“沒有絕對的安全”是網(wǎng)絡安全從業(yè)人員的共識,實施網(wǎng)絡安全風險管理,將安全風險控制在可接受的水平是網(wǎng)絡安全工作的基本方法論,縱觀《網(wǎng)絡安全法》,其中就包含安全標準、安全檢測和認證、安全風險評估、安全審查為代表的網(wǎng)絡安全風險管理措施的條款多達十五條。《網(wǎng)絡安全法》具體闡述了網(wǎng)絡安全風險管理的哪些理念?會對今后的網(wǎng)絡安全風險管理工作帶來什么變化?本文從以下三方面予以論述。
一、網(wǎng)絡安全風險管理的地位得以全面提升
僅從方法論來看網(wǎng)絡安全風險管理,其過程涉及信息系統(tǒng)的全生命周期,包括規(guī)劃、建設(shè)、運行、廢棄等階段的風險管理。然而,從實施角度來看,首先,網(wǎng)絡安全風險管理需具備合法和正當?shù)哪康摹!毒W(wǎng)絡安全法》第二十六條明確規(guī)定,“開展網(wǎng)絡安全認證、檢測、風險評估等活動,向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全信息,應當遵守國家有關(guān)規(guī)定。”目前,我國尚存在不少機構(gòu)和個人未得到正式授權(quán)進行安全檢測、漏洞挖掘和披露的行為,其中不乏因操作不當或?qū)蠊烙嫴蛔銓Ρ粰z測方造成危害的案例,其所謂的“安全風險評估”反而成為真正的風險點。其次,安全檢測、認證和風險評估作為加強網(wǎng)絡安全管理的手段,也在《網(wǎng)絡安全法》中有多處提及,為網(wǎng)絡安全風險管理相關(guān)工作提供了充分的法律依據(jù)。
此外,實施網(wǎng)絡安全風險管理,在法律的基礎(chǔ)上,還必須依賴科學先進的網(wǎng)絡安全標準。今年8月,中央網(wǎng)信辦、國家質(zhì)檢總局、國家標準委聯(lián)合印發(fā)《關(guān)于加強國家網(wǎng)絡安全標準化工作的若干意見》,意見明確要求,推動網(wǎng)絡安全標準與國家相關(guān)法律法規(guī)的配套銜接。《網(wǎng)絡安全法》即是該思想的充分體現(xiàn),提及安全標準和規(guī)范的條款達七條之多,其中多處提到“國家標準的強制性要求”,安全標準的地位得到顯著加強。由上述可見,《網(wǎng)絡安全法》所闡述的網(wǎng)絡安全風險管理理念,是以法律法規(guī)為基,以安全標準為綱,只有“立得穩(wěn),行得正”的網(wǎng)絡安全風險管理措施才能真正發(fā)揮其效用。
二、網(wǎng)絡安全風險管理的范圍得到全面擴展
實施網(wǎng)絡安全風險管理,原本是從保護組織資產(chǎn)和業(yè)務的角度出發(fā),使其免于遭受損失。然而,《網(wǎng)絡安全法》是從總體國家安全觀出發(fā),將網(wǎng)絡空間主權(quán)和國家安全、社會公共利益,公民、法人和其他組織的合法權(quán)益均納入保護對象,大大擴展了網(wǎng)絡安全風險管理的適用范圍。首先,《網(wǎng)絡安全法》進一步強化了關(guān)鍵信息基礎(chǔ)設(shè)施保護的內(nèi)容,在第三十一條中明確列出關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。關(guān)鍵信息基礎(chǔ)設(shè)施保護,因其影響重大,是在網(wǎng)絡安全等級保護基礎(chǔ)上的進一步重點保護,充分體現(xiàn)了安全風險管理的思想。其次,第三十五條提出,關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡產(chǎn)品和服務,可能影響國家安全的,應通過安全審查,該措施即是針對國家安全層面實施安全風險管理的有效舉措。
此外,《網(wǎng)絡安全法》針對公民個人信息保護,提出了大量具體要求,一方面彌補了國內(nèi)在此方面立法的不足,另一方面將個人信息保護納入到網(wǎng)絡產(chǎn)品提供者和服務運營者實施網(wǎng)絡安全風險管理的必要內(nèi)容。由上述可見,《網(wǎng)絡安全法》所闡述的網(wǎng)絡安全風險管理范圍,是在傳統(tǒng)網(wǎng)絡信息系統(tǒng)基礎(chǔ)上,進一步擴展到國家關(guān)鍵信息基礎(chǔ)設(shè)施、公民個人信息等方面,同時提出了安全審查等國家層面的治理手段,其內(nèi)容大大豐富,效應更加廣泛。
三、網(wǎng)絡安全風險管理的落地將會更加扎實
從以往網(wǎng)絡安全風險管理經(jīng)驗來看,有些時候所取得的效果欠佳。首先,由于以前國家在網(wǎng)絡安全方面立法尚不完善,有不少企業(yè)實施的信息安全管理體系、PDCA(即計劃、執(zhí)行、檢查、糾正程序)等管理方式往往只是流于形式,沒有在效果上形成真正的“閉環(huán)”。《網(wǎng)絡安全法》可謂“一錘定音”,將網(wǎng)絡產(chǎn)品提供者和服務運營者的法律責任予以明確,使用執(zhí)法手段倒逼其強化自身安全管理。其次,以往的網(wǎng)絡安全風險管理中,我們一直關(guān)心的是發(fā)現(xiàn)脆弱性,改進安全措施,而對威脅的控制無計可施,此種方式非常被動且成本很高。《網(wǎng)絡安全法》在第六章法律責任中提出了對各類違法行為的制裁措施,由被動轉(zhuǎn)主動,有效震懾威脅源行為,將更多的成本轉(zhuǎn)移到威脅源,打通了安全風險處置的“最后一公里”,形成真正的風險管理閉環(huán)。由上述可見,實施《網(wǎng)絡安全法》,定會大幅度提升網(wǎng)絡安全風險管理的效果。
出臺《網(wǎng)絡安全法》是我國網(wǎng)絡安全領(lǐng)域立法工作跨出的最為關(guān)鍵的一步,意義非凡。圍繞《網(wǎng)絡安全法》展開工作,將是今后網(wǎng)絡安全標準制定、安全檢測和認證、風險評估、安全審查等網(wǎng)絡安全風險管理工作的重中之重。