政务单位网络安全综合合规及评估
2020-07-18荣晓燕刘海峰刘国伟
荣晓燕 刘海峰 刘国伟
摘 要:政务单位需要正确实施网络安全控制,有效抑制网络安全风险,落实到位国家各项网络安全要求。由于电子政务领域无专门的法律规范,与电子政务有关的法律法规等政策文件以及安全标准等要求分散在计算机、互联网、信息化建设、软件保护、电子签名等领域,为有效协助政务单位落实国家和有关部门各项网络安全要求,文章基于《中华人民共和国网络安全法》各项原则要求,以网络安全相关法律法规等政策文件为依据,简单总结了政务网络运营者网络安全合规事项,介绍了政务单位网络安全综合合规评估流程,供政务单位参考。
关键词:网络安全;政务单位;电子政务;信息系统;合规
中图分类号: TP393.08 文献标识码:A
Abstract: Based on e-government departments need to correctly implement cybersecurity control, effectively restrain cybersecurity risks, put in place all cybersecurity requirements of the state, because of the e-government field without special legal norms, laws and regulations related to the e-government policy documents are scattered in computer, internet, information construction, software protection, electronic signature, and other fields. This paper briefly summarizes the cybersecurity compliance matters of the operators of the government network and information system, and introduces the comprehensive compliance assessment process of the government cybersecurity for the reference of the e-government departments.
Key words: cybersecurity; administrative unit; E-government;information system; compliance
1 引言
国家推进“互联网+政务服务”、政务信息系统整合共享、实施信息惠民工程等信息化发展战略,使政务网络及信息系统迎来了重要的发展机遇,与此同时遭受网络攻击的态势也愈发明显,网络安全形势严峻。安全风险是政务网络及信息系统需要面对的问题,攻击者利用系统存在的漏洞以及系统管理上的缺陷,利用APT攻击等手段对政务网络及信息系统实施攻击渗透,造成政务信息系统页面篡改、数据泄露和公众服务瘫痪等问题,严重损害社会公众利益,影响了政府、国家的形象。政务网络安全防护工作任重道远,正确实施安全控制,有效抑制网络安全风险,首先应落实到位国家各项网络安全要求[1~4]。
随着《中华人民共和国网络安全法》(本文简称《网络安全法》)的实施,各级政府、各个行业逐渐细化《网络安全法》的各项基本要求,陆续制定并发布了各项配套的网络安全法规及标准体系。由于电子政务领域无专门法律规范,与电子政务有关的法律法规等政策文件以及安全标准等要求分散在计算机、互联网、信息化建设、软件保护、电子签名等领域,对政务单位网络安全综合合规履职提出了挑战。本文分析了国内网络安全相关的政策和标准,基于《网络安全法》的各项原则要求,简单总结了政务网络及信息系统运营者网络安全合规事项,介绍了政务单位网络安全综合合规的评估流程,供政务单位网络安全履职合规参考。
2 政务网络安全法律法规及标准简介
政务网络安全的工作依据是国家法律体系以及相关的标准文件。
法律体系包括了法律、行政法规、地方性法规和行政规章、地方行政规章四个层次。法律是由全国人大及其常委会制定的,《网络安全法》是我国网络安全领域的基础性法律,详实而全面地设定了网络运营者的安全保护义务,其他几个主要的网络安全相关的法律包括《中华人民共和国密码法》《中华人民共和国突发事件应对法》《中华人民共和国安全生产法》《中华人民共和国电子签名法》《全国人大常委会关于维护互联网安全的决定》等;行政法规是国务院制定颁布的规范性文件,《计算机信息系统安全保护条例》是第一部涉及计算机信息系统安全的行政法規,施行安全等级保护制度。其他行政法规包括《计算机信息网络国际联网管理暂行规定》《电信条例》《互联网信息服务管理办法》《计算机信息系统安全保护条例》《计算机软件保护条例》《商用密码管理条例》等;地方性法规是由省、自治区、直辖市、省会所在地的市以及国务院批准的较大的市的人大和人大常委会制定的,以北京市为例,如《北京市信息化促进条例》;行政规章也叫部门规章,是由国务院的组成部门和直属机构在各自的职权范围内制定的规范性文件,与地方性法规处于一个级别,网络安全经常接触到的部门规章包括《网络安全审查办法》《APP违法违规收集使用个人信息行为认定方法》《计算机病毒防治管理办法》《计算机信息网络国际联网管理暂行规定实施办法》《计算机信息系统安全专用产品检测和销售许可证管理办法》《国际通信设施建设管理规定》《计算机信息网络国际联网出入口信道管理办法》《中国互联网络域名管理办法》《互联网IP地址备案管理办法》等;地方行政规章是省、自治区和直辖市人民政府,以及省人民政府所在地的市的人民政府和国务院批准的较大的市的人民政府制定的规范性文件,以北京市为例,地方行政规章包括《北京市公共服务网络与信息系统安全管理规定》《北京市公共安全图像信息系统管理办法》等。
标准体系包括了国家标准、行业标准和地方标准三个层面。网络安全标准种类多样,层次复杂。按适用范围分类,标准分为国家标准、行业标准和地方标准。国家标准在全国范围内统一。行业标准是在全国范围的某一行业内统一,国务院标准化行政主管部门已批准发布了60多个行业的标准代号。地方标准是指在某个省、自治区、直辖市范围内需要统一的标准。按照约束性分类,标准分为强制性标准和推荐性标准;按照领域类别,信息技术类和信息安全技术类都会涉及网络安全标准。被社会所熟知的《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(简称等保2.0)为信息安全技术类国家推荐标准,该标准虽为非强制性的推荐标准,但在实际工作中作为等级保护工作的标准依据。同等情况诸如《信息系统密码应用基本要求》(GM/T 0054-2018)《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等推荐标准,在实际工作中也作为依据标准。
3 政务单位网络安全合规的主要事项
网络安全工作涉及面广,覆盖难度大。基于《网络安全法》各项原则要求,通过分析国内网络安全政策和标准,总结了政务网络及信息系统运营者网络安全合规的要点及主要要求[5~11]。
3.1 实施网络安全等级保护
按照网络安全等级保护相关要求,依据重要性和遭受损坏后的危害性对网络及信息系统进行定级备案,设计及建设应符合等保2.0技术要求,选择符合国家规定条件的测评机构开展等级测评及整改。建立并逐步健全自上而下的网络安全管理机构和网络安全应急机构,架构设置尽量与行政隶属关系一致,借助行政手段确保网络安全政策的顺利实施。建立人员管理、信息资产管理等安全制度,制定操作规程,规范设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,形成由网络安全规章制度、操作规程等构成全面、系统的信息安全管理制度体系,保障网络安全稳定运行,有效地应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。完善各方安全责任矩阵,做好网络安全教育培训,制定并签订安全生产目标管理责任书,促使员工重视网络安全,落实网络安全责任,落实网络安全事件应对,做到“预防为主、安全发展”。
3.2 对关键信息基础设施实行重点保护
强化关键信息基础设施保护,在网络安全等级保护的基础上实行重点保护,应设置专门的安全管理机构和安全管理负责人;定期对网络安全相关人员进行网络安全教育、技术培训及技能考核;对重要系统和数据进行容灾备份;制定网络安全应急預案,并定期组织演练;对于重要领域采购的网络产品和服务,可能影响国家安全的,应当通过网络安全审查。
3.3 加强网络安全风险管理和应急处置
加强网络安全保障能力,针对信息资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,定期开展风险的测试和评估,为进一步优化安全控制、业务连续性分析、应急恢复等工作提供风险管理的依据。建立单位网络安全信息通报机制,自主监测涉及单位管理范围内的信息资产,提高网络安全保障能力。科学开展网络安全应急响应,建立单位网络安全应急预案体系,做好冗余灾备,开展应急演练工作,做好安全日志记录,对突发网络安全事件进行有效地处置,并按照公共互联网网络突发事件预案要求,对安全事件、安全预警等各类网络安全信息进行分级响应报送。
3.4 落实数据安全保护
对数据进行分级分类;加强个人数据安全保护,收集使用个人信息必须合法正当必要,收集使用公民个人信息目的明确知情同意等;在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
3.5 加强密码应用安全
只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制或者境外生产的密码产品。应对数据进行加密保护,对用户的网上行为进行数字签名安全认证等。
3.6 建立网络平台信息内容审查机制
主动发现、停止传输、报告网络数据中的违法信息,建立信息系统内容审核与过滤制度,加强对信息发布的管理与审核工作;落实互联网信息服务实名制,提供互联网信息服务时,按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后才能注册账号。
3.7 遵守软件正版化及网络安全产品强制认证要求
加强软件正版化工作,规范正版软件管理,采购密码产品、计算机病毒防护产品、列入《网络关键设备和网络安全专用产品目录》的网络安全产品和设备时,需要符合国家产品强制性要求。
3.8 加强终端安全管理
加强终端安全管理,对终端技术设备可能发生的风险各个方面有效管控,通过制度与技术有效结合的方式,减少、杜绝各类风险事件的发生。
4 政务单位网络安全综合合规评估
政务网络运营者依法履行网络安全岗位职责时,应积极采用问卷调查等自查方式,或者寻求与权威安全咨询部门合作等方式,对本单位的网络安全综合合规风险,从管理到技术层面进行全面、系统和客观的评估和检查。综合合规评估应覆盖资产控制、安全组织、应急响应与安全事件、运行管理、人员安全、访问控制、终端安全等领域,做到“应评尽评、综合评估、风险可控”。
综合合规流程可分为摸清资产、明确依据、确定方法、检查评估、差距分析、问题整改六大部分闭环工作,如图1所示。
(1)梳理政务单位信息资产,清理僵尸信息系统(网站),分析梳理数据,加强信息系统(网站)域名和IP地址的管理,通过资产分析,厘清工作范围。
(2)根据工作涉及的范围,确定网络安全综合合规评估的政策依据以及工作落实要求。
(3)确定网络安全综合合规的标准、方法及评估方式。标准、方法应支撑各项合规要点,对于常见的信息系统等级保护评估,评估领域应覆盖信息资产的管理安全检查、物理安全检查、网络安全检查、应用安全检查、终端安全检查等。
(4)实施检查评估,一般采用人工访谈、文档审核、上机核查、现场查看和渗透测试等方法。
(5)根据检查评估情况,对合规事项是否有缺失以及合规落实情况进行差距分析。
(6)根据综合合规差距分析,对存在的网络安全风险及问题实施安全控制整改,有效组织管理和技术风险控制;开展网络安全专项培训,提高安全操作和管理水平,增强安全意识,以查促改,以查促防。
4 结束语
网络安全是一个长远复杂的问题,没有网络安全就没有国家安全,网络安全管理需要长期的不懈努力。网络安全合规是规定动作和基线要求,政务网络及信息系统运营者应高度重视并认真贯彻落实,履职合规,将各项网络安全管理工作落实到位,从而保障电子政务安全。
参考文献
[1] 潘峰,刘旭,王岩,赵婉.北京市政务云运行管理系统的设计[J].电子技术与软件工程,2017,(11):183-184.
[2] 王健铮,李宗建.网络法治下《网络安全法》的法律实践研究[J].现代农业研究,2019(07):119-120.
[3] 张宝增.企业合规管理体系的建设探究[J].中外企业家, 2020(10):41-42.
[4] 杜国功.加强合规管理推动法治央企建设[N].经济参考报, 2020-03-30(006).
[5] 曹興.《网络安全法》监管下的网络安全管理合规及法律对策研究[J].法制博览,2018(06):93-94.
[6] 许可.数据安全法:定位、立场与制度构造[J].经贸法律评论, 2019(03):52-66.
[7] 刘春泉.网络安全法的合规投入是一种投资[J].中国外资, 2017(13):26-27.
[8] 赵赤,王力.全球视野下我国企业合规的完善研究[J].湖南广播电视大学学报,2020(02):55-62.
[9] 刘玉琴.国有企业合规体系建设的思考[J].中外企业家, 2020(09):26.
[10] 李媛.政府门户网站安全政策标准研究及建议[J].网络空间安全,2018,9(10):39-44.
[11] 张志伟,张贺勋,吴泽江,陈远平,袁峭.基于云计算的数据安全与隐私保护[J].网络安全技术与应用,2019(07):63-64.