5月,优衣库信息泄露事件一度登上百度热搜榜。
优衣库母公司日本迅销发布公告称,4月23日至5月10日期间,因其在线购物网站遭到黑客攻击,超过46万名顾客的信息遭遇泄露。
虽然优衣库官方宣称本次网络信息安全事件不涉及中国的网站及信息平台,但仅仅回望2018年,AcFun弹幕视频网近千万条用户数据被泄露、圆通10亿条用户数据被出售、华住集团旗下多个连锁酒店5亿条数据被出售…层出不穷的中国企业网络安全事件早已在不断挑动中国企业网络安全保护的神经。
网络安全威胁日益复杂,监管部门检查愈发频繁。网安保护,迫在眉睫。
△截图源自图虫创意
一、是义务也是护盾
2017年6月1日正式实施的《网络安全法》已经明确将企业网络安全保护提升为法律义务,并对违反者设置责令整改、罚款、停业整顿、吊销执照等一系列处罚措施,构成犯罪的,将依法追究刑事责任。
在《网络安全法》的大框架下,聚焦于底层网络安全控制的“网络安全等级保护制度”是企业履行网络安全合规义务所必须开展的基础工作,也是企业进行网络安全工作的起点。
2019年5月13日由公安部牵头的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》三个网络安全领域的国家标准正式发布,意味着网络安全等级保护制度2.0时代正式到来。
△摄影:Patrick Hendry,来自Unsplash
而等级保护制度要求的升级对企业来说不仅仅意味着义务内容的拓展,更代表着保障权利的盾牌。
因为从2018年开始,公安机关已实行“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。
因此,在网络安全事件发生后,企业需要自证已经履行基本的网络安全保护义务,即等级保护义务,而这种合规自证也可以降低甚至避免承担法律责任。
二、执法检查中的高频关注点
随着我国日益加强对网络安全违法违规活动的执法,2018年公安部组织开展安全监督检查14.4万家次,发现整改安全风险、管理问题等134.6万处,依法查处互联网企业3.4万余家次。
明确基本网络安全合规要点对企业而言显得尤为重要。
围绕等级保护制度,我们通过整理威科数据库中65份公开的企业行政处罚书发现,企业容易违反的网络安全合规义务集中在程序性义务和实体性义务两个层面。
前者主要是指企业未进行定级备案和安全等级评测,有两家企业因未履行前述义务而被行政处罚。
后者主要是指企业未适当履行《网络安全法》第21、25条中的一项或多项细分义务而被行政处罚。
实体性义务统计详情具体如下:
行政处罚书可以让企业窥视易违反的网络等保合规义务,从而逐点开展合规工作。
此外,公安部网络安全保卫局“中国网络安全等级保护网”所提供的《2019公安机关网络安全执法检查自查表》也为企业进一步示明了公安机关执法检查要点,便于企业在日常经营中更有针对性的开展网络等保义务合规的自查工作,落实合规义务。
自查表格部分摘录如下(具体*载下**地址:http://www.djbh.net/webdev/web/HomeWebAction.do?p=getZxdt&id=8a818256675e91ab016a621adf3a010d&xx=a57ea59e9f6cf27b129f9bf21f7111ee)
三、等保新形势下的企业合规
围绕行政处罚中的高频处罚点和公安部门的执法检查点,结合等保2.0的新要求,我们建议企业尽快开展如下等保合规工作。
01定级与测评
等级保护工作一般有五个环节,而作为在行政处罚中企业易违反的程序性义务,企业需要注意等保2.0已对定级要求和测评要求作出了变更。
首先,为了适应新技术的发展,等保2.0扩大了需要定级的保护对象范围和适用范围,实现了全覆盖,企业需要重新确认定级保护对象。
其次,就定级模式而言,相比等保1.0要求企业进行“自主定级”模式,等保2.0将定级模式修改为“申请批准”,并要求拟定为“第二级”以上的网络,企业应当组织专家评审来完成工作。
最后,就测评周期而言,相比等保1.0对于等保二级没有强制测评要求要求以及等保三级每年测评一次,等保2.0将二级和三级均改为要求“定期测评”,且发生重大变更或级别发生变化时要求进行二次测评,企业需要按时完成测评。
02网络安全技术措施
作为在行政处罚中企业易违反的占比最大的实体性义务,技术措施是企业网络安全保护的基石,等保2.0也对企业提出了相应的技术要求。
首先,在整体安全技术建设上,企业需对较高级别的等保对象使用一些关键技术。
其次,企业还需在安全通用技术要求和安全拓展技术要求中完成合规义务。
在安全通用的技术要求中,企业需根据不同定级对象在安全物理环境、安全通信网络、安全区域边界、安全计算环境等方面落实相应软硬件产品及技术措施,具体安全控制点如下图。
需要特别说明的是,尽管有些安全技术控制点,等保2.0与等保1.0在名称上没有变化,但其项下的要求会有所变更,比如在等保2.0中网络日志留存要求由以前的留存6个月变更为了“符合法律要求”。
此外在安全拓展要求中,企业需落实云计算、大数据、移动互联、物联网和工业控制系统下不同定级对象的相应技术要求。
03内部安全管理制度
作为在行政处罚中企业易违反的排名第三的实体性义务,所谓“三分技术,七分管理”,技术是基础,安全管理是关键,等保2.0强化了内部管理制度的重要性,从新的控制点提出了合规内容。
当然,内部安全管理制度仅仅只是企业内部安全管理的一个环节,企业还需从安全管理机构、安全管理人员、安全建设管理及安全运维管理等方面入手按照等保要求进行系统规划设计,建立统一的企业内部网络安全管理体系。
04网络安全事件应急预案
作为在行政处罚中企业易违反的排名最后的实体性义务,其实质意义却非常重大。当发生网络安全事件,企业如果拥有一套完善的应急预案,将能很大程度消除安全隐患, 防止危害扩大。
四、等保合规仅仅是网安合规的开始
目前正处于等保1.0向等保2.0过渡的阶段,网络安全执法态势会日益严峻。
我们建议,尚未开展等级保护工作的企业,应当尽快启动等级保护工作,尤其应当尽快启动第一步的定级备案,只有启动第一步,才能进入等级保护工作的轨道,得到服务机构和主管部门的指导,落实后续工作。
已经开展等级保护工作的企业,应当关注等保2.0带来的变化,虽然原来已经开展的程序性和实体性工作并不会全部失效,但企业也面临着整改和升级的情况。
同时,企业也需知悉,开展网络安全等级保护工作仅仅只是企业落实网络安全工作的一个开始。在实践中,企业还应重视《网络安全法》及其配套法律法规及管理办法构建的系统性网络安全相关义务,比如个人信息和重要数据的保护、数据本地化储存和跨境数据传输的安全评估、网络传播内容的管理等等。
网络安全,慎之又慎。
毕竟数据千万条,合规第一条。