《《网络安全法》监管下的网络安全管理合规及法律对策研究.pdf》由会员分享,可在线阅读,更多相关《《网络安全法》监管下的网络安全管理合规及法律对策研究.pdf(2页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、法学研究法制博览2018年02月(下)网络安全法监管下的网络安全管理合规及法律对策研究曹 兴对外经济贸易大学法学院,北京 100029摘 要:网络安全法将我国网络安全保障能力提升到新的水平,作为天然气长输管道企业更需要依靠网络安全法律的指引,构建符合天然气长输管道企业发展要求的网络安全保障体系,在公共安全事件发生时,依照网络安全法及企业自身应急预案的要求,采取切实可行的应急措施,保障企业经营活动的正常运转。 中华人民共和国网络安全法实施注定会给天然气长输管道企业的网络安全保障体系建设带来重大影响。本文从解读法条内容,探究符合管道企业特点的网络安全管理体系新模式,履行网络安全社会责任,提升企业的
2、网络安全水平。关键词:管道企业;安全事件;等级保护;关键信息基础设施;网络安全保障体系中图分类号:TN915.08 文献标识码:A 文章编号:2095 -4379 - (2018)06 -0093 -02作者简介:曹兴(1981 - ),男,汉族,辽宁葫芦岛人,对外经济贸易大学法学院,2015级硕士研究生,研究方向:民商法、侵权责任法、网络安全法。一、网络安全法的重大意义网络安全法历经多年,与信息安全等级保护制度相融合,网络空间安全与国家主权安全具有同等重要的地位,但这部法律是宏观层面的,如何指导管道企业遵从我国网络空间法律行为,保护国家秘密,守住网络安全的最后防线,需要对基本法进一步细化,制
3、定相关细则,而一系列法规制度也正在加紧制定,它们共同形成相配套的我国国家网络安全法律体系,为管道企业如何贯彻落实网络安全法指明了方向,解决了一系列问题:一是等级保护制度的法律地位的提升;二是明确对天然气管道信息基础设施的保护范围;三是加强对管道业务数据的加密保护;四是为网络安全管理提供了法律依据;五是突出网络安全合规性及应承担的法律责任。其重大意义在于:(一)网络安全法为预防和降低网络安全风险提供了法律依据现如今各个重要领域的基础设施都已经向着网络化、信息化、数据化的方向发展,各项基础设施的核心部件也都离不开网络信息系统的技术支撑。一个国家要想强大,不仅国家主权要独立,还应具有强大的网络安全防
4、御能力,不受别国干涉,网络安全法为全面推动网络安全防御体系的建立提供了牢固的法律依据。在国际上,已经发生了诸多国家的重点领域遭受攻击事件,主要是因为网络安全防护措施落实不到位。2015年,恶意软件攻击乌克兰电力设施,导致七十万家庭数小时的断电事故,造成严重社会恐慌。 2017年,“永恒之蓝”蠕虫病毒在全球蔓延,以锁定重要数据相要挟,使用户数据遭受重大损失。惨痛的事实证明没有网络安全,就没有国家安全,在预防网络风险方面,网络安全法提供了坚实的法律保障。(二)网络安全法为维护国际网络安全提供了联系纽带网络空间已不再是虚拟的法外之地,它已经与现实世界接轨,成为我国国家主权的一部分,网络安全法在履行国
5、家主权等方面,涉及互联网及相关领域的公共政策,界定了我国网络安全的边界。 网络安全法是国家网络空间主权原则下强有力的法律武器,主权原则也体现了国际义务,既要采取措施减少网络安全威胁、提升国家网络防御能力,也要实现国际共同合作,预防和打击国际网络空间稳定的网络攻击和网络犯罪。网络安全无国界,需要国际社会共同参与、共同治理,共同努力防范和打击跨国网络犯罪。(三)网络安全法彰显了国家法制现代化的治国理念网络空间管理涉及公共安全问题以及公众个人切身利益。网络安全立法秉承“以人为本”、公众参与的原则,立法程序公开、透明,为了遵从网络时代的客观规律,既体现互联网发展的特点,又汲取他国成功经验,确保法律的科
6、学和专业。例如对“关键信息基础设施”的界定,体现了概括加列举的定义方法,采用了内涵加外延的法律范围界定,将那些中断服务、失效或被破坏会危及国家安全、公共健康与安全、危及社会福祉等的设施均列为关键基础设施而予以重点保护。二、网络安全法主要内容的解读网络安全法作为具有强制性的基本法,具有以下特点:坚持网络安全和信息化发展并重原则;提出网络空间主权;强调开展国际合作;建立统筹协调、分工负责的管理体制;重点保护关键信息基础设施;网络突发事件采取“网络通信管制”;充分发挥行业组织自律作用;加大网络安全资金投入。网络安全法的内容与管道企业发展和社会民生又存在着紧密联系,重点从以下三个方面进行分析:一是提升
7、了等级保护制度的法律地位1。将等级保护工作根据重要程度,从低到高分为一至五级。定级一般采取自愿原则,关键信息基础设施的等级保护是强制性义务。等级保护工作内容包括:系统定级、安全域划分、等级安全指标设计、等级安全体系规划、安全等级评测等2。信息系统等级保护标准沿用至今,具有一定的科学性和可操作性,为网络安全等级保护制度奠定了基础,从而提升了网络安全等级保护制度的法律地位3,两者顺利衔接,相互融合,但网络安全法规定了等级保护制度的总原则,可操作性和执行性不强,需进一步出台相关配套细则加以明确,指导等级保护测评工作的开展,明确了重要信息系39万方数据2018年02月(下)法制博览法学研究统及网络安全
8、风险的检查和应急处置工作,强化企业网络安全防御体系建设,提升网络安全管理水平4。二是对关键信息基础设施实行重点保护。纵观国际社会发生的重大网络安全事件,能源信息基础设施已成为网络攻击的目标,关键基础设施仍然是信息安全保障的最核心内容5。例如“永恒之蓝”病毒针对加油站的攻击,我国将关键信息基础设施安全保护上升至法律层面,立法很迫切、出台很及时,说明国家对重要行业和领域网络安全的高度重视,尤其是能源行业的管道企业,对油气设施及坐标数据进行重点安全保护,不仅需要提高油气信息基础设施自身安全,更应当进行一系列制度规范体系建设,建立完善的规章制度6,搭建可落地的制度框架。三是网络安全的核心是信息,数据保
9、护是重点。信息可理解为业务数据,业务数据来自业务的开展过程,因此在业务开展过程中去发现信息的安全保护问题,进而使用信息化手段解决此问题,助力业务发展。数据的安全保护,又分为两方面内容:一是要求各企业切实承担起数据安全的职责,即数据的保密性、数据的完整性、数据的可控性及数据的不可否认性7。二是保障个人对其个人信息的安全可控。但对于国家层面的数据保护,可以说网络安全法仅仅规定了关键信息基础设施上的重要数据应当留存本地。如果将数据真正当成“基础性战略资源”,则国家层面的数据保护至少包含了三项主要内容:数据安全、数据支配权、防止敏感数据遭恶意使用对国家安全的威胁。在这三个方面,网络安全法都欠缺清晰的思
10、路,需要后续制定相应的配套细则加以明确。三、管道企业在网络安全管理上面临的主要问题首先,在基础网络和应用系统建设上的投入是基础,而在网络安全管理上的投入也固然重要,安全的投入不仅是软硬件采购部署,平时的执行管理更加关键,安全投入和安全等级以及数据价值不相匹配。有些企业也无视国家法律法规,不严格执行网络安全管理制度,未履行安全保护义务,面临重大网络安全法律风险。其次,安全的重点不全在于技术,而是在于管理执行,管理措施重要性在于信息安全管理水平,对于明知故犯者应给予严惩。有些企业安全管理水平低下,如管理制度建设不健全,缺乏有效的应急处置机制,员工不自觉或受外部利益诱惑而主动泄密。第三,管理漏洞造成
11、网络安全威胁。普遍存在内外网混用、未启用防火墙、未安装防病毒软件、未及时更新病毒库、随意开放网络端口等管理漏洞,风险防范意识不强,引起黑客的入侵,严重的会造成内部数据的泄密和丢失等损失。第四,缺乏有效的网络安全人才培养机制。信息技术日新月异,尤其是网络安全技术更新较快,未制定长远的网络安全人才培养规划,业务培训水平参差不齐,且防范知识更新较慢,新的网络安全管理知识领会不深,不仅无法尽快培养一批水平较高的网络安全人员,甚至还会造成网络安全人才严重流失。最后,除了基本的网络、设备和存储备份等基础管理以外,数据访问与存放分离,敏感数据加密,访问授权尽量细分和限时等虽然加强了安全防范,但是难免忽视某些
12、环节,使黑客及网络攻击者有机可乘,安全的信息要可视化,能够掌握安全风险来自何处,有针对性的防范,安全防范的措施要有弹性,不能一点被攻破,就全盘崩溃,防守永远无法建立坚固的网络安全防护体系。四、网络安全法对管道企业影响和具体要求过去,只有信息系统等级保护标准及相关法规,而没有法律的强制性规定来要求企业履行网络安全保护这方面的工作,大多数企业的网络安全建设还是比较薄弱的,在网络安全方面不能很好的履行企业的社会责任。一旦爆发网络安全事件,监控预警等网络安全建设比较完善的企业会立即启动应急处置预案,避免遭受病毒入侵感染,能够快速做好应对工作。网络安全法的实施,给企业的安全建设也提供了一定的指导作用,企
13、业做好网络安全防护工作,遵从网络安全保护义务,才能使企业本身的业务防护能力得到提升,国家的网络安全环境治理能力增强,也许下一个“永恒之蓝”就不会大面积爆发传播扩散了。网络安全法作为基础性的网络安全保障法律,企业需要履行应尽的社会责任,遵从网络安全法相关规定,尽到安全保护义务,否则还会触犯民事责任和刑事责任,刑法修正案(九)专门规定了网络服务提供者应履行的相关责任,严重违法还有可能触犯刑法,甚至还会被记录到企业信用档案。网络安全法对企业的信息安全保障工作主要提出了以下几点具体要求:(一)重要系统开展等级保护测评工作,涉密系统依照相关法律要求重点保护;(二)定期开展信息安全风险评估工作,及时处置系
14、统漏洞、防范网络及病毒攻击、黑客侵入等安全风险;(三)提高网络安全岗位人员职业素质及法律合规教育;(四)提高对病毒攻击、黑客入侵、网络诈骗及网络失窃密的防范能力;(五)重视信息安全应急处置,提高信息安全应急响应能力;(六)建立办公内网与互联网分离的网络架构;(七)通过网络监控设备有效监控网络的运行情况,并做好应急预案工作;(八)运用加密设备及加密技术,进行数据加密,重视相关信息的保护。 参 考 文 献 1马欣,王胜开.对建立网络安全审查制度的分析J.互联网天地,2014(06).2严承华,陈璐,赵俊阁等.信息安全工程M.北京:清华大学出版社,2017.3赵林.信息安全等级保护工作取得新进展J.信息网络安全,2007(06).4王伟,戴国强.党政机关网站安全管理规范化建设探究J.信息化建设,2011(08).5刘洪梅,张舒. 2016年国内外信息安全态势J.中国信息安全,2017(01).6尹丽波.网络安全法将促进国家关键信息基础设施保护新局面J.中国信息安全,2015(08).7信息安全保障Z.北京:中国信息安全测评中心,2013.49万方数据