管道企業(yè)網(wǎng)絡(luò )安全管理合規性探討
來(lái)源:《管道保護》2022年第5期 作者:曹興 時(shí)間:2022-10-8 閱讀:
曹興
北京管道公司技術(shù)研究中心
在網(wǎng)絡(luò )安全背景下,合規就如同遵守交通規則,不遵守規則,組織或者個(gè)人就會(huì )付出代價(jià)。因此,企業(yè)網(wǎng)絡(luò )安全合規是企業(yè)的“安全帶”“護城河”,要樹(shù)立紅線(xiàn)思維和合規意識,遵守相關(guān)法律法規、規章制度及道德規范。
1 網(wǎng)絡(luò )安全背景下管理合規的重要性
網(wǎng)絡(luò )安全法與數據安全法出臺后,對指導管道企業(yè)遵從我國網(wǎng)絡(luò )空間法律行為,保護國家秘密與數據安全,守住網(wǎng)絡(luò )安全與數據安全的最后防線(xiàn)指明了方向。
網(wǎng)絡(luò )安全法作為具有強制性的基本法,具有以下特點(diǎn):①堅持網(wǎng)絡(luò )安全和信息化發(fā)展并重原則;②提出網(wǎng)絡(luò )空間主權;③強調開(kāi)展國際合作;④建立統籌協(xié)調、分工負責的管理體制;⑤重點(diǎn)保護關(guān)鍵信息基礎設施;⑥網(wǎng)絡(luò )突發(fā)事件采取“網(wǎng)絡(luò )通信管制”;⑦充分發(fā)揮行業(yè)組織自律作用;⑧加大網(wǎng)絡(luò )安全資金投入。
網(wǎng)絡(luò )安全建設需要投入人力、物力、財力,而在監管方面,管道企業(yè)因為承載的社會(huì )功能和社會(huì )責任比較大,監管力度也大,因此,無(wú)論是在對網(wǎng)絡(luò )安全的重視程度上,還是在人財物的投入以及在配合監管方面都值得肯定。
管道企業(yè)員工在日常工作中,會(huì )涉及公司敏感信息的傳遞,如果其中包含違規操作很可能會(huì )引發(fā)關(guān)聯(lián)漏洞,當其積累到一定程度,勢必會(huì )給公司網(wǎng)絡(luò )安全造成威脅。因此工作網(wǎng)絡(luò )環(huán)境中的各類(lèi)行為必須得到約束,這樣才能建立一個(gè)更和諧健康的工作網(wǎng)絡(luò )環(huán)境。而網(wǎng)絡(luò )管理“合規”正是要遵守國家法律法規和公司內部運營(yíng)規章制度,當員工行為觸碰其底線(xiàn)時(shí),就應該對其進(jìn)行追責處理。網(wǎng)絡(luò )安全法的內容與管道企業(yè)內部網(wǎng)絡(luò )安全管理制度和社會(huì )網(wǎng)絡(luò )安全道德規范又存在著(zhù)緊密聯(lián)系,重點(diǎn)從以下三個(gè)方面進(jìn)行分析。
首先,提升了網(wǎng)絡(luò )安全等級保護制度的法律地位[1]。將等級保護工作根據重要程度,從低到高分為一至五級。定級一般采取自愿原則,關(guān)鍵信息基礎設施的等級保護是強制性義務(wù)。等級保護工作內容包括:①系統定級;②安全域劃分;③等級安全指標設計;④等級安全體系規劃;⑤安全等級評測等[2]。信息系統等級保護標準沿用至今,具有一定的科學(xué)性和可操作性,為網(wǎng)絡(luò )安全等級保護制度奠定了基礎,提升了網(wǎng)絡(luò )安全等級保護制度的法律地位[3],兩者順利銜接,相互融合。但網(wǎng)絡(luò )安全法規定的等級保護制度總原則,可操作性和執行性不強,需進(jìn)一步出臺相關(guān)配套細則加以明確,指導等級保護測評工作的開(kāi)展,明確重要信息系統及網(wǎng)絡(luò )安全風(fēng)險的檢查和應急處置工作,強化企業(yè)網(wǎng)絡(luò )安全防御體系建設,提升網(wǎng)絡(luò )安全管理水平[4]。
其次,對關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護?v觀(guān)國際社會(huì )發(fā)生的重大網(wǎng)絡(luò )安全事件,能源信息基礎設施已成為網(wǎng)絡(luò )攻擊的目標,關(guān)鍵基礎設施仍然是信息安全保障的最核心內容。例如“永恒之藍”病毒針對加油站的攻擊[5]。我國將關(guān)鍵信息基礎設施安全保護上升至法律層面,立法很迫切、出臺很及時(shí),說(shuō)明國家對重要行業(yè)和領(lǐng)域網(wǎng)絡(luò )安全的高度重視,尤其是能源行業(yè)的管道企業(yè),應對油氣設施及坐標數據進(jìn)行重點(diǎn)安全保護,不僅需要提高油氣信息基礎設施自身安全,更應當開(kāi)展一系列制度規范體系建設,建立完善的規章制度,搭建可落地的制度框架[6]。
最后,網(wǎng)絡(luò )安全的核心是信息,數據保護是重點(diǎn)。信息可理解為業(yè)務(wù)數據,業(yè)務(wù)數據來(lái)自業(yè)務(wù)的開(kāi)展過(guò)程,因此在業(yè)務(wù)開(kāi)展過(guò)程中去發(fā)現信息的安全保護問(wèn)題,進(jìn)而使用信息化手段解決此問(wèn)題,助力業(yè)務(wù)發(fā)展。數據的安全保護,又分為兩方面內容:一是要求各企業(yè)切實(shí)承擔起數據安全的職責,即數據的保密性、數據的完整性、數據的可控性及數據的不可否認性[7]。二是保障個(gè)人對其個(gè)人信息的安全可控,落實(shí)網(wǎng)絡(luò )安全合規義務(wù),其實(shí)就是在保護我們每個(gè)人的安全。
2 網(wǎng)絡(luò )安全合規管理存在的問(wèn)題
網(wǎng)絡(luò )安全合規是指為了實(shí)現依法、依規經(jīng)營(yíng),防控網(wǎng)絡(luò )安全風(fēng)險,所建立的一種網(wǎng)絡(luò )治理機制。企業(yè)網(wǎng)絡(luò )安全合規,是實(shí)現網(wǎng)絡(luò )安全,從而保障國家安全的基礎。
首先,表現在網(wǎng)絡(luò )安全合規意識淡薄,重視程度不夠。由于企業(yè)規模、性質(zhì)、所處行業(yè)區域等因素的不同,當前企業(yè)網(wǎng)絡(luò )安全合規落實(shí)情況總體來(lái)說(shuō)參差不齊。主要原因有依法合規意識薄弱、合規管理機制不成體系、合規管理機構不健全、合規人才體系沒(méi)有形成、合規監管處罰力度不強等。
其次,表現在可能違反國家法律法規規定,受到行政處罰。依據現行有效的相關(guān)法律規定要求,在網(wǎng)絡(luò )安全保障方面有六項法定合規義務(wù)需要遵守和落實(shí)。包括實(shí)施網(wǎng)絡(luò )安全等級保護的義務(wù)、關(guān)鍵信息基礎設施保護義務(wù)、數據安全保護義務(wù)、個(gè)人信息保護義務(wù)、違法有害信息的治理和禁止從事危害網(wǎng)絡(luò )安全的義務(wù)等。若違反國家法律法規和企業(yè)內部管理制度,不嚴格執行網(wǎng)絡(luò )安全管理制度,未履行安全保護義務(wù),會(huì )面臨重大網(wǎng)絡(luò )安全法律風(fēng)險,嚴重違法還有可能觸犯刑法,甚至還會(huì )被記錄到企業(yè)信用檔案。
再次,表現在缺乏有效的網(wǎng)絡(luò )安全人才培養和工作機制。信息技術(shù)日新月異,尤其是網(wǎng)絡(luò )安全技術(shù)更新較快,未制定長(cháng)遠的網(wǎng)絡(luò )安全人才培養規劃,業(yè)務(wù)培訓水平參差不齊,且防范知識更新較慢,新的網(wǎng)絡(luò )安全管理知識領(lǐng)會(huì )不深,不僅無(wú)法盡快培養一批水平較高的網(wǎng)絡(luò )安全人員,甚至還會(huì )造成網(wǎng)絡(luò )安全人才嚴重流失。
最后,表現在內部的合規管理機制還不成熟,網(wǎng)絡(luò )安全防范措施不夠周密。除了基本的網(wǎng)絡(luò )、設備和存儲備份等基礎管理以外,應做到數據訪(fǎng)問(wèn)與存放分離,敏感數據加密,訪(fǎng)問(wèn)授權盡量細分和限時(shí)等,但是具體落實(shí)過(guò)程中工作不細致,忽視某些環(huán)節會(huì )使黑客及網(wǎng)絡(luò )攻擊者有機可乘。安全信息要可視化,能夠掌握安全風(fēng)險來(lái)自何處,有針對性的加以防范。安全防范的措施要有彈性,不能一點(diǎn)被攻破,就全盤(pán)崩潰。
3 如何提升網(wǎng)絡(luò )安全管理合規性
針對在網(wǎng)絡(luò )安全管理合規工作中存在的問(wèn)題,提升網(wǎng)絡(luò )安全管理合規水平,從以下幾個(gè)方面開(kāi)展工作:
首先,最重要的是單位領(lǐng)導和各部門(mén)對網(wǎng)絡(luò )安全管理合規工作的深刻認識和高度重視。這是網(wǎng)絡(luò )安全管理合規工作以及信息安全保障工作的核心。只有思想認識提高了,重視程度加強了,才能把住核心關(guān)口,把住企業(yè)網(wǎng)絡(luò )安全的第一道防線(xiàn)。
其次,加大網(wǎng)絡(luò )安全合規義務(wù)落實(shí)的宣傳,尤其是要深刻認識網(wǎng)絡(luò )安全的重要性,了解風(fēng)險點(diǎn)。重視網(wǎng)絡(luò )安全,以切實(shí)履行網(wǎng)絡(luò )安全合規義務(wù),履行應盡的社會(huì )責任,遵從網(wǎng)絡(luò )安全法與數據安全法相關(guān)規定,盡到安全保護義務(wù)。對于沒(méi)有落實(shí)網(wǎng)絡(luò )安全合規義務(wù)的企業(yè)不采用其產(chǎn)品或服務(wù),對于因網(wǎng)絡(luò )安全問(wèn)題而受到行政處罰或刑事處罰的,應列入采購黑名單。
再次,加快網(wǎng)絡(luò )安全人才培養,提高網(wǎng)絡(luò )安全管理人員業(yè)務(wù)水平。執行網(wǎng)絡(luò )安全管理相關(guān)崗位分離制度,定期開(kāi)展網(wǎng)絡(luò )安全管理業(yè)務(wù)培訓,提高網(wǎng)絡(luò )安全崗位人員職業(yè)素質(zhì)及法律合規教育。嚴格執行國家網(wǎng)絡(luò )安全管理相關(guān)規定,建立網(wǎng)絡(luò )安全加密、數字簽名、鑒別、鑒別交換、身份認證等工作機制及網(wǎng)絡(luò )安全內部管理制度。
最后,定期或不定期開(kāi)展網(wǎng)絡(luò )安全風(fēng)險評估工作。依據網(wǎng)絡(luò )安全事件發(fā)生的頻率、嚴重性和危害性,劃分網(wǎng)絡(luò )安全風(fēng)險級別,采取不同應對策略和管理制度,完善網(wǎng)絡(luò )安全風(fēng)險評估工作流程和違章工作人員責任追究制度,提升網(wǎng)絡(luò )安全管理工作質(zhì)量[8]。
參考文獻:
[1]馬欣,王勝開(kāi).對建立網(wǎng)絡(luò )安全審查制度的分析[J].互聯(lián)網(wǎng)天地,2014(06) :45-46.
[2]嚴承華,陳璐,趙俊閣,李支成、張俊、李陽(yáng).信息安全工程[M].北京:清華大學(xué)出版社, 2017.
[3]趙林.信息安全等級保護工作取得新進(jìn)展 [J].信息網(wǎng)絡(luò )安全,2007(06):11-12 .
[4]王偉,戴國強.黨政機關(guān)網(wǎng)站安全管理規范化建設探究[J].信息化建設,2011(08):43-45.
[5]劉洪梅,張舒.2016年國內外信息安全態(tài)勢[J].中國信息安全,2017(01):60-64 .
[6]尹麗波.網(wǎng)絡(luò )安全法將促進(jìn)國家關(guān)鍵信息基礎設施保護新局面[J].中國信息安全, 2015(08):110-112 .
[7]信息安全保障[Z].北京:中國信息安全測評中心,2013.
[8]陳凱航.牢固建立“三道防線(xiàn)”加強計算機網(wǎng)絡(luò )安全管理[J].審計與理財,2017(10):16-17.
作者簡(jiǎn)介:曹興,1981年生,高級工程師,2018年碩士畢業(yè)于對外經(jīng)濟貿易大學(xué)法學(xué)院民商法專(zhuān)業(yè),現主要從事信息化專(zhuān)業(yè)方向及網(wǎng)絡(luò )安全法等研究工作。聯(lián)系方式:13261954446,caoxing@pipechina.com.cn。
上篇:
下篇: