盘点2020年网络安全合规大事件,你的等保合规了吗?

作者:企划组 时间:2021-01-07 阅读:1060

2020年,网络安全等级保护制度正式实施,众多网络安全合规方向实现了巨大突破。

2020年,《中华人民共和国密码法》(简称《密码法》)正式实施;《信息安全技术 网络安全等级保护定级指南》(简称《等级保护定级指南》)正式发布;公网安【2020】1960号文件发布;《中华人民共和国个人信息保护法(草案)》(简称《个人信息保护法(草案)》)征求意见……网络安全合规方向也实现了巨大的突破。

目前,合规工作逐渐成为网络安全建设中最为重要的一部分。盘点2020年的合规大事件将会为2021年工作的开展提供借鉴。

默认标题_公众号封面首图_2021-01-07-0.png 

一、2020年1月:《密码法》正式实施

2019年10月26日,全国人大常委会通过《中华人民共和国密码法》。作为国内密码领域首部综合性、基础性的法律,自2020年1月1日起施行的《密码法》为新时代密码工作法治化开启了新征程。

《密码法》从密码管理的基本原则、分类管理、商用密码从业单位管理,检测认证体系建设,网络运营者使用等多个角度进行了规范。

对于关键信息基础设施网络使用者则要求必须使用商用密码并开展商用密码应用安全性评估工作,未开展评估工作最高面临一百万的罚款,未采用经过安全审查的产品或服务则最高面临采购金额十倍的罚款。

在网络时代,密码是维护网络空间安全的重要法宝,是构筑网络信息系统免疫体系和网络信任体系的基石。

1.jpg 

二、2020年4月:《等级保护定级指南》正式发布

GBT 22240-2020信息安全技术 网络安全等级保护定级指南》新的国家标准于2020年11月1日正式实施。

《等级保护定级指南》作为等级保护2.0最后一个更新的标准,明确了确认网络安全等级保护对象保护等级的原理与流程,可用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。较上一版本主要有以下几点变化:

图片

1. 定级对象范围的扩大:伴随着等级保护工作的不断深入,保护对象的范围需要适应网络安全发展的需要,因此在《等级保护定级指南》中新加入了“云计算平台/系统”、“物联网”、“工业控制系统”、“采用移动互联技术的系统”、“数据资源”等多种对象,也为采用新技术的系统开展等级保护工作提供了依据。

2.专家评审的范围明确:从原来的第三级及以上需要进行专家评审调整为第二级及以上,提高了等级保护对象等级确认的准确性。

5ec23ab68c8b5.png 

三、2020年7月:公网安【2020】1960号文件发布

公网安【2020】1960号文件指出,《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》作为公安部用于指导重点行业、部门开展等保、关保工作的指导性文件。

该指导性文件提出了“三大基本原则”(坚持分等级保护、突出重点;坚持积极防御、综合防护;坚持依法防护、形成合力)与“四大工作目标”(贯彻落实等级保护制度、建立与实施关键信息基础设施保护制度、显著提升网络安全监测预警和综合处置能力、基本形成网络安全综合防控体系)。

对于网络运营者主要关注以下几点:

定级备案:应全面梳理网络现状,新建网络需在规划设计阶段确定安全保护等级;

等级测评:新建第三级及以上系统必须在通过等保测评后方可投入运行;

建设整改:落实“三同步”原则,按照“一个中心、三重防护”的要求开展建设整改工作;

安全责任:定期开展安全自查与检测评估工作,及时整改安全隐患与薄弱环节;

供应链管理:采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务;

密码安全防护:第三级及以上运营者应在网络安全等级测评中同步开展商用密码应用安全性评估。

图片1.jpg 

四、2020年10月:《个人信息保护法(草案)》征求意见

《个人信息法(草案)》以保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理使用为立法宗旨,规定了个人、企业、国家机关多主体对个人信息保护的权利/权力与义务。

作为网络运营者,应重点关注以下方面:

建立个人信息安全保护制度:应对外部用户需要明确告知收集、使用、向第三方提供、跨境时个人信息处理的规则;对内则需要制定个人信息安全内部管理制度。

对外预防个人信息流通的风险:应保证个人信息来源的合法性;应在接收方变更原先的处理目的、处理方式时重新向个人告知并获得同意;与第三方共享时应明确双方对个人信息处理的责任。

微信图片_20210107103841.png 

随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,网络安全等级保护制度作为我国网络安全领域的基本国策、基本制度,严格落实网络安全等级保护测评工作已经逐渐成为各行业必备。

近日,工信部网安局2020年“双随机一公开”检查结果公示。在公示名单中,共有49家电信和互联网企业、域名机构存在不同程度的违规情况。其中,未及时更新定级备案信息、业务系统部分配置未满足相应等级通信网络安全防护标准有关要求、数据安全技术保障措施不符合相关法律法规要求、互联网信息安全管理系统功能和性能不符合电信管理部门以及相关标准要求等是公示企业亟需整改的主要问题。

此次抽查是工业和信息化部网络安全管理局组织对部分电信和互联网企业、域名机构的网络安全防护工作情况、网络与信息安全责任落实情况、网络数据安全保护责任及管理措施落实情况、电话用户真实身份信息登记情况等开展的随机抽查,但也为众多的网络安全运营者提了醒,做好等保合规工作很重要!

2021年更多的条例与标准将会发布,合规工作的开展也将继续深入。从新产品到新方案的运用,从经费与人员的保障到管理制度的落实,合规工作的重要性逐渐提高。

2020年已发布了民航、金融、广电、报业等多个领域的等级保护标准,多个行业等级保护及网络安全标准也在积极编制中。2021年合规工作的行业属性将更强,合规要求也将更为细化。

从被动防御到主动防御的转变,对网络运营者自身的安全能力提出了更高的要求。云计算、5G、区块链等新技术广泛应用的同时,也带来了新的安全风险。提升网络安全能力,葫芦娃集团在加快技术创新和业务场景拓展的同时,提供全面的网络安全产品和服务,为构建更安全的网络空间贡献力量。

葫芦娃集团.png 

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理。