近日,為進一步保障網(wǎng)絡安全和數(shù)據(jù)安全,由國家網(wǎng)信辦、國家發(fā)展改革委、國家工信部等十三個部門聯(lián)和修訂的《網(wǎng)絡安全審查辦法》正式施行。《網(wǎng)絡安全審查辦法》以關(guān)鍵信息基礎(chǔ)設施的供應鏈為核心,重點加強對數(shù)據(jù)安全的關(guān)注和規(guī)范,聚焦網(wǎng)絡產(chǎn)品和服務以及數(shù)據(jù)處理活動,落實《數(shù)據(jù)安全法》等法律法規(guī)的要求。
part 1
《網(wǎng)絡安全審查辦法》 重點內(nèi)容解讀
總體而言,本次發(fā)布的《網(wǎng)絡安全審查辦法》將網(wǎng)絡安全審查的范圍拓展至網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動,審查考慮要素也基于審查范圍的擴大,增加了核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息。并對赴國外上市情形做出了明確規(guī)定,即要求掌握超過100萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市需經(jīng)過審查,使得監(jiān)管更加完善。
01
《網(wǎng)絡安全審查辦法》制定依據(jù)
《網(wǎng)絡安全審查辦法》根據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設施安全保護條例》制定。
02
審查主體和主管機構(gòu)
審查主體:包括國家網(wǎng)信辦、國家發(fā)展和改革委員會、國家工信部等在內(nèi)的十三個主管部門或者機構(gòu)共同建立國家網(wǎng)絡安全審查工作機制,并且由網(wǎng)絡安全審查辦公室具體負責制定網(wǎng)絡安全審查相關(guān)制度規(guī)范,組織網(wǎng)絡安全審查。
主管機構(gòu):值得注意的是,中國證券監(jiān)督管理委員會(“證監(jiān)會”)作為網(wǎng)絡安全審查的主管部門之一,將參與到制度運行和審查工作中來,并可能將對企業(yè)赴外上市活動中影響或者可能影響國家安全的因素進行重點審查。
03
《網(wǎng)絡安全審查辦法》適用對象
最終通過的《網(wǎng)絡安全審查辦法》將申報或者接受國家網(wǎng)絡安全審查的適用對象限定為“關(guān)鍵信息基礎(chǔ)設施運營者”和“網(wǎng)絡平臺運營者”。
04
《網(wǎng)絡安全審查辦法》遵循的原則
防范網(wǎng)絡安全風險與促進先進技術(shù)應用相結(jié)合;
過程公正透明與知識產(chǎn)權(quán)保護相結(jié)合;
事前審查與持續(xù)監(jiān)管相結(jié)合;
企業(yè)承諾與社會監(jiān)督相結(jié)合。
05
接受有關(guān)部門網(wǎng)絡安全審查的情形
從《網(wǎng)絡安全審查辦法》中可以很明確地發(fā)現(xiàn),觸發(fā)《網(wǎng)絡安全審查辦法》進行網(wǎng)絡安全審查的情形、條件并非僅限于關(guān)鍵信息基礎(chǔ)設施運營者采購網(wǎng)絡產(chǎn)品和服務,以及掌握超過一百萬用戶個人信息赴國外上市這兩種屬于需要企業(yè)“主動申報”的情形。
06
審查內(nèi)容與重點事項
相較于《修訂草案》,《網(wǎng)絡安全審查辦法》第十條對于關(guān)鍵信息基礎(chǔ)設施運營者網(wǎng)絡產(chǎn)品和服務采購的重點評估因素并無實質(zhì)修訂,但對于數(shù)據(jù)處理活動及企業(yè)國外上市的評估要素做了進一步明確與擴充,具體而言:
1)明確核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息是否“非法”出境為評估因素
2)增加“網(wǎng)絡信息安全風險”作為企業(yè)上市評估因素
part 2
企業(yè)應采取的數(shù)據(jù)安全合規(guī)措施
《網(wǎng)絡安全審查辦法》實施后,推動國家數(shù)據(jù)安全治理進入新階段,有利于關(guān)鍵信息基礎(chǔ)設施運營者和網(wǎng)絡平臺運營者進一步強化數(shù)據(jù)安全建設意識。
那么,關(guān)于《網(wǎng)絡安全審查辦法》實施后,企業(yè)應當如何進行數(shù)據(jù)安全合規(guī)建設?對于企業(yè)或機構(gòu)而言,應堅持安全發(fā)展理念,重視企業(yè)信息安全的體系規(guī)劃,并結(jié)合《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《關(guān)鍵信息基礎(chǔ)設施安全保護條例》等相關(guān)法律法規(guī)做好數(shù)據(jù)安全、個人信息保護等相關(guān)合規(guī)工作,不斷增強對自身運營安全的管理和評估,更好地保障企業(yè)核心數(shù)據(jù)的安全性和合規(guī)性。
為更好應對數(shù)據(jù)安全與合規(guī)挑戰(zhàn),在企業(yè)信息化探討與發(fā)展進程中,零信任安全應運而生,并已逐步成為企業(yè)和機構(gòu)信息安全規(guī)劃和落地的重要組成部分。作為一種信息安全架構(gòu),零信任要求對網(wǎng)絡內(nèi)部或外部的訪問采用“永不信任,始終驗證,強制執(zhí)行最小特權(quán)”的方法。它能夠最大限度保證資源被可信訪問,提升企業(yè)數(shù)字化轉(zhuǎn)型中新IT架構(gòu)的安全性??梢哉f,零信任已成為數(shù)字時代網(wǎng)絡安全架構(gòu)演進的必然選擇。
專注于身份安全領(lǐng)域十多年的派拉軟件,是國內(nèi)最早一批開始布局零信任安全的企業(yè)之一,擁有一體化零信任安全解決方案,以身份為中心,將所有用戶、終端設備、API應用、特權(quán)賬號等都納入統(tǒng)一管理,涵蓋線下、線上、互聯(lián)網(wǎng)到云端的所有用戶類型的全場景的一體化零信任安全體系,幫助更多客戶提升一體化零信任安全能力,為企業(yè)網(wǎng)絡安全和數(shù)據(jù)合規(guī)保駕護航。