网络和数据安全领域的重要“安全机制”

一、机制是什么

我国法律法规中经常提到“机制”一词,比较抽象,不太好理解。在企业工作中,领导层也经常提到要建立长效“机制”,它们之间有什么不同?我们先来看看机制的含义。

  • 机制基本定义

机制是指各要素之间的结构关系和运行方式,它强调的是事物内部各组成部分之间的相互联系、相互作用,它们共同实现整体目标的方式。

机制更像一套运行支撑的组合动作,涉及人、流程和工具等,提出一套保障措施。因此,它强调风险导向、工作闭环、明确权责,关注大方向要做什么,至于具体怎么做,可通过“流程”和“工作”去实现,它解决的是企业的动力和活力问题。

图片
  • 法律法规“安全大机制”VS企业“安全工作机制”

法律法规的“安全大机制”,指明网络安全和数据安全领域的重要方向,对国家相关部门、相关企业、相关行业提出大要求。

企业侧的“安全工作机制”,是指企业组织安全工作时,需要建立工作保障机制,确保安全合规、管理、运营等各类工作的落实,变成更加具体的要求。比如建立的一套成体系、可落地的规则、流程、技术手段与责任分工的组合。

二、国家:法律法规“安全大机制”

这次简要梳理我国重要法律,看看它明确提及了哪些机制或隐性提出了哪些机制,掌握安全领域的“大方向”。

(1)《网络安全法》

  • 网络安全等级保护机制

国家实行网络安全等级保护制度,网络运营者应按照要求履行安全保护义务,包括制定内部安全管理制度和操作规程、采取防范网络安全风险的技术措施、监测记录网络运行状态和安全事件并留存相关网络日志不少于六个月、采取数据分类和重要数据备份加密等措施。

  • 网络安全监测预警与应急处置机制

国家建立网络安全监测预警和信息通报制度,及时掌握网络安全态势,发布网络安全预警信息。网络运营者应当制定网络安全事件应急预案,及时处置安全风险,发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

  • 网络安全审查机制

关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

(2)《数据安全法》

  • 数据分类分级保护机制

国家建立数据分类分级保护制度,根据数据的重要程度以及对国家安全、公共利益等造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门确定本地区、本部门的重要数据具体目录并进行重点保护。

  • 数据安全风险评估、报告、信息共享、监测预警机制

国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

  • 数据安全应急处置机制

发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

  • 数据安全审查机制

对影响或者可能影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。

(3)《个人信息保护法》

  • 个人信息处理规则机制

明确了个人信息处理活动应当遵循合法、正当、必要和诚信原则,公开个人信息处理规则,明示处理的目的、方式和范围,确保个人信息的安全和合规使用。

  • 个人信息保护影响评估机制

要求个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策等情形下,应当进行个人信息保护影响评估,以评估处理活动对个人权益的影响并采取相应的保护措施。

  • 个人信息跨境流动机制

对个人信息跨境流动作出了严格规定,明确了个人信息出境的条件和程序,要求个人信息处理者在向境外提供个人信息前,应当通过国家网信部门组织的安全评估等。

三、企业:如何落实国家层面的“大机制”

国家通过法律法规的“大机制”明确安全领域重要方向,比如系统层面的等级保护机制、数据层面的风险评估机制和出境安全机制、个人信息层面的个人信息影响评估机制和合规审计机制,通过国家层面的“大动作”,提升国家的整体安全水平。

企业根据“大机制”中要求的大方向指引,参照具体的配套管理规范、办法,开展具体安全工作,比如开展信息系统等保测评工作、个人信息保护影响评估工作、数据安全风险评估工作等。

图片

四、系统:安全运营的重要“工作机制”

国家层面明确安全大方向,企业层面通过配套管理办法和规范,明确安全合规要求,系统层面则关注安全工作的落地和执行。

针对系统侧安全运营,我们该建立哪些重要“工作机制”,把系统的网络、数据、个人信息保护工作要求进行落地实践?可以分为“工作机制”和“安全机制”,如下:

1.工作机制

图片
  • 报告机制:建立安全运营的日报、周报、月报的报告机制,明确报告的主要内容及内容获取方法。
  • 巡检机制:安全运营人员每天、每周组织开展平台安全产品、系统的重要告警巡检,落实发现问题的跟踪处置。
  • 例会机制:与领导建立会议沟通机制,比如双周会,对重要安全事项进行决策;与安全团队及相关人员建立周例会机制,同步工作进展及计划安排。
  • 审计机制:类似第三方视角对安全运营工作开展情况、安全防护措施和监测措施、账号权限、操作行为等开展安全审计工作。

2.安全机制

图片
  • 安全监督机制:组织内外部的安全监督检查机制,周期性对工作情况进行检查和复核,检查工作落实情况。
  • 安全漏洞管理机制:建立漏洞管理制度、漏洞扫描、漏洞整改跟踪等工作要求,形成具体工作机制。
  • 监测预警机制:明确监测能力手段、监测人员、告警处置流程等工作过程。
  • 安全应急机制:制定应急管理制度,建立网络和数据安全事件应急预案,并定期更新;组织安全应急演练,并建立安全应急团队或购买应急服务具备应急处置能力。
  • 风险评估机制:风险评估周期较长,更多从主动识别风险角度,开展评估,寻找系统可能存在风险,然后推动整改,降低风险发生概率。

3.简要总结

本文“机制”是比较抽象的概念,国家法律法规提出“安全大机制”是明确安全的大方向和大的工作机制。企业层面落实“大机制”需要参照更加细致的规范、标准、办法进行落地。企业的安全管理团队及安全运营人员,则需要将这些机制转化成安全层面的工作机制,分解成具体工作上需要重点关注的“大活动”,实际上这些就是我们网络和数据安全运营工作的重点内容。

作者:Smart

来源:合规社