曹興

北京管道公司技術(shù)研究中心

在網(wǎng)絡(luò)安全背景下，合規(guī)就如同遵守交通規(guī)則，不遵守規(guī)則，組織或者個(gè)人就會付出代價(jià)。因此，企業(yè)網(wǎng)絡(luò)安全合規(guī)是企業(yè)的“安全帶”“護(hù)城河”，要樹立紅線思維和合規(guī)意識，遵守相關(guān)法律法規(guī)、規(guī)章制度及道德規(guī)范。

1  網(wǎng)絡(luò)安全背景下管理合規(guī)的重要性

網(wǎng)絡(luò)安全法與數(shù)據(jù)安全法出臺后，對指導(dǎo)管道企業(yè)遵從我國網(wǎng)絡(luò)空間法律行為，保護(hù)國家秘密與數(shù)據(jù)安全，守住網(wǎng)絡(luò)安全與數(shù)據(jù)安全的最后防線指明了方向。

網(wǎng)絡(luò)安全法作為具有強(qiáng)制性的基本法，具有以下特點(diǎn)：①堅(jiān)持網(wǎng)絡(luò)安全和信息化發(fā)展并重原則；②提出網(wǎng)絡(luò)空間主權(quán)；③強(qiáng)調(diào)開展國際合作；④建立統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的管理體制；⑤重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施；⑥網(wǎng)絡(luò)突發(fā)事件采取“網(wǎng)絡(luò)通信管制”；⑦充分發(fā)揮行業(yè)組織自律作用；⑧加大網(wǎng)絡(luò)安全資金投入。

網(wǎng)絡(luò)安全建設(shè)需要投入人力、物力、財(cái)力，而在監(jiān)管方面，管道企業(yè)因?yàn)槌休d的社會功能和社會責(zé)任比較大，監(jiān)管力度也大，因此，無論是在對網(wǎng)絡(luò)安全的重視程度上，還是在人財(cái)物的投入以及在配合監(jiān)管方面都值得肯定。

管道企業(yè)員工在日常工作中，會涉及公司敏感信息的傳遞，如果其中包含違規(guī)操作很可能會引發(fā)關(guān)聯(lián)漏洞，當(dāng)其積累到一定程度，勢必會給公司網(wǎng)絡(luò)安全造成威脅。因此工作網(wǎng)絡(luò)環(huán)境中的各類行為必須得到約束，這樣才能建立一個(gè)更和諧健康的工作網(wǎng)絡(luò)環(huán)境。而網(wǎng)絡(luò)管理“合規(guī)”正是要遵守國家法律法規(guī)和公司內(nèi)部運(yùn)營規(guī)章制度，當(dāng)員工行為觸碰其底線時(shí)，就應(yīng)該對其進(jìn)行追責(zé)處理。網(wǎng)絡(luò)安全法的內(nèi)容與管道企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理制度和社會網(wǎng)絡(luò)安全道德規(guī)范又存在著緊密聯(lián)系，重點(diǎn)從以下三個(gè)方面進(jìn)行分析。

首先，提升了網(wǎng)絡(luò)安全等級保護(hù)制度的法律地位[1]。將等級保護(hù)工作根據(jù)重要程度，從低到高分為一至五級。定級一般采取自愿原則，關(guān)鍵信息基礎(chǔ)設(shè)施的等級保護(hù)是強(qiáng)制性義務(wù)。等級保護(hù)工作內(nèi)容包括：①系統(tǒng)定級；②安全域劃分；③等級安全指標(biāo)設(shè)計(jì)；④等級安全體系規(guī)劃；⑤安全等級評測等[2]。信息系統(tǒng)等級保護(hù)標(biāo)準(zhǔn)沿用至今，具有一定的科學(xué)性和可操作性，為網(wǎng)絡(luò)安全等級保護(hù)制度奠定了基礎(chǔ)，提升了網(wǎng)絡(luò)安全等級保護(hù)制度的法律地位[3]，兩者順利銜接，相互融合。但網(wǎng)絡(luò)安全法規(guī)定的等級保護(hù)制度總原則，可操作性和執(zhí)行性不強(qiáng)，需進(jìn)一步出臺相關(guān)配套細(xì)則加以明確，指導(dǎo)等級保護(hù)測評工作的開展，明確重要信息系統(tǒng)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的檢查和應(yīng)急處置工作，強(qiáng)化企業(yè)網(wǎng)絡(luò)安全防御體系建設(shè)，提升網(wǎng)絡(luò)安全管理水平[4]。

其次，對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。縱觀國際社會發(fā)生的重大網(wǎng)絡(luò)安全事件，能源信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的目標(biāo)，關(guān)鍵基礎(chǔ)設(shè)施仍然是信息安全保障的最核心內(nèi)容。例如“永恒之藍(lán)”病毒針對加油站的攻擊[5]。我國將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)上升至法律層面，立法很迫切、出臺很及時(shí)，說明國家對重要行業(yè)和領(lǐng)域網(wǎng)絡(luò)安全的高度重視，尤其是能源行業(yè)的管道企業(yè)，應(yīng)對油氣設(shè)施及坐標(biāo)數(shù)據(jù)進(jìn)行重點(diǎn)安全保護(hù)，不僅需要提高油氣信息基礎(chǔ)設(shè)施自身安全，更應(yīng)當(dāng)開展一系列制度規(guī)范體系建設(shè)，建立完善的規(guī)章制度，搭建可落地的制度框架[6]。

最后，網(wǎng)絡(luò)安全的核心是信息，數(shù)據(jù)保護(hù)是重點(diǎn)。信息可理解為業(yè)務(wù)數(shù)據(jù)，業(yè)務(wù)數(shù)據(jù)來自業(yè)務(wù)的開展過程，因此在業(yè)務(wù)開展過程中去發(fā)現(xiàn)信息的安全保護(hù)問題，進(jìn)而使用信息化手段解決此問題，助力業(yè)務(wù)發(fā)展。數(shù)據(jù)的安全保護(hù)，又分為兩方面內(nèi)容：一是要求各企業(yè)切實(shí)承擔(dān)起數(shù)據(jù)安全的職責(zé)，即數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可控性及數(shù)據(jù)的不可否認(rèn)性[7]。二是保障個(gè)人對其個(gè)人信息的安全可控，落實(shí)網(wǎng)絡(luò)安全合規(guī)義務(wù)，其實(shí)就是在保護(hù)我們每個(gè)人的安全。

2  網(wǎng)絡(luò)安全合規(guī)管理存在的問題

網(wǎng)絡(luò)安全合規(guī)是指為了實(shí)現(xiàn)依法、依規(guī)經(jīng)營，防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，所建立的一種網(wǎng)絡(luò)治理機(jī)制。企業(yè)網(wǎng)絡(luò)安全合規(guī)，是實(shí)現(xiàn)網(wǎng)絡(luò)安全，從而保障國家安全的基礎(chǔ)。

首先，表現(xiàn)在網(wǎng)絡(luò)安全合規(guī)意識淡薄，重視程度不夠。由于企業(yè)規(guī)模、性質(zhì)、所處行業(yè)區(qū)域等因素的不同，當(dāng)前企業(yè)網(wǎng)絡(luò)安全合規(guī)落實(shí)情況總體來說參差不齊。主要原因有依法合規(guī)意識薄弱、合規(guī)管理機(jī)制不成體系、合規(guī)管理機(jī)構(gòu)不健全、合規(guī)人才體系沒有形成、合規(guī)監(jiān)管處罰力度不強(qiáng)等。

其次，表現(xiàn)在可能違反國家法律法規(guī)規(guī)定，受到行政處罰。依據(jù)現(xiàn)行有效的相關(guān)法律規(guī)定要求，在網(wǎng)絡(luò)安全保障方面有六項(xiàng)法定合規(guī)義務(wù)需要遵守和落實(shí)。包括實(shí)施網(wǎng)絡(luò)安全等級保護(hù)的義務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)義務(wù)、數(shù)據(jù)安全保護(hù)義務(wù)、個(gè)人信息保護(hù)義務(wù)、違法有害信息的治理和禁止從事危害網(wǎng)絡(luò)安全的義務(wù)等。若違反國家法律法規(guī)和企業(yè)內(nèi)部管理制度，不嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全管理制度，未履行安全保護(hù)義務(wù)，會面臨重大網(wǎng)絡(luò)安全法律風(fēng)險(xiǎn)，嚴(yán)重違法還有可能觸犯刑法，甚至還會被記錄到企業(yè)信用檔案。

再次，表現(xiàn)在缺乏有效的網(wǎng)絡(luò)安全人才培養(yǎng)和工作機(jī)制。信息技術(shù)日新月異，尤其是網(wǎng)絡(luò)安全技術(shù)更新較快，未制定長遠(yuǎn)的網(wǎng)絡(luò)安全人才培養(yǎng)規(guī)劃，業(yè)務(wù)培訓(xùn)水平參差不齊，且防范知識更新較慢，新的網(wǎng)絡(luò)安全管理知識領(lǐng)會不深，不僅無法盡快培養(yǎng)一批水平較高的網(wǎng)絡(luò)安全人員，甚至還會造成網(wǎng)絡(luò)安全人才嚴(yán)重流失。

最后，表現(xiàn)在內(nèi)部的合規(guī)管理機(jī)制還不成熟，網(wǎng)絡(luò)安全防范措施不夠周密。除了基本的網(wǎng)絡(luò)、設(shè)備和存儲備份等基礎(chǔ)管理以外，應(yīng)做到數(shù)據(jù)訪問與存放分離，敏感數(shù)據(jù)加密，訪問授權(quán)盡量細(xì)分和限時(shí)等，但是具體落實(shí)過程中工作不細(xì)致，忽視某些環(huán)節(jié)會使黑客及網(wǎng)絡(luò)攻擊者有機(jī)可乘。安全信息要可視化，能夠掌握安全風(fēng)險(xiǎn)來自何處，有針對性的加以防范。安全防范的措施要有彈性，不能一點(diǎn)被攻破，就全盤崩潰。

3  如何提升網(wǎng)絡(luò)安全管理合規(guī)性

針對在網(wǎng)絡(luò)安全管理合規(guī)工作中存在的問題，提升網(wǎng)絡(luò)安全管理合規(guī)水平，從以下幾個(gè)方面開展工作：

首先，最重要的是單位領(lǐng)導(dǎo)和各部門對網(wǎng)絡(luò)安全管理合規(guī)工作的深刻認(rèn)識和高度重視。這是網(wǎng)絡(luò)安全管理合規(guī)工作以及信息安全保障工作的核心。只有思想認(rèn)識提高了，重視程度加強(qiáng)了，才能把住核心關(guān)口，把住企業(yè)網(wǎng)絡(luò)安全的第一道防線。

其次，加大網(wǎng)絡(luò)安全合規(guī)義務(wù)落實(shí)的宣傳，尤其是要深刻認(rèn)識網(wǎng)絡(luò)安全的重要性，了解風(fēng)險(xiǎn)點(diǎn)。重視網(wǎng)絡(luò)安全，以切實(shí)履行網(wǎng)絡(luò)安全合規(guī)義務(wù)，履行應(yīng)盡的社會責(zé)任，遵從網(wǎng)絡(luò)安全法與數(shù)據(jù)安全法相關(guān)規(guī)定，盡到安全保護(hù)義務(wù)。對于沒有落實(shí)網(wǎng)絡(luò)安全合規(guī)義務(wù)的企業(yè)不采用其產(chǎn)品或服務(wù)，對于因網(wǎng)絡(luò)安全問題而受到行政處罰或刑事處罰的，應(yīng)列入采購黑名單。

再次，加快網(wǎng)絡(luò)安全人才培養(yǎng)，提高網(wǎng)絡(luò)安全管理人員業(yè)務(wù)水平。執(zhí)行網(wǎng)絡(luò)安全管理相關(guān)崗位分離制度，定期開展網(wǎng)絡(luò)安全管理業(yè)務(wù)培訓(xùn)，提高網(wǎng)絡(luò)安全崗位人員職業(yè)素質(zhì)及法律合規(guī)教育。嚴(yán)格執(zhí)行國家網(wǎng)絡(luò)安全管理相關(guān)規(guī)定，建立網(wǎng)絡(luò)安全加密、數(shù)字簽名、鑒別、鑒別交換、身份認(rèn)證等工作機(jī)制及網(wǎng)絡(luò)安全內(nèi)部管理制度。

最后，定期或不定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作。依據(jù)網(wǎng)絡(luò)安全事件發(fā)生的頻率、嚴(yán)重性和危害性，劃分網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級別，采取不同應(yīng)對策略和管理制度，完善網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作流程和違章工作人員責(zé)任追究制度，提升網(wǎng)絡(luò)安全管理工作質(zhì)量[8]。

參考文獻(xiàn)：

[1]馬欣，王勝開.對建立網(wǎng)絡(luò)安全審查制度的分析[J].互聯(lián)網(wǎng)天地，2014(06) ：45-46.

[2]嚴(yán)承華，陳璐，趙俊閣，李支成、張俊、李陽.信息安全工程[M].北京：清華大學(xué)出版社， 2017.

[3]趙林.信息安全等級保護(hù)工作取得新進(jìn)展 [J].信息網(wǎng)絡(luò)安全，2007(06)：11-12 .

[4]王偉，戴國強(qiáng).黨政機(jī)關(guān)網(wǎng)站安全管理規(guī)范化建設(shè)探究[J].信息化建設(shè)，2011(08)：43-45.

[5]劉洪梅，張舒.2016年國內(nèi)外信息安全態(tài)勢[J].中國信息安全，2017(01)：60-64 .

[6]尹麗波.網(wǎng)絡(luò)安全法將促進(jìn)國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)新局面[J].中國信息安全， 2015(08)：110-112 .

[7]信息安全保障[Z].北京：中國信息安全測評中心，2013.

[8]陳凱航.牢固建立“三道防線”加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理[J].審計(jì)與理財(cái)，2017(10):16-17. 

作者簡介：曹興，1981年生，高級工程師，2018年碩士畢業(yè)于對外經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院民商法專業(yè)，現(xiàn)主要從事信息化專業(yè)方向及網(wǎng)絡(luò)安全法等研究工作。聯(lián)系方式：13261954446，caoxing@pipechina.com.cn。