǎn)品的一些選型要求等等，可能不太注意，很多工作日?？赡芤捕荚谧?，但是現(xiàn)在成為一個(gè)法律要求之后，任何一個(gè)網(wǎng)絡(luò)的相關(guān)的運(yùn)營(yíng)者、所有者、管理者都成為一項(xiàng)法定的義務(wù)。

對(duì)關(guān)鍵信信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者而言，除了要做到一般的網(wǎng)絡(luò)運(yùn)營(yíng)者所應(yīng)盡的義務(wù)之外，它還有更高的一些要求，可以看到在一些點(diǎn)上提出了明確的要求。比如說在人員上，提出了專門的安全機(jī)構(gòu)和專門的信息安全的專崗人員，并且對(duì)相關(guān)的人員要進(jìn)行定期的培訓(xùn)和考核，尤其是安全相關(guān)的管理和技術(shù)人員。對(duì)于相關(guān)的系統(tǒng)，它的系統(tǒng)的可靠性，數(shù)據(jù)的容災(zāi)備份，相關(guān)的應(yīng)急預(yù)案，定期演練的要求等等，也是給出了明確的一個(gè)法律的要求。在采購(gòu)相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的時(shí)候還提出了安全審查的義務(wù)，在采購(gòu)供應(yīng)商的關(guān)鍵產(chǎn)品和服務(wù)的時(shí)候，提出了需要將相關(guān)的(安全審查的義務(wù))。

對(duì)關(guān)鍵信息基礎(chǔ)運(yùn)營(yíng)者還強(qiáng)調(diào)了一個(gè)特別重要的概念，就是數(shù)據(jù)跨境傳輸?shù)囊?，?duì)于所有的在中華人民共和國(guó)境內(nèi)所收集或者是產(chǎn)生的個(gè)人信息以及其它重要業(yè)務(wù)數(shù)據(jù)，必須首先在中華人民共和國(guó)境內(nèi)進(jìn)行存儲(chǔ)。如果說確因業(yè)務(wù)需要向國(guó)外進(jìn)行傳輸，則要經(jīng)過有關(guān)部門的安全評(píng)估和審查備案。這一點(diǎn)是很多跨國(guó)企業(yè)在國(guó)內(nèi)開展業(yè)務(wù)，或是國(guó)內(nèi)企業(yè)走出去的過程當(dāng)中需要全球共享信息的時(shí)候，可能會(huì)遇到的一個(gè)新的合規(guī)的挑戰(zhàn)。

目前，數(shù)據(jù)跨境傳輸?shù)膯栴}，網(wǎng)信辦正在牽頭有關(guān)部門和各行業(yè)的監(jiān)管組織制定細(xì)則，這個(gè)問題到現(xiàn)在還沒有一個(gè)明確的答案，但是至少有一點(diǎn)：在國(guó)內(nèi)必須要留存相關(guān)的數(shù)據(jù)，直接存放在境外的行為在2017年6月1號(hào)之后會(huì)成為一個(gè)違法的行為。

有一點(diǎn)需要強(qiáng)調(diào)，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者而言，法規(guī)里邊提出了多處定期開展風(fēng)險(xiǎn)評(píng)估、信息安全評(píng)估等要求，就是說你必須要接受國(guó)家或者相關(guān)第三方對(duì)你的定期監(jiān)督檢查，并且相關(guān)的結(jié)果要及時(shí)和有關(guān)部門進(jìn)行溝通，確保整個(gè)的運(yùn)營(yíng)過程當(dāng)中持續(xù)的安全與合規(guī)。這些要求以前可能都是散落在不同行業(yè)監(jiān)管組織的一些部門規(guī)章里邊，但現(xiàn)在這些變成了意向普遍的法律要求。

??

接下去我們來看一下網(wǎng)絡(luò)運(yùn)行安全。網(wǎng)絡(luò)安全涉及的點(diǎn)非常多，但里邊有幾個(gè)關(guān)鍵點(diǎn)跟大家進(jìn)行一些分享：

第一個(gè)是關(guān)于數(shù)據(jù)安全。我們注意到在網(wǎng)絡(luò)安全法當(dāng)中有多個(gè)條目都提到了數(shù)據(jù)安全，包括強(qiáng)調(diào)了我們每一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)者都有義務(wù)來維護(hù)整個(gè)數(shù)據(jù)的完整性、保密性和可用性等。防止數(shù)據(jù)的泄密或者說被盜竊篡改，并且要求對(duì)數(shù)據(jù)進(jìn)行分類，對(duì)于重要數(shù)據(jù)要進(jìn)行備份、加密等措施進(jìn)行保護(hù)等。

??

同時(shí)，對(duì)于重要系統(tǒng)要進(jìn)行容災(zāi)備份，對(duì)于個(gè)人信息提出了明確的安全管理要求。如何才能系統(tǒng)化地應(yīng)對(duì)網(wǎng)絡(luò)安全法當(dāng)中對(duì)數(shù)據(jù)安全所提出的要求呢?我們認(rèn)為整個(gè)企業(yè)應(yīng)該有一個(gè)數(shù)據(jù)安全的治理框架來進(jìn)行一個(gè)明確的應(yīng)對(duì)，否則，很容易注意到這個(gè)點(diǎn)卻疏忽了另外一個(gè)點(diǎn)。

??

整個(gè)的核心是數(shù)據(jù)的分類、分級(jí)的框架，即任何一個(gè)企業(yè)必須要對(duì)自己企業(yè)所采集、生成、使用和可能分享的數(shù)據(jù)要有清晰的了解，要知道企業(yè)自己到底有哪些數(shù)據(jù)，這些數(shù)據(jù)它的重要程度到底是怎么樣的，因此首先要有一個(gè)分類、分級(jí)的框架。有了這個(gè)框架之后，大家可以看一下這張圖當(dāng)中所闡述的一個(gè)比較常見的，用來幫助我們維護(hù)企業(yè)數(shù)據(jù)安全的總體的一個(gè)方法論。

首先，企業(yè)要從自己的業(yè)務(wù)場(chǎng)景出發(fā)，對(duì)自身的數(shù)據(jù)進(jìn)行分類、分級(jí)，識(shí)別數(shù)據(jù)的范圍，明確需要保護(hù)的關(guān)鍵數(shù)據(jù)到底是什么?同時(shí)，要識(shí)別數(shù)據(jù)的使用場(chǎng)景。所謂的使用場(chǎng)景就是數(shù)據(jù)從它的收集、使用、分享、歸檔、銷毀等生命周期的各個(gè)環(huán)節(jié)當(dāng)中到底有哪些使用場(chǎng)景?誰會(huì)接觸到它?它會(huì)在哪些載體當(dāng)中以什么形式存在?哪些使用途徑是允許的?哪一些是不允許的?然后根據(jù)所識(shí)別的風(fēng)險(xiǎn)場(chǎng)景去評(píng)估現(xiàn)有的管控措施是否足夠應(yīng)對(duì)數(shù)據(jù)安全的所可能遇到的危險(xiǎn)，以及滿足相關(guān)法律法規(guī)的合規(guī)性要求。

對(duì)于不同要求、不同級(jí)別的數(shù)據(jù)，在其全生命周期當(dāng)中，都應(yīng)該遵循一套一致性的安全保護(hù)基本要求，也就是分級(jí)的要求。我們要針對(duì)不同的級(jí)別的數(shù)據(jù)定義對(duì)應(yīng)的安全保護(hù)要求，在整個(gè)生命周期環(huán)境當(dāng)中確保沒有盲點(diǎn)，沒有漏洞。對(duì)于所識(shí)別出來需要實(shí)施的管控，應(yīng)該當(dāng)對(duì)照所制定出來的不同級(jí)別的數(shù)據(jù)安全的標(biāo)準(zhǔn)，制定相關(guān)的管控和技術(shù)實(shí)現(xiàn)藍(lán)圖。可能這里邊包括各種數(shù)據(jù)防泄漏的技術(shù)體系，用戶行為分析體系等，也包括常見的加密、認(rèn)證體系等，都要針對(duì)不同級(jí)別的數(shù)據(jù)，來進(jìn)行制定不同要求和強(qiáng)度的安全解決方案。

??

有一個(gè)非常關(guān)鍵的，也是這次網(wǎng)絡(luò)安全法當(dāng)中特別強(qiáng)調(diào)的概念。以前針對(duì)數(shù)據(jù)安全，大多數(shù)企業(yè)強(qiáng)調(diào)的都是預(yù)防和檢測(cè)，但是很少有考慮一旦真的發(fā)生數(shù)據(jù)的泄露的情況下，該如何進(jìn)行應(yīng)急的處置，是否準(zhǔn)備了相關(guān)的預(yù)案。往往很多企業(yè)都是在被媒體或監(jiān)管捅出來，相關(guān)的數(shù)據(jù)可能已經(jīng)有造成了大范圍的影響，然后手忙腳亂地去進(jìn)行相關(guān)的危機(jī)公關(guān)和處置。過程中往往缺乏證據(jù)保全、根因分析和消除、主動(dòng)溝通等機(jī)制，并沒有一個(gè)很完整的應(yīng)對(duì)數(shù)據(jù)泄漏的緊急預(yù)案。這一類緊急預(yù)案是這次網(wǎng)絡(luò)安全法中明確要求企業(yè)建立的。

強(qiáng)調(diào)網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)機(jī)制是在這次網(wǎng)絡(luò)安全法當(dāng)中的一個(gè)亮點(diǎn)，它多處提出了需要對(duì)網(wǎng)絡(luò)安全的應(yīng)急事件有一套明確的管理框架，這樣就可避免一些網(wǎng)絡(luò)安全事件從比較小的程度，但由于缺乏相應(yīng)的應(yīng)對(duì)的機(jī)制，使之慢慢擴(kuò)大、上升到了一個(gè)危機(jī)。再好的事前的管控體系也難免會(huì)有意外的網(wǎng)絡(luò)安全事件發(fā)生一個(gè)健壯的危機(jī)防范措施或者說危機(jī)管理程序是十分必要的。網(wǎng)絡(luò)安全事件的發(fā)生本身并不是可怕的，怕的是我們?cè)诎l(fā)生的時(shí)候處于一種慌亂無序的狀態(tài)，只要我們企業(yè)有一個(gè)預(yù)先的準(zhǔn)備，有一個(gè)科學(xué)合理和健全的警戒、響應(yīng)和恢復(fù)的機(jī)制，并且通過事后的評(píng)估吸取經(jīng)驗(yàn)教訓(xùn)，就可杜絕類似事件的重復(fù)發(fā)生。

??

上圖是網(wǎng)絡(luò)安全法希望大家所能夠做到的程度。為了達(dá)到這樣一個(gè)狀態(tài)，我們需要在整個(gè)網(wǎng)絡(luò)安全事件的發(fā)生前、發(fā)生中以及發(fā)生后都做到有條不紊，即使發(fā)生安全事件，處理的時(shí)候也是井然有序。我們要對(duì)可能產(chǎn)生的，可能也是無法避免的，各類網(wǎng)絡(luò)危機(jī)事件，做到有條不紊的管理和應(yīng)對(duì)，總體上來說要有六大核心能力：包括對(duì)網(wǎng)絡(luò)危機(jī)管理的一個(gè)治理能力，合理的科學(xué)的應(yīng)對(duì)策略，它們不僅需要書面化的流程，還需要有配套的技術(shù)平臺(tái)，來幫助我們快速的恢復(fù)和應(yīng)對(duì)。同時(shí)，我們的業(yè)務(wù)運(yùn)營(yíng)要足夠的健壯。一方面盡量避免出現(xiàn)相關(guān)的危機(jī)事件，另一方面在危機(jī)事件出現(xiàn)之后，也能夠迅速的調(diào)整和恢復(fù)。另外，要有充分的風(fēng)險(xiǎn)和合規(guī)的意識(shí)，以及溝通應(yīng)對(duì)的技巧。最后，出問題不怕，怕的是出同樣的問題。

??

??

下面和大家簡(jiǎn)單看一下網(wǎng)絡(luò)安全法當(dāng)中第二個(gè)非常關(guān)鍵的領(lǐng)域——個(gè)人信息保護(hù)。網(wǎng)絡(luò)安全法對(duì)個(gè)人信息給出了一個(gè)明確的定義，個(gè)人信息是指以電子或者其它方式記錄的，能夠單獨(dú)或者與其它信息結(jié)合，識(shí)別自然人個(gè)人身份的各種信息，但不限于姓名、出生日期、身份證號(hào)碼、個(gè)人生物識(shí)別特征、住址、電話號(hào)碼等。

里邊需要有一個(gè)概念跟大家分享，這里邊的個(gè)人信息和另外一個(gè)名詞隱私是略有差別的。個(gè)人信息可能是一種隱私，但是隱私的信息里邊不完全是個(gè)人信息，例如個(gè)人信息里邊的宗教信仰，在中國(guó)經(jīng)常會(huì)有表格里邊希望大家填一個(gè)民族，大家會(huì)填一個(gè)我是漢族或其他民族。在中國(guó)法律里邊或者說通常的概念當(dāng)中民族信息不是隱私信息，但是在有一些國(guó)家當(dāng)中，會(huì)認(rèn)為民族信息、宗教信仰是個(gè)人的隱私信息，是受到法律的保護(hù)的。所以個(gè)人信息和隱私保護(hù)的范疇是不完全一樣的，這兩者是不同的概念，隱私更多是各國(guó)法律層面的以及當(dāng)?shù)仫L(fēng)俗習(xí)慣的一個(gè)概念，而個(gè)人信息，更多是信息本身的一個(gè)定義。

??

我們還是根據(jù)比較常用的亞太經(jīng)合組織個(gè)人隱私保護(hù)的九原則，來看一下這次網(wǎng)絡(luò)安全法當(dāng)中相關(guān)的法條，它是怎么樣進(jìn)行相關(guān)的規(guī)定的，這個(gè)比較容易理解一些：

首先要有一個(gè)框架來預(yù)防個(gè)人信息或隱私信息的受損，所以在我們法當(dāng)中要求網(wǎng)絡(luò)運(yùn)營(yíng)者，不僅是關(guān)鍵信息基礎(chǔ)設(shè)施;同時(shí)，所有的網(wǎng)絡(luò)運(yùn)營(yíng)者都要建立相關(guān)的投訴舉報(bào)制度等等，來確保相關(guān)的損害，或者說相關(guān)的違規(guī)行為能夠得到及時(shí)有效的處理。

于告知原則，法律中明確網(wǎng)絡(luò)運(yùn)營(yíng)者在使用個(gè)人信息的時(shí)候應(yīng)該公開自己在收集相關(guān)信息過程當(dāng)中網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)是合法、正當(dāng)、必要，不得收集與所提供業(yè)務(wù)無關(guān)的個(gè)人信息?，F(xiàn)在有很多網(wǎng)站，很多的服務(wù)提供者，它們所給出的收集的的理由往往比較牽強(qiáng)。例如大家在安裝一些APP的時(shí)候，他會(huì)要求你同意他使用你的什么什么信息，但是你多想一下的話，他要訪問你的一些通訊錄，個(gè)人的相冊(cè)等等和它本身提供的服務(wù)是未必有關(guān)的，以后這類都是違法行為。

對(duì)于個(gè)人資料使用的過程當(dāng)中，未經(jīng)被收集者同意，你是不得向他人提供個(gè)人信息的。這一條事實(shí)上對(duì)于現(xiàn)在很多現(xiàn)在大數(shù)據(jù)的應(yīng)用，尤其是對(duì)數(shù)據(jù)進(jìn)行二次加工的一些企業(yè)，是有很大的影響的。雖然說這里明確經(jīng)過處理之后無法識(shí)別特定個(gè)人且不能復(fù)原的除外，但是目前尚缺乏相關(guān)的技術(shù)標(biāo)準(zhǔn)或者說判定原則來評(píng)估經(jīng)過什么樣的處理就無法識(shí)別了。因?yàn)閲?guó)外有很多案例，經(jīng)過常規(guī)的脫敏處理之后的數(shù)據(jù)，經(jīng)過多次迭代和關(guān)聯(lián)性分析之后，仍然能夠定位到相關(guān)的個(gè)人。所以說這條原則的使用目前來說還缺乏相關(guān)的技術(shù)標(biāo)準(zhǔn)的或者配套的法律法規(guī)支持，很有可能在實(shí)際的應(yīng)用過程當(dāng)中會(huì)造成一些歧義。

當(dāng)事人自主選擇，你不同意，信息被采集的人應(yīng)該有自己的一個(gè)自主選擇權(quán)，同意或不同意，而不能通過一些格式合同進(jìn)行一個(gè)很粗暴的一個(gè)規(guī)定。對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者收集來的信息，他有義務(wù)來保證這些信息不被泄露、篡改和損毀。對(duì)于信息的被收集者，如果說他希望能夠刪掉自己的信息，運(yùn)營(yíng)必須要提供這樣的功能和技術(shù)手段，徹底的刪除他的信息，這對(duì)于有一些企業(yè)實(shí)現(xiàn)起來可能還是有難度的。比如說像我們搜索的一些提供者，包括我們很多網(wǎng)絡(luò)服務(wù)的提供者他的信息。

企業(yè)構(gòu)建，個(gè)人信息保護(hù)能力，經(jīng)常要問一下自己到底該做什么?通常我們會(huì)問一下自己三個(gè)問題：

第一、我到底要保護(hù)什么?對(duì)外可能是要保護(hù)我們的客戶，我們潛在客戶的個(gè)人信息，對(duì)內(nèi)可能是保護(hù)我們自己?jiǎn)T工的、合作伙伴的個(gè)人信息。那么保護(hù)的目標(biāo)到底是什么?可能是為了符合我們像網(wǎng)絡(luò)安全法或者行業(yè)的其它一些個(gè)人信息的保護(hù)要求。還是為了真正的贏得我們客戶的信任?從自己的業(yè)務(wù)角度是需要切實(shí)的保障我們的客戶數(shù)據(jù)。到底我們的目標(biāo)到底是什么?不同的目標(biāo)可能造成我們實(shí)際在推動(dòng)這項(xiàng)事情時(shí)的做法不同。

我們到底該如何保護(hù)?一旦界定了我們的保護(hù)對(duì)象和保護(hù)目標(biāo)，就可以確定我們?nèi)绾稳ケＷo(hù)。這里邊個(gè)人信息的保護(hù)和我們前面講到的另一個(gè)重點(diǎn)，數(shù)據(jù)安全的保護(hù)有很多的相同點(diǎn)，也有一些不同點(diǎn)。就相同點(diǎn)來說，個(gè)人信息本身也是數(shù)據(jù)的一種，而且往往會(huì)通過數(shù)據(jù)的分類和分級(jí)之后識(shí)別為很重要、很關(guān)鍵、安全級(jí)別很高的、需要保護(hù)的一類數(shù)據(jù)，所以前述數(shù)據(jù)安全通用的分類、分級(jí)以及數(shù)據(jù)流圖分析方法、風(fēng)險(xiǎn)識(shí)別、管控設(shè)計(jì)等等，同樣適合于個(gè)人信息保護(hù)。但是信息保護(hù)不僅僅是一個(gè)數(shù)據(jù)安全保護(hù)，它同時(shí)也是一個(gè)監(jiān)管合規(guī)要求。我們會(huì)看到對(duì)個(gè)人信息保護(hù)里面有很多法律義務(wù)：我們有使用告知的義務(wù)，我們有二次加工和一個(gè)是否能夠?qū)€(gè)人信息進(jìn)行二次加工、二次利用的這樣一個(gè)法律的義務(wù)等等很多。這些的法律的規(guī)定的對(duì)個(gè)人信息的保護(hù)義務(wù)又和通常意義上我們自己所產(chǎn)生的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)要求不完全一樣。所以說個(gè)人信息的保護(hù)和數(shù)據(jù)安全既有相同點(diǎn)，但又不完全是一回事。

如果要確保個(gè)人信息得到妥善保護(hù)，復(fù)核法律法規(guī)的要求以及我們管理層目標(biāo)，以及對(duì)我們客戶承諾的落地，需要結(jié)合我們自己的相關(guān)的管理流程，相關(guān)的信息技術(shù)，兩個(gè)方面著手來解決這樣有個(gè)人信息保護(hù)的難題。從管理上來說對(duì)個(gè)人信息保護(hù)它涉及到個(gè)人信息的保護(hù)的治理架構(gòu)，就是誰有責(zé)任去來管好這個(gè)事兒，如何才能管好(安全管理體系)，個(gè)人信息萬一泄露后的處理，客戶權(quán)益的保障，以及對(duì)可能會(huì)使用到、利用到我們個(gè)人信息的或者說可能會(huì)共享的供應(yīng)商關(guān)聯(lián)方的一個(gè)管理等等，涉及面是及其廣泛的。

從公司治理層來說，他們需要對(duì)個(gè)人信息或者隱私保護(hù)制定一個(gè)總體的策略，到底我們打算對(duì)拿來的個(gè)人信息做怎樣的一個(gè)處理，然后圍繞著該策略建立對(duì)應(yīng)的治理架構(gòu)，建設(shè)相配套的管理方針、管理流程、技術(shù)標(biāo)準(zhǔn)，以確保策略落地。同時(shí)要把相關(guān)的個(gè)人信息保護(hù)的意識(shí)、要求、技能，通過相關(guān)的培訓(xùn)傳遞到公司內(nèi)部、外部所可能涉及的使用者，管理者，以及相應(yīng)的程序設(shè)計(jì)人員。要做到“Privacy by Design”，就是所謂的從設(shè)計(jì)之初就把個(gè)人信息保護(hù)嵌入到整個(gè)的系統(tǒng)設(shè)計(jì)和管理過程中去。在實(shí)際操作過程當(dāng)中，要把我們制定的各種事件通報(bào)機(jī)制、物理安全機(jī)制、數(shù)據(jù)傳遞機(jī)制、銷毀機(jī)制、隱私聲明等都落到實(shí)處，并且通過持續(xù)的有效性評(píng)估，來保證這些管理要求都能夠有效地執(zhí)行，并且定期的進(jìn)行優(yōu)化和調(diào)整。

這里跟大家分享一個(gè)汽車制造企業(yè)的案例。他們?cè)趯?shí)施個(gè)人信息保護(hù)的過程中的路徑圖大致如圖所示。他們實(shí)施這項(xiàng)工作的初因還不是由于《網(wǎng)絡(luò)安全法》的出臺(tái)，而是由于另外一個(gè)法規(guī)——《新廣告法》，它里邊也對(duì)個(gè)人信息保護(hù)提出了要求，對(duì)企業(yè)所收集的個(gè)人信息在廣告利用當(dāng)中做出一些明確的限制。所以很多企業(yè)家為了遵循相關(guān)的法律，已經(jīng)開始做了這部分的工作，其建設(shè)思路和網(wǎng)絡(luò)安全法的要求基本是一致的。

??

從公司治理層來說，他們需要對(duì)個(gè)人信息或者隱私保護(hù)制定一個(gè)總體的策略，到底我們打算對(duì)拿來的個(gè)人信息做怎樣的一個(gè)處理，然后圍繞著該策略建立對(duì)應(yīng)的治理架構(gòu)，建設(shè)相配套的管理方針、管理流程、技術(shù)標(biāo)準(zhǔn)，以確保策略落地。同時(shí)要把相關(guān)的個(gè)人信息保護(hù)的意識(shí)、要求、技能，通過相關(guān)的培訓(xùn)傳遞到公司內(nèi)部、外部所可能涉及的使用者，管理者，以及相應(yīng)的程序設(shè)計(jì)人員。要做到“Privacy by Design”，就是所謂的從設(shè)計(jì)之初就把個(gè)人信息保護(hù)嵌入到整個(gè)的系統(tǒng)設(shè)計(jì)和管理過程中去。在實(shí)際操作過程當(dāng)中，要把我們制定的各種事件通報(bào)機(jī)制、物理安全機(jī)制、數(shù)據(jù)傳遞機(jī)制、銷毀機(jī)制、隱私聲明等都落到實(shí)處，并且通過持續(xù)的有效性評(píng)估，來保證這些管理要求都能夠有效地執(zhí)行，并且定期的進(jìn)行優(yōu)化和調(diào)整。

這里跟大家分享一個(gè)汽車制造企業(yè)的案例。他們?cè)趯?shí)施個(gè)人信息保護(hù)的過程中的路徑圖大致如圖所示。他們實(shí)施這項(xiàng)工作的初因還不是由于《網(wǎng)絡(luò)安全法》的出臺(tái)，而是由于另外一個(gè)法規(guī)——《新廣告法》，它里邊也對(duì)個(gè)人信息保護(hù)提出了要求，對(duì)企業(yè)所收集的個(gè)人信息在廣告利用當(dāng)中做出一些明確的限制。所以很多企業(yè)家為了遵循相關(guān)的法律，已經(jīng)開始做了這部分的工作，其建設(shè)思路和網(wǎng)絡(luò)安全法的要求基本是一致的

??

網(wǎng)絡(luò)安全法中最后的一個(gè)要點(diǎn)是網(wǎng)絡(luò)運(yùn)營(yíng)者和監(jiān)管的互動(dòng)。這個(gè)在之前的其它的法律當(dāng)中是沒有明確提出的，而網(wǎng)絡(luò)安全法當(dāng)中很多條款都提出了需要和有關(guān)主管部門進(jìn)行溝通的要求。我們對(duì)《網(wǎng)絡(luò)安全法》的法條進(jìn)行了一些梳理和總結(jié)，如圖所示，看到在整個(gè)網(wǎng)絡(luò)安全法當(dāng)中需要和我們的監(jiān)管組織進(jìn)行互動(dòng)的大概有十一處，其中有五處是針對(duì)我們的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者的，其它的是普適性的。包括我們?cè)诎l(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞或者說相關(guān)的問題的時(shí)候，網(wǎng)絡(luò)的運(yùn)營(yíng)者的告知義務(wù);也包括和相關(guān)的部門進(jìn)行協(xié)同、協(xié)助配合的一個(gè)義務(wù)，這些相關(guān)的事項(xiàng)在以前的法律中是不明確的。

??

今后和監(jiān)管之間進(jìn)行打交道的可能不僅僅是我們企業(yè)的合規(guī)部門、財(cái)務(wù)部門等，我們的IT部門、網(wǎng)絡(luò)安全部門可能也會(huì)成為和監(jiān)管頻繁打交道的部門。

在這張圖當(dāng)中，幫大家大概梳理了一下在我們的今后日常工作當(dāng)中可能打交道的一些國(guó)家的監(jiān)管部門或網(wǎng)絡(luò)安全組織，包括多次提到的網(wǎng)絡(luò)安全主管部門網(wǎng)信辦，以及可能會(huì)協(xié)同處理各類安全事件的網(wǎng)絡(luò)信息安全通報(bào)中心，應(yīng)急事務(wù)管理中心以及國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心等等，這些都是作為國(guó)家層面來幫助全社會(huì)來應(yīng)對(duì)網(wǎng)絡(luò)安全的機(jī)構(gòu)。

不同的行業(yè)里面的企業(yè)可能還會(huì)和自己的行業(yè)監(jiān)管部門來進(jìn)行打交道，比如說電信互聯(lián)網(wǎng)公司可能會(huì)和公信部來打交道，國(guó)有企業(yè)會(huì)和國(guó)資委打交道，金融機(jī)構(gòu)會(huì)和央行一行三會(huì)等等的打交道，包括今后的工商、稅務(wù)、公安等等，都會(huì)和我們有一個(gè)持續(xù)的動(dòng)。所以今后我們的整個(gè)企業(yè)，我們的IT部門，我們的信息安全部門與監(jiān)管的互動(dòng)會(huì)形成一個(gè)常態(tài)化。這個(gè)過程當(dāng)中很多網(wǎng)絡(luò)安全的事件，就不僅僅是我們企業(yè)閉門自己的事情了，而是成為一個(gè)依法承擔(dān)的一個(gè)義務(wù)，即我有義務(wù)自己發(fā)生安全事件之后需要依法向相關(guān)部門進(jìn)行網(wǎng)絡(luò)安全的事件匯報(bào)。同時(shí)我們企業(yè)還要依法進(jìn)行自我合規(guī)檢查，確保自己是做到了網(wǎng)絡(luò)安全法中的要求。

這里邊跟大家分享一個(gè)觀點(diǎn)，就是之前有一些企業(yè)曾經(jīng)提出過，我企業(yè)可能并不對(duì)外提供一些公眾的服務(wù)，為什么我要去遵守一個(gè)面向公眾的法律。有網(wǎng)信辦的領(lǐng)導(dǎo)給企業(yè)做過這樣一個(gè)解釋，雖然說你自己本身所承擔(dān)的服務(wù)并不會(huì)對(duì)公眾會(huì)產(chǎn)生很大的一個(gè)影響，但是如果你沒有做好自己的安全防范工作，你有可能成為別人攻擊的一個(gè)對(duì)象，會(huì)成為別人利用的一個(gè)漏洞，會(huì)利用你的漏洞對(duì)其它正常運(yùn)行的網(wǎng)絡(luò)服務(wù)提供者或者公民產(chǎn)生危害。所以每個(gè)人在我們現(xiàn)在整個(gè)的社會(huì)的網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境當(dāng)中，都是參與的一份子，沒有人能夠獨(dú)善其身。

大家都有做好自己安全防護(hù)，合法合規(guī)的義務(wù)，而不是說我可以不管，因?yàn)槟悴粌H僅危害到自己，還可能危害到別人。企業(yè)應(yīng)當(dāng)積極參與到自己所處行業(yè)制定相關(guān)的行業(yè)標(biāo)準(zhǔn)的過程當(dāng)中，提出自己的意見，確保自己能夠在其一旦成為規(guī)章之后就能夠正常合規(guī)。

剛才跟大家分享的是我們經(jīng)過分析所認(rèn)為網(wǎng)絡(luò)安全法當(dāng)中三個(gè)比較突出的亮點(diǎn)以及大家的關(guān)注重點(diǎn)、網(wǎng)絡(luò)運(yùn)行安全、個(gè)人信息保護(hù)以及今后可能會(huì)變成常態(tài)化與監(jiān)管之間的一個(gè)互動(dòng)。正如我開頭所講的，這次網(wǎng)絡(luò)安全法立法的時(shí)間還是比較短的，所以還有非常多的有待進(jìn)一步明確和制定進(jìn)一步的行業(yè)標(biāo)準(zhǔn)或者實(shí)施細(xì)則的地方。

還有有幾個(gè)可能也是大家比較關(guān)心的一個(gè)點(diǎn)，其中一個(gè)是關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)。等級(jí)保護(hù)這個(gè)名詞是一個(gè)大家耳熟能詳?shù)拿?，因?yàn)槲覀兊墓膊块T推動(dòng)信息系統(tǒng)安全等級(jí)保護(hù)已經(jīng)好多年了，并且也是卓有成效的?！毒W(wǎng)絡(luò)安全法》當(dāng)中提出了網(wǎng)絡(luò)安全等級(jí)保護(hù)的概念，那么應(yīng)該注意到這個(gè)等級(jí)保護(hù)和我們之前的信息系統(tǒng)安全等級(jí)保護(hù)的提法并不完全一致。網(wǎng)絡(luò)安全等級(jí)保護(hù)是否等同于我們以前的信息系統(tǒng)安全等級(jí)保護(hù)，目前來說并沒有一個(gè)權(quán)威的說法，這部分要求還待進(jìn)一步的細(xì)則和落地。

??

??

同樣道理各個(gè)行業(yè)的監(jiān)管機(jī)構(gòu)，比如說一行三會(huì)，工信部等等，他們也會(huì)基于網(wǎng)絡(luò)安全法的要求，進(jìn)一步制定符合各自行業(yè)特征的網(wǎng)絡(luò)安全的要求，包括數(shù)據(jù)跨境傳輸?shù)囊?，安全評(píng)估的要求以及適用于自己行業(yè)的管理和技術(shù)要求細(xì)則等等。據(jù)我們所知，現(xiàn)在很多行業(yè)監(jiān)管組織正在緊鑼密鼓地做相關(guān)的調(diào)研工作，相信在6月1號(hào)《網(wǎng)絡(luò)安全法》正式生效之前，絕大多數(shù)監(jiān)管機(jī)構(gòu)都會(huì)出臺(tái)配套的監(jiān)管要求，也會(huì)推出一系列技術(shù)標(biāo)準(zhǔn)。包括我們現(xiàn)在正在征求意見的個(gè)人信息的保護(hù)指南等等，都是和它配套的。之后我們的《網(wǎng)絡(luò)安全法》會(huì)得到越來越容易操作和執(zhí)行。

??

最后，我們來看對(duì)于我們一個(gè)企業(yè)來說正在處于這樣一個(gè)《網(wǎng)絡(luò)安全法》的發(fā)布，但是還沒有正式實(shí)施的階段我們?cè)撟鍪裁茨?這個(gè)法律的實(shí)施不能等待，所以我們必須首先要自己做好合規(guī)的準(zhǔn)備，要根據(jù)網(wǎng)絡(luò)安全法的要求進(jìn)行自我檢查，發(fā)現(xiàn)明顯的差異并及時(shí)采取糾正措施或行動(dòng)計(jì)劃，力爭(zhēng)在我們的《網(wǎng)絡(luò)安全法》正式生效之前能夠完成必要的調(diào)整和相關(guān)的整改。當(dāng)然，《網(wǎng)絡(luò)安全法》是一個(gè)持續(xù)的過程，在對(duì)于明顯的問題進(jìn)行整改的同時(shí)，更加需要建立一個(gè)全面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系，對(duì)我們企業(yè)所能面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行一個(gè)持續(xù)的監(jiān)控，并進(jìn)行持續(xù)的改進(jìn)，確保我們持續(xù)的合規(guī)。那么在設(shè)計(jì)我們體系化的安全防護(hù)體系的時(shí)候，通常來說我們有很多國(guó)際的最佳時(shí)限、國(guó)際的標(biāo)準(zhǔn)、行業(yè)的經(jīng)驗(yàn)，可以供大家進(jìn)行參考，選適合于自己的安全管理框架來進(jìn)行系統(tǒng)性的、高效的設(shè)計(jì)自己的網(wǎng)絡(luò)安全管理體系。

??

下面是一個(gè)我們的網(wǎng)絡(luò)安全管理框架的一個(gè)示意圖，可以從整個(gè)的安全治理來通過我們的安全策略、安全的組織方針、運(yùn)營(yíng)模式、意識(shí)以及相關(guān)的績(jī)效，安全績(jī)效的衡量方法以及相互的安全基礎(chǔ)設(shè)施、安全操作、合規(guī)，以及對(duì)我們新技術(shù)采用過程當(dāng)中所可能面臨新的風(fēng)險(xiǎn)等等來進(jìn)行一個(gè)全面的應(yīng)對(duì)的框架體系。進(jìn)一步落地該框架體系的參考的國(guó)際標(biāo)準(zhǔn)，國(guó)內(nèi)標(biāo)準(zhǔn)也很多，包括ISO27001相關(guān)的體系，美國(guó)的NIST，以及我們國(guó)內(nèi)所頒布的的各個(gè)行業(yè)的一些安全指引和要求都可以作為落地的一個(gè)框架。

最后我們簡(jiǎn)單總結(jié)下今天所講的對(duì)網(wǎng)絡(luò)安全法的一些初步的一些解讀和認(rèn)識(shí)。網(wǎng)絡(luò)安全法是把我們這樣一個(gè)比較高深的技術(shù)問題通過立法的手段展現(xiàn)到了我們公眾層面。立法當(dāng)中有多項(xiàng)突破，首先是明確了關(guān)鍵信息基礎(chǔ)設(shè)施，運(yùn)營(yíng)者這樣一個(gè)概念，并且對(duì)他提出了相關(guān)的管理要求，同時(shí)對(duì)于個(gè)人信息保護(hù)也是首次全面地闡述了保護(hù)要求，并且比較充分的對(duì)照到了整個(gè)國(guó)際上通行的隱私保護(hù)框架的方方面面。企業(yè)今后的合規(guī)要求以及和國(guó)家和相關(guān)行業(yè)的監(jiān)管機(jī)構(gòu)之間的互動(dòng)要求，也提出了明確的的一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)者所應(yīng)該承擔(dān)的一個(gè)職責(zé)。

從今年年6月1號(hào)開始，隨著網(wǎng)絡(luò)安全法的正式的實(shí)施，不僅會(huì)對(duì)我們企業(yè)的安全部門，也會(huì)對(duì)我們企業(yè)的整個(gè)IT，乃至我們企業(yè)的整個(gè)的管理體系和治理要求都提出新的挑戰(zhàn)，希望大家能夠在這個(gè)過程當(dāng)中預(yù)先做好充分的準(zhǔn)備，可以比較從容地應(yīng)對(duì)《網(wǎng)絡(luò)安全法》可能給我們帶來的新挑戰(zhàn)。

??戳這里，看該作者更多好文??