多項法規今天生效!網路安全主體責任將進一步落實

騰訊安全發表於2021-09-02

編者按

今天起,《資料安全法》《關鍵資訊基礎設施安全保護條例》《網路產品安全漏洞管理規定》這三部對網路安全行業意義重大的政策法規正式實施,它們無一例外對企業的網路安全主體責任做了具體的明確和規範。

同樣在今天施行的法規,還有新修訂的《中華人民共和國安全生產法》。本文將以大家容易理解的“生產安全”作為對比和參照,來解讀“網路安全”相關政策,探討新規之下的企業和管理層應當如何轉換視角,理解和踐行肩負的網路安全主體責任。

圖片

作者:曉  丹

編輯:罐  子

專家支援:陳顥明


  • 2021年6月,政府公佈了新修訂的《中華人民共和國安全生產法》,將於9月1日正式施行,規定了管行業必須管安全、管業務必須管安全、管生產經營必須管安全,進一步明確安全生產責任。

  • 2021年8月,《黨委(黨組)網路安全工作責任制實施辦法》公佈,從責任主體、責任範圍、責任事項、保障措施等範圍落實網路安全責任。

  • 8月17日,《關鍵資訊基礎設施安全保護條例》正式公佈,要求實行“一把手負責制”,並設定專門安全管理機構,進一步強化和落實關鍵資訊基礎設施運營者的主體責任。


短短3個月時間,從生產安全到網路安全,主體責任相關問題先後透過多部法規政策的出臺和修訂進行了明確和細化。


為何對於企業安全主體責任愈發重視?法規對於安全的主體責任相關問題做了哪些規定?企業如何理解和落實自己的網路安全主體責任?


網路安全主體責任正在向生產安全看齊


生產安全問題歷來是企業管理的重中之重,因為涉及職工生命安全、老百姓人身財產安全的大事,安全事件倘若發生,將對企業的經營收入、名聲口碑等方面造成重大不利影響,是企業的生存性問題。


伴隨數字資訊時代的快步發展,數字轉型成為企業主普遍和迫切的訴求,網路安全也因此愈發被重視,既代表著一項科技硬實力指標,也成為企業必備的防守基本功,關乎企業發展命脈。


1. 生產安全主體責任已經成為普遍共識

透過多年的要求與具體實踐,相關企業對生產安全的責任主體、責任範圍的界定理解較為清晰。比如在餐飲、製造業成熟的產業中,消防的主體責任基本已成常識,假設經營場所失火,經營者雖然是受害者但是也要負責任。不少企業內部還會將生產安全會作為常用的工作機制和監管方式,確保從領導班子到生產線的重視。


2. “三個必須”對主體責任再次進行壓實

新修訂的《生產安全法》提出的“三個必須”——管行業必須管安全、管業務必須管安全、管生產經營必須管安全,除了強調“一把手”對本單位安全生產的主體責任之外,更要求建立健全全員安全生產責任制,讓安全生產的責任清晰落實到全員。


3. 政策條例要求把網路安全與生產安全同等看待

坦白說,網路安全目前在國內大多數企業中還沒有得到應有的重視。有證券界分析師指出,國內網路安全佔資訊化的投入比例約為3%,而歐美等已開發國家均在10%以上,相較甚遠。如今《實施辦法》和《保護條例》的出臺本質上就是明確企業一把手對企業網路安全負主體責任,只要出了網路安全事件,不僅企業會被問責,一把手也會受到較大影響。只有把網路安全與生產安全同等看待,才能真正抵禦風險,應對挑戰。


以民用交通行業為例,以往企業第一負責人會主抓生產安全,定期深入檢查,畢竟人命關天,出不得半點差錯。隨著數字化的推進和政策的落實,以後,企業第一負責人也必須以同樣的重視程度看待網路安全,定期檢查。


儘管相較生產安全更為完善、成熟的體系,企業對網路安全重要程度的認知,對其主體責任的認知還有待更多時間來沉澱、塑造,但相信《實施辦法》和《保護條例》的出臺正在開啟這條“認知之路”,也為網路安全產業升級提供重要推動力。


政策對網路安全主體責任做了怎樣的規定?


當前整個網路安全產業有組織、有目的的網路攻擊能力強悍、頻繁發生,嚴重影響企業經營活動與營收,甚至成為“黑灰產”追捧的財富密碼。


網路安全產業的規範發展一方面有賴於對“黑灰產”等違法犯罪行為進行有力的打擊,另一方面也需要企業內部從組織架構、人員、技術等方面逐步加強安全意識和防守能力。《實施辦法》《保護條例》的配套出臺就是對企業安全能力提升的倒逼手段。


其中,《實施辦法》將安全的責任從上到下,從執行、監管、問責的全週期管理體系進行了十分細緻的具體和完整,意味著國家對於網路安全領域管理者的安全責任要求越來越高。具體體現為如下幾個方面:


1.《實施辦法》明確要求一把手作為網路安全第一責任人


《實施辦法》第二條規定,各級對本地區本部門網路安全工作負主體責任,領導班子主要負責人是第一責任人,主管網路安全的領導班子成員是直接責任人。

過去,企業的網路安全通常由資訊管理部直接負責,歸CIO(資訊長)統籌管理,CIO招募管理員管理企業的網路安全。但現在,很多企業已經成立了資訊保安管理委員會來統籌整個企業的資訊保安管理工作,委員會的第一負責人即企業的第一負責人。這也意味著,一旦發生網路安全事故,企業一把手作為安全的第一負責人將會被直接追責。


2.《實施辦法》首次明確網路安全被納入審計範圍


《實施辦法》第十一條規定,各級審計機關在有關部門和單位的審計中,應當將網路安全建設和績效納入審計範圍。

我們通常認為涉及到企業的財政、資金、經濟相關的事項才需要審計,第十一條的規定正體現了網路安全已經成為與財政、資金同等重要的事項。當網路安全被納入審計監督範圍,未來也一定會有配套的審計制度出臺。透過審計制度來進行要求,各企業主要負責人對網路安全的重視程度和履職盡責的意願勢必將大大提高。

可以說《實施辦法》的公佈推動網路安全成為CEO的戰略關注問題,真正成為“一把手工程”。


結語


誠然網路安全主體責任的認知和具體實踐與生產安全相比仍有較大差距,但伴隨著企業數字化的進展加快,更多法規政策對網路安全主體責任做明確和細分,形成更嚴密、更完善的全週期管理體系,將會有越來越多企業領導層意識到網路安全的重要性,湧現更多具有參考性、可行性的案例實踐。我們也不妨期待,作為“一把手工程”的網路安全事業將迎來全新的、充滿活力的產業面貌。


參考資料:

[1] 9月1日起,誰再把安全責任全部推給安全部門,就追究誰的責任!

[2] 《黨委(黨組)網路安全工作責任制實施辦法》解讀

[3] 深圳試點的首席資料官是個什麼“官”


相關文章