曹興

北京管道公司技術研究中心

在網(wǎng)絡安全背景下，合規(guī)就如同遵守交通規(guī)則，不遵守規(guī)則，組織或者個人就會付出代價。因此，企業(yè)網(wǎng)絡安全合規(guī)是企業(yè)的“安全帶”“護城河”，要樹立紅線思維和合規(guī)意識，遵守相關法律法規(guī)、規(guī)章制度及道德規(guī)范。

1  網(wǎng)絡安全背景下管理合規(guī)的重要性

網(wǎng)絡安全法與數(shù)據(jù)安全法出臺后，對指導管道企業(yè)遵從我國網(wǎng)絡空間法律行為，保護國家秘密與數(shù)據(jù)安全，守住網(wǎng)絡安全與數(shù)據(jù)安全的最后防線指明了方向。

網(wǎng)絡安全法作為具有強制性的基本法，具有以下特點：①堅持網(wǎng)絡安全和信息化發(fā)展并重原則；②提出網(wǎng)絡空間主權；③強調開展國際合作；④建立統(tǒng)籌協(xié)調、分工負責的管理體制；⑤重點保護關鍵信息基礎設施；⑥網(wǎng)絡突發(fā)事件采取“網(wǎng)絡通信管制”；⑦充分發(fā)揮行業(yè)組織自律作用；⑧加大網(wǎng)絡安全資金投入。

網(wǎng)絡安全建設需要投入人力、物力、財力，而在監(jiān)管方面，管道企業(yè)因為承載的社會功能和社會責任比較大，監(jiān)管力度也大，因此，無論是在對網(wǎng)絡安全的重視程度上，還是在人財物的投入以及在配合監(jiān)管方面都值得肯定。

管道企業(yè)員工在日常工作中，會涉及公司敏感信息的傳遞，如果其中包含違規(guī)操作很可能會引發(fā)關聯(lián)漏洞，當其積累到一定程度，勢必會給公司網(wǎng)絡安全造成威脅。因此工作網(wǎng)絡環(huán)境中的各類行為必須得到約束，這樣才能建立一個更和諧健康的工作網(wǎng)絡環(huán)境。而網(wǎng)絡管理“合規(guī)”正是要遵守國家法律法規(guī)和公司內部運營規(guī)章制度，當員工行為觸碰其底線時，就應該對其進行追責處理。網(wǎng)絡安全法的內容與管道企業(yè)內部網(wǎng)絡安全管理制度和社會網(wǎng)絡安全道德規(guī)范又存在著緊密聯(lián)系，重點從以下三個方面進行分析。

首先，提升了網(wǎng)絡安全等級保護制度的法律地位[1]。將等級保護工作根據(jù)重要程度，從低到高分為一至五級。定級一般采取自愿原則，關鍵信息基礎設施的等級保護是強制性義務。等級保護工作內容包括：①系統(tǒng)定級；②安全域劃分；③等級安全指標設計；④等級安全體系規(guī)劃；⑤安全等級評測等[2]。信息系統(tǒng)等級保護標準沿用至今，具有一定的科學性和可操作性，為網(wǎng)絡安全等級保護制度奠定了基礎，提升了網(wǎng)絡安全等級保護制度的法律地位[3]，兩者順利銜接，相互融合。但網(wǎng)絡安全法規(guī)定的等級保護制度總原則，可操作性和執(zhí)行性不強，需進一步出臺相關配套細則加以明確，指導等級保護測評工作的開展，明確重要信息系統(tǒng)及網(wǎng)絡安全風險的檢查和應急處置工作，強化企業(yè)網(wǎng)絡安全防御體系建設，提升網(wǎng)絡安全管理水平[4]。

其次，對關鍵信息基礎設施實行重點保護。縱觀國際社會發(fā)生的重大網(wǎng)絡安全事件，能源信息基礎設施已成為網(wǎng)絡攻擊的目標，關鍵基礎設施仍然是信息安全保障的最核心內容。例如“永恒之藍”病毒針對加油站的攻擊[5]。我國將關鍵信息基礎設施安全保護上升至法律層面，立法很迫切、出臺很及時，說明國家對重要行業(yè)和領域網(wǎng)絡安全的高度重視，尤其是能源行業(yè)的管道企業(yè)，應對油氣設施及坐標數(shù)據(jù)進行重點安全保護，不僅需要提高油氣信息基礎設施自身安全，更應當開展一系列制度規(guī)范體系建設，建立完善的規(guī)章制度，搭建可落地的制度框架[6]。

最后，網(wǎng)絡安全的核心是信息，數(shù)據(jù)保護是重點。信息可理解為業(yè)務數(shù)據(jù)，業(yè)務數(shù)據(jù)來自業(yè)務的開展過程，因此在業(yè)務開展過程中去發(fā)現(xiàn)信息的安全保護問題，進而使用信息化手段解決此問題，助力業(yè)務發(fā)展。數(shù)據(jù)的安全保護，又分為兩方面內容：一是要求各企業(yè)切實承擔起數(shù)據(jù)安全的職責，即數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可控性及數(shù)據(jù)的不可否認性[7]。二是保障個人對其個人信息的安全可控，落實網(wǎng)絡安全合規(guī)義務，其實就是在保護我們每個人的安全。

2  網(wǎng)絡安全合規(guī)管理存在的問題

網(wǎng)絡安全合規(guī)是指為了實現(xiàn)依法、依規(guī)經(jīng)營，防控網(wǎng)絡安全風險，所建立的一種網(wǎng)絡治理機制。企業(yè)網(wǎng)絡安全合規(guī)，是實現(xiàn)網(wǎng)絡安全，從而保障國家安全的基礎。

首先，表現(xiàn)在網(wǎng)絡安全合規(guī)意識淡薄，重視程度不夠。由于企業(yè)規(guī)模、性質、所處行業(yè)區(qū)域等因素的不同，當前企業(yè)網(wǎng)絡安全合規(guī)落實情況總體來說參差不齊。主要原因有依法合規(guī)意識薄弱、合規(guī)管理機制不成體系、合規(guī)管理機構不健全、合規(guī)人才體系沒有形成、合規(guī)監(jiān)管處罰力度不強等。

其次，表現(xiàn)在可能違反國家法律法規(guī)規(guī)定，受到行政處罰。依據(jù)現(xiàn)行有效的相關法律規(guī)定要求，在網(wǎng)絡安全保障方面有六項法定合規(guī)義務需要遵守和落實。包括實施網(wǎng)絡安全等級保護的義務、關鍵信息基礎設施保護義務、數(shù)據(jù)安全保護義務、個人信息保護義務、違法有害信息的治理和禁止從事危害網(wǎng)絡安全的義務等。若違反國家法律法規(guī)和企業(yè)內部管理制度，不嚴格執(zhí)行網(wǎng)絡安全管理制度，未履行安全保護義務，會面臨重大網(wǎng)絡安全法律風險，嚴重違法還有可能觸犯刑法，甚至還會被記錄到企業(yè)信用檔案。

再次，表現(xiàn)在缺乏有效的網(wǎng)絡安全人才培養(yǎng)和工作機制。信息技術日新月異，尤其是網(wǎng)絡安全技術更新較快，未制定長遠的網(wǎng)絡安全人才培養(yǎng)規(guī)劃，業(yè)務培訓水平參差不齊，且防范知識更新較慢，新的網(wǎng)絡安全管理知識領會不深，不僅無法盡快培養(yǎng)一批水平較高的網(wǎng)絡安全人員，甚至還會造成網(wǎng)絡安全人才嚴重流失。

最后，表現(xiàn)在內部的合規(guī)管理機制還不成熟，網(wǎng)絡安全防范措施不夠周密。除了基本的網(wǎng)絡、設備和存儲備份等基礎管理以外，應做到數(shù)據(jù)訪問與存放分離，敏感數(shù)據(jù)加密，訪問授權盡量細分和限時等，但是具體落實過程中工作不細致，忽視某些環(huán)節(jié)會使黑客及網(wǎng)絡攻擊者有機可乘。安全信息要可視化，能夠掌握安全風險來自何處，有針對性的加以防范。安全防范的措施要有彈性，不能一點被攻破，就全盤崩潰。

3  如何提升網(wǎng)絡安全管理合規(guī)性

針對在網(wǎng)絡安全管理合規(guī)工作中存在的問題，提升網(wǎng)絡安全管理合規(guī)水平，從以下幾個方面開展工作：

首先，最重要的是單位領導和各部門對網(wǎng)絡安全管理合規(guī)工作的深刻認識和高度重視。這是網(wǎng)絡安全管理合規(guī)工作以及信息安全保障工作的核心。只有思想認識提高了，重視程度加強了，才能把住核心關口，把住企業(yè)網(wǎng)絡安全的第一道防線。

其次，加大網(wǎng)絡安全合規(guī)義務落實的宣傳，尤其是要深刻認識網(wǎng)絡安全的重要性，了解風險點。重視網(wǎng)絡安全，以切實履行網(wǎng)絡安全合規(guī)義務，履行應盡的社會責任，遵從網(wǎng)絡安全法與數(shù)據(jù)安全法相關規(guī)定，盡到安全保護義務。對于沒有落實網(wǎng)絡安全合規(guī)義務的企業(yè)不采用其產(chǎn)品或服務，對于因網(wǎng)絡安全問題而受到行政處罰或刑事處罰的，應列入采購黑名單。

再次，加快網(wǎng)絡安全人才培養(yǎng)，提高網(wǎng)絡安全管理人員業(yè)務水平。執(zhí)行網(wǎng)絡安全管理相關崗位分離制度，定期開展網(wǎng)絡安全管理業(yè)務培訓，提高網(wǎng)絡安全崗位人員職業(yè)素質及法律合規(guī)教育。嚴格執(zhí)行國家網(wǎng)絡安全管理相關規(guī)定，建立網(wǎng)絡安全加密、數(shù)字簽名、鑒別、鑒別交換、身份認證等工作機制及網(wǎng)絡安全內部管理制度。

最后，定期或不定期開展網(wǎng)絡安全風險評估工作。依據(jù)網(wǎng)絡安全事件發(fā)生的頻率、嚴重性和危害性，劃分網(wǎng)絡安全風險級別，采取不同應對策略和管理制度，完善網(wǎng)絡安全風險評估工作流程和違章工作人員責任追究制度，提升網(wǎng)絡安全管理工作質量[8]。

參考文獻：

[1]馬欣，王勝開.對建立網(wǎng)絡安全審查制度的分析[J].互聯(lián)網(wǎng)天地，2014(06) ：45-46.

[2]嚴承華，陳璐，趙俊閣，李支成、張俊、李陽.信息安全工程[M].北京：清華大學出版社， 2017.

[3]趙林.信息安全等級保護工作取得新進展 [J].信息網(wǎng)絡安全，2007(06)：11-12 .

[4]王偉，戴國強.黨政機關網(wǎng)站安全管理規(guī)范化建設探究[J].信息化建設，2011(08)：43-45.

[5]劉洪梅，張舒.2016年國內外信息安全態(tài)勢[J].中國信息安全，2017(01)：60-64 .

[6]尹麗波.網(wǎng)絡安全法將促進國家關鍵信息基礎設施保護新局面[J].中國信息安全， 2015(08)：110-112 .

[7]信息安全保障[Z].北京：中國信息安全測評中心，2013.

[8]陳凱航.牢固建立“三道防線”加強計算機網(wǎng)絡安全管理[J].審計與理財，2017(10):16-17. 

作者簡介：曹興，1981年生，高級工程師，2018年碩士畢業(yè)于對外經(jīng)濟貿(mào)易大學法學院民商法專業(yè)，現(xiàn)主要從事信息化專業(yè)方向及網(wǎng)絡安全法等研究工作。聯(lián)系方式：13261954446，caoxing@pipechina.com.cn。