正文

浅谈网络四法四条例四办法一意见与山东数字政府改革方案

admin
admin V管理员 /0 评论 /49 阅读
0317
此篇文章发布距今已超过29天,您需要注意文章的内容或图片是否可用!

为加快推进数字政府建设一体化综合改革,深化数智赋能,聚焦政府治理服务数字化、标准化、平台化、精准化,加强技术融合、业务融合、数据融合,提升跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务水平,全领域构建政府数字化运行新形态。最近,山东省人民政府网发布了《山东省人民政府办公厅关于印发<山东省数字政府建设一体化综合改革方案>的通知》,结合文件,我们看到《山东省数字政府建设一体化综合改革方案》的在第四部分完善五项统筹机制(十三)项,要求加强安全统筹。就安全统筹与对应法律法规的关系,简单做一个探讨。

从以上图片中文字,可以看到要求“健全数字政府全领域、全周期安全防护体系”,“全领域”从面的视角要求全面覆盖;“全周期”从纵向时间跨度视角要求全流程覆盖,以这两个维度形成安全防护体系,强化落实安全责任制度。总的来说,以下各方面的工作都遵循这个规律。

随着国家信创工作的稳步推进,要求提升安全保障能力与自主可控水平。信创工作是我国近年来重点推进的战略性产业方向,旨在实现核心信息技术自主可控,构建国产化替代生态体系。其战略意义涵盖我国家安全、产业升级等,从2019年试点期开始,到2025年进入推广期,从党政机关、金融、电信等关基领域,到向能源、交通、教育等行业扩展,逐步实现全行业全领域覆盖,确保国产技术达到国际主流水平,最终进入成熟期,具备真正的市场核心竞争力,配合国家战略走向海外。各省在各自的实践中,都给出了很好的政策保障。

在落实网络安全等级保护制度、关键信息基础设施安全保护、数据分类分级保护、密码应用安全性评估等制度,加强数据安全保护,保障个人信息安全,塑强供应链安全,形成分工明确、协同推进的工作机制等方面。是落实党领导网络安全和《网络安全法》《数据安全法》《密码法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》等的指引。

在实际落实工作中,等级保护制度需从法律法规层面遵循《网络安全法》《中华人民共和国计算机信息系统安全保护条例》等法律法规,还有规范性文件《信息安全等级保护管理办法》或者法规征求意见文件《网络安全等级保护条例》(征求意见稿),逐步细化工作。在实际操作中,遵循等级保护定级、备案、建设整改、等级测评、监督检查五个规定动作,在规划设计阶段完成安全方案,做到网络安全与信息化在规划阶段的“同步”,将对应拟订的安全保护等级与《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准及对应行业标准进行对齐,确定网络安全建设基本目标,形成可行性网络安全方案,并在此期间完成定级备案工作。定级备案时,参照国家标准《网络安全等级保护定级指南》及行业标准,结合公安机关的备案实施细则要求,到有管辖权限的公安机关开展备案工作,确定最终安全级别取得备案证明。

然后,依据《网络安全等级保护基本要求》《网络安全等级保护实施指南》等国家标准或行业标准及网络安全方案等文件,开展网络安全和信息化建设,做到在建设过程中的网络安全与信息化工作的“同步”,依据标准,动态调整安全措施,直指满足国家标准中规定的对应安全保护等级要求。在参考国家标准和行业标准过程中,涉及到直接引用标准和间接引用标准问题,需要进一步扩展。如机房有机房的建设标准,而到具体要求项,还涉及背后其他国家行业标准的支撑,如防火要求,那么就需要满足防火相关的国家标准要求等等。所以网络安全建设是一个体系化、工程化的事情,一定要有科学合理可执行的规划及实施方案。并在建设过程中,严格遵循项目管理及有关国家标准,实事求是留存所有过程性文档与记录,以及各类证明性材料,培训、测试性记录、报告等等。责任单位需要全建设流程对第三方以及内部人员实施开展监督。建设过程中一旦发生网络安全事件,立即启动应急预案及责任追究制度等。

在完成安全建设后,系统上线前安全等级三级以上的网络,或者有行业特殊要求的网络,需要依据相关要求开展等级测评工作,并根据等级测评中发现的网络安全风险,开展整改加固。在选择测评机构时,需要根据国家要求,选择在等级保护网目录内的测评机构。同时,在开展等级测评中,对测评过程进行监督。对测评过程中违法违规行为及时纠正,保证测评过程中测评机构工作是在法律法规以及《网络安全等级保护测评要求》《网络安全等级保护测评过程指南》等国家标准或行业标准的约束之下,并不得违反国家其他有关规定的情况下进行。

在等级保护测评后,根据等级保护级别以及行业要求,对规定时期内需要复测的网络,及时开等级测评工作。并在测评基础之上,接受网信、公安、密码等部门的监督检查。

在落实监督检查工作环节,依据等级保护工作经验,需要每年定期开展网络安全自查,公安机关会采取远程检测、现场检查等各种方法,对责任单位网络安全工作开展实际情况进行检查复核。对检查中发现的网络安全风险和隐患,要开展限期整改,在规定期限未整改的将可能受到法律惩罚。

在实际落实工作中,关键信息基础设施安全保护从法律法规层面则需要遵循《网络安全法》《关键信息基础设施安全保护条例》,关键信息基础设施安全保护,是在等级保护制度基础之上开展。在落实好等级保护制度基础之上,要求做好数据安全、供应链安全。从具体工作开展时,则需要参考国家标准《信息安全技术 关键信息基础设施安全保护要求》GB/T 39204-2022 ,同时根据行业自身要求,需要同时参考行业标准,如电信行业需要参考《电信行业关键信息基础设施安全保护安全管理总体要求》YD/T 4999-2024 。需要满足做好分析识别、安全防护、检测评估、监测预警、主动防御、事件处置工作,以满足法律法规。

密码应用安全性评估制度,是密码应用工作的一个重要组成部分,在密码应用安全领域与等级测评在网络安全等级保护工作中有着一样的重要地位。上位法律法规是《网络安全法》《密码法》《商用密码管理条例》等,结合《信息安全等级保护管理办法》或《网络安全等级保护条例》(征求意见稿)去看,我们会发现网络安全工作是一个基本制度(网络安全等级保护制度)三个方向(等级保护工作、分级保护工作、密码应用安全工作),密码应用安全又统属于等级保护制度之下。在落实密码应用安全工作中,我们也会看到其自身并没有定级环节,其级别依附于等级保护安全保护等级,其他环节与等级保护工作基本相似。同时开展工作也是需要遵循国家标准、行业标准,也涉及方案设计、建设整改、应用安全性评估(地位类似于等级测评)、监督检查。此处的监督检查,主要是密码管理部门,随着机构的改革各地可能在名字和工作职能范围上有所调整,总体属于密码管理部门。

密码应用安全中的安全评估非常重要,但是想要做好密码安全工作也是从规划设计阶段开始,要求遵循“三同步”的大原则。密码工作在此,我们不做太细的讨论。有机会专门成为成为章节进一步探讨。

在落实有关数据数据分类分级保护、加强数据安全保护中,从法律层面,需要满足《网络安全法》(重要数据加密要求直接来自《网络安全法》)《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》等法律法规,从历史演进的视角,网络数据属于网络的一部分,电子化的个人信息又属于网络数据的一部分。《网络安全法》是基础性法律,而后两部法律则是领域性法律。在强调数据安全之前,一样要做好网络安全,网络安全又以等级保护制度做基础。在此基础上,需要从管理措施和技术措施两个维度实现数据安全防护,而结合数据治理的概念,在《数据安全法》中创造性的引入的数据全生存周期的概念。这样就形成了数据安全的“横向到边,纵向到底”的体系化思路。一方面要考虑管理和技术两个维度,另一方面要考虑数据全生存周期。同时,《数据安全法》又重点强调了,数据的分类分级、数据风险评估等几项具体工作要求。这样,我们可以类别网络安全体系建立数据安全体系,一方面考虑网络安全与数据安全的联系与连贯性,同时又需要考虑数据安全的特殊性。

在落实个人信息保护的过程中,需要以数据安全为基础。结合《个人信息保护法》《个人信息保护合规审计管理办法》《个人信息和重要数据出境安全评估办法》等,同样也是可以从两个维度探讨,一则从管理措施,二则是技术措施,开展安全防护工作。管理措施则可以借鉴网络和数据安全理念,结合个人信息的特殊性编制一套科学有效的管理体系;技术措施则涉及个人信息(特别是敏感个人信息)的加密存储、去标识化使用等。同时,电子化的个人信息,是特殊的重要的数据,特别是敏感个人信息更是重要的存在。在落实个人信息保护过程中,同样也涉及个人信息从收集到销毁的全生存周期问题,甚至还涉及人死数存等问题。

个人信息安全需要遵循处理的基本原则,比如合法、诚信原则;正当、必要原则等等。因为个人信息具备网络数据的属性,个人信息共同处理、个人信息委托处理、转移、提供等,都需要在法律法规运行范围内开展。同时,需要同时还涉及遏制大数据杀熟等。

结合以上要求,根据业务实际,个人信息处理者(责任单位)还需要根据个人信息保护合规审计管理办法》《个人信息和重要数据出境安全评估办法》开展个人信息保护合规审计(此项工作如同网络安全等级保护工作在个人信息领域的“等级测评”)和出境安全评估。

在《方案》里,要求强化数字政府安全保障专业队伍和安全态势感知体系建设,提升全省一体化安全监测、评估、处置和防范能力。为了防范于未然,无论是网络安全、关键信息基础设施安全、数据安全、个人信息安全都需要有一套与自身实际业务相适应的安全应急体系,而且对于关键信息基础设施安全防护,一些行业要求“一关基一预案”。网络安全是一个动态的,安全专业人才的引进与培养、安全态势感知技术等新技术新应用的建设,才能将形成一体化的安全防护能力与水平稳定持续提升。同时,各个层面的安全,在当今世界无不面临着供应链安全问题,《方案》对供应链安全也提出了要求。

云安全管理方面,2014年12月,中网办发布《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔201414),明确党政部门云计算服务网络安全管理的基本要求,即安全管理责任不变,数据归属关系不变,安全管理标准不变,敏感信息不出境四条基本要求。然而,在方案中未就国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部于201972日制定的《云计算服务安全评估办法》进行回应。

俗话说“鸟无头不飞,蛇无头不走”。这些工作是否能做好,自然有赖于其省里的牵头单位省委网信办、省密码管理局、省公安厅、省大数据局的明确分工,协同推进。在此,我们也祝愿山东省一体化改革方案全面施行,并取得圆满成功。
以上是结合山东“方案”基于我国网络安全领域现阶段的“四法四条例四办法一意见”(具体见参考文件)和一个信创战略的基础上,做了一点点个人理解,因时间和篇幅原因,对密码应用和数据安全、个人信息安全以及供应链安全并未形成类似等级保护的阐释,不足支持还请方家多多指正。
综上:一个单位需要开展的评估类工作包括但不限于:等级测评、密码应用安全性评估、风险评估、数据安全风险评估、关基安全检测、个人信息安全合规审计、个人信息出境评估等。
参考文件:
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国密码法

中华人民共和国个人信息保护法

关键信息基础设施安全保护条例

网络数据安全管理条例

中华人民共和国计算机信息系统安全保护条例

商用密码管理条例

个人信息保护合规审计管理办法

个人信息和重要数据出境安全评估办法

信息安全等级保护管理办法

云计算服务安全评估办法

关于加强党政部门云计算服务网络安全管理的意见

山东省数字政府建设一体化综合改革方案等

— 欢迎关注


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网