3月23日，江蘇省企業信息化協會【課堂+V課堂】第59期，德勤中國信息風險咨詢服務合伙人施建俊就中國網絡安全以及如何應對網絡安全存在的新挑戰展開了精彩分享。

一、分享嘉賓

??

[[188066]]

德勤中國風險咨詢服務合伙人 施建俊

1. 個人簡介

德勤中國風險咨詢合伙人、工學博士、上海交通大學信息安全工程學院副教授;

項目管理協會(PMI)和信息系統審計與控制協會(ISACA)會員、上海市政府采購咨詢專家。

2. 所獲榮譽

在任職上海交通大學信息安全工程學院副教授期間，長期從事信息安全教學和科研工作，曾發表十余篇科研論文，領導過多個國家信息安全研究項目，并曾獲得上海市科技進步一等獎。

3. 擅長領域

自2006年加入德勤中國，專業從事信息技術風險管理、信息安全管理、IT服務管理咨詢、業務連續性管理、IT外包管理咨詢，以及信息系統審計和SOC1/2見證等工作;

在金融銀行、高科技行業領域以及云計算等高科技企業提供各類IT咨詢服務，尤其在云計算等新技術的風險、安全和合規方面有豐富經驗。

二、演講主題

《中國網絡新紀元 如何應對網絡安全新挑戰》

三、大綱演講

1.中國網絡安全法概述

2.網絡運行安全

3.個人信息安全保護

4.如何與信息監管機構的互動

5.分享總結

四、原文實錄

原文實錄context：

首先，我會跟大家簡單介紹一下網絡安全法立法的一些背景以及目前的一些現狀，然后針對網絡安全法當中特別關注的三個領域，網絡運行安全、個人信息保護，以及今后與監管機構的互動進行展開，同時總結一下，大家為了有效應對即將到來的網絡安全法所應該采取的關鍵行動。

??

網絡安全法從最初醞釀一直到3次征求意見稿當中大概歷時了兩年的時間。對于這樣一個非常技術性的領域，這樣的一個立法工作兩年時間是一個非常短、非常迅速的一個時間，也是近年來立法從醞釀到最后正式人大通過時間非常短的一部立法，所以在這個過程當中，大家看到這個法的時候會覺得其中還是有很多待確定的問題。比如說里邊還是有諸多的有“關部門”沒有給予很明確的界定，諸多技術要求尚未有配套的監管細則和技術標準。所以該法推出來之后很多相關的部門、相關的企事業單位覺得落地困難的地方。

當然，從去年11月份開始一直到現在，很多相關的監管方，包括像網信、公安、銀監等，都在針對我們的網絡安全法當中所提出的各項要求制定細則。網絡安全法的推出，把原來網絡安全、信息安全這樣一個技術的領域、商業領域當中的問題上升到了一個國家所關注的戰略高度，并且將網絡安全作為在中華人民共和國境內，不管是建設、運營、維護，還是使用網絡的每一個個人，每一個企事業單位所應盡的一項義務，而不僅僅是一個技術的問題或企業內部的管理問題。

??

網絡安全法共有七個章節，第一、第二個章節，明確了一些總體的原則，以及國家和有關的部門所應該做到的一些總體事務;第三章開始，三、四、五明確了網絡運營者，每個個人所應該承擔的職責和義務;第六章明確了一旦未能盡盡責，所應該承擔的責任和相關處罰規定。

從整個網絡安全法立法者的意圖來看，其中明確了三個核心的概念：

第一，首次明確了網絡運行安全這個概念，明確了所有的網絡運營者所應該承擔的保護義務、自己的職責以及在網絡運行當中一些關鍵的網絡設備、網絡安全專用設備、專用產品該如何進行相關的保護和部署;同時也明確了所有的主體對于網絡安全事件一旦發生后，在應急過程當中所應該承擔的職責。

第二、網絡安全法當中首次系統地闡述了對個人信息保護的要求。雖然之前其它的一些法律和行業規章中對個人信息保護也有所提及，但是這次的網絡安全法把它上升到了一個國家立法的層面，并且闡述得比較完整，包括了個人對自己個人信息的權利，對企事業單位、網絡運營者對個人信息的保護要求，以及相關的投訴舉報和處理機制和處罰要求等。

第三、在網絡安全法中首次明確了每一個相關的單位、個人和網絡運營者對安全風險評估，安全事件上報，參與相關演練，并且和有關部門進行信息共享和相關的上報的機制的義務。

??

在網絡安全法當中，首次提出了關鍵信息基礎設施運營者這樣一個概念。首先，對于網絡運營者來說并不僅是我們通常意義上理解的像電信、互聯網公司這樣一些對外提供服務的企業，它對于每一個使用到網絡，管理網絡的企業和個體都有可能涉及其中。各種網絡的管理者、運營者、所有者、使用者里邊特別強調了一類叫做關鍵信息基礎設施。在網絡安全法當中，沒有對關鍵信息基礎設施給出明確的界定，但是對關鍵信息基礎設施它所應該承擔的職責和義務給出了一些明確的要求。

其中很多要求是非常的高的，什么樣的信息基礎設施才會被界定為關鍵信息基礎設施?可能是我們很多企業非常關注的，自己會不會被列為這樣一個關鍵信息基礎設施，受到比較高的監管要求和關注。根據目前網絡安全的主管機構、網信辦的一些精神，現在理解關鍵信息基礎設施可能分為三類，包括網站類、平臺類和業務類，網站類如我們的黨政機關的網站，企事業單位的網站，新聞網站等等，都有可能會認為是關鍵信息基礎設施，因為它是向公眾進行展示的。平臺類如我們經常使用的QQ、微信這類的即時通訊，淘寶這類網上購物，支付寶這樣的網上支付，搜索引擎、電子郵、論壇、地圖、音視頻等網絡服務平臺。如果它的注冊用戶數足夠多，活躍用戶數量很大，到了一定的門限值之外，也有可能會被認為關鍵。另外還有一些可能對國計民生產生重大影響的業務類系統。

確定這些類別當中的系統是否屬于關鍵信息基礎設施，通常可以有三個步驟，由我們的網絡安全主管部門網信辦來進行確認：

第一，確定關鍵業務，就是說這個業務是不是對國計民生，對大眾有很大的一個影響。

第二，根據所確定的關鍵業務來看，支撐這個關鍵業務的信息系統或者工控系統到底是什么。

第三，根據關鍵業務對信息系統或公共系統的依賴程度，以及發生安全事件后可能造成的損失，來認定它是否屬于一個關鍵信息基礎。

認定的條件非常多，那么有幾個關鍵的數字，可以跟大家分享一下，就目前的一個把握尺度。對于網站內來說，它的判斷要求很高，判斷準則很多，其中有一個判斷數量，比如說你的日訪問量是超過100萬人次的網站就會認為是一個關鍵信息基礎設施。對于平臺類的，比如說你的注冊用戶數超過了1000萬，或者說活躍用戶超過100萬，就會認為是關鍵信息基礎設施。對于一些交易類的，他的日成交訂單額或交易額超過1000萬元，就會被判定為是關鍵信息基礎設施。

按照判斷標準來看，我們會看到大量的互聯網平臺，金融機構的信息系統，都有可能會被定義為關鍵信息基礎設施，所以關鍵信息基礎設施的覆蓋范圍可能是非常廣泛的，它們都需要遵循比較高的網絡安全法當中所提出的網絡運行安全的要求。

??

??

下面我們來看一下其中所提到的網絡運行安全當中所特別關注的一些要點，網絡安全法當中關于網絡服務提供者，即通過網絡提供服務的表述的覆蓋范圍實際上是非常廣泛的。它可以指向任何使用網絡為媒介提供服務的主體，這不僅包括以網絡在線業務為主體的這種互聯網企業。比如說應用商店、電商、網約車平臺等等，也有可能包括因其線下業務向線上延伸，而同樣需要借助網絡的一些傳統的線下企業，甚至于制造業企業。

因此，網絡安全法基本上覆蓋了當前網絡服務業態的各個方面。我們會看到對于一個普通的網絡運營者來說，這里的網絡運營者包括了網絡的所有者、管理者以及網絡服務的提供者，不僅僅是擁有者這么簡單。同時，對于像網絡防病毒、網絡防入侵、數據分類、備份加密、網絡事件的應急預案，網絡設備和產品的選型選擇，以及在服務提供過程當中的實名制注冊以及所選用的網絡、安全產品和服務，須符合相關的國家強制標準的要求等等。應該說大多數內容都是比較常見和普通的一些網絡全要求，之前很多企業也都是這么做的，除了一些像實名制、產品的一些選型要求等等，可能不太注意，很多工作日常可能也都在做，但是現在成為一個法律要求之后，任何一個網絡的相關的運營者、所有者、管理者都成為一項法定的義務。

對關鍵信信息基礎設施運營者而言，除了要做到一般的網絡運營者所應盡的義務之外，它還有更高的一些要求，可以看到在一些點上提出了明確的要求。比如說在人員上，提出了專門的安全機構和專門的信息安全的專崗人員，并且對相關的人員要進行定期的培訓和考核，尤其是安全相關的管理和技術人員。對于相關的系統，它的系統的可靠性，數據的容災備份，相關的應急預案，定期演練的要求等等，也是給出了明確的一個法律的要求。在采購相關的網絡安全產品和服務的時候還提出了安全審查的義務，在采購供應商的關鍵產品和服務的時候，提出了需要將相關的(安全審查的義務)。

對關鍵信息基礎運營者還強調了一個特別重要的概念，就是數據跨境傳輸的要求，對于所有的在中華人民共和國境內所收集或者是產生的個人信息以及其它重要業務數據，必須首先在中華人民共和國境內進行存儲。如果說確因業務需要向國外進行傳輸，則要經過有關部門的安全評估和審查備案。這一點是很多跨國企業在國內開展業務，或是國內企業走出去的過程當中需要全球共享信息的時候，可能會遇到的一個新的合規的挑戰。

目前，數據跨境傳輸的問題，網信辦正在牽頭有關部門和各行業的監管組織制定細則，這個問題到現在還沒有一個明確的答案，但是至少有一點：在國內必須要留存相關的數據，直接存放在境外的行為在2017年6月1號之后會成為一個違法的行為。

有一點需要強調，對于關鍵信息基礎設施運營者而言，法規里邊提出了多處定期開展風險評估、信息安全評估等要求，就是說你必須要接受國家或者相關第三方對你的定期監督檢查，并且相關的結果要及時和有關部門進行溝通，確保整個的運營過程當中持續的安全與合規。這些要求以前可能都是散落在不同行業監管組織的一些部門規章里邊，但現在這些變成了意向普遍的法律要求。

??

接下去我們來看一下網絡運行安全。網絡安全涉及的點非常多，但里邊有幾個關鍵點跟大家進行一些分享：

第一個是關于數據安全。我們注意到在網絡安全法當中有多個條目都提到了數據安全，包括強調了我們每一個網絡運營者都有義務來維護整個數據的完整性、保密性和可用性等。防止數據的泄密或者說被盜竊篡改，并且要求對數據進行分類，對于重要數據要進行備份、加密等措施進行保護等。

??

同時，對于重要系統要進行容災備份，對于個人信息提出了明確的安全管理要求。如何才能系統化地應對網絡安全法當中對數據安全所提出的要求呢?我們認為整個企業應該有一個數據安全的治理框架來進行一個明確的應對，否則，很容易注意到這個點卻疏忽了另外一個點。

??

整個的核心是數據的分類、分級的框架，即任何一個企業必須要對自己企業所采集、生成、使用和可能分享的數據要有清晰的了解，要知道企業自己到底有哪些數據，這些數據它的重要程度到底是怎么樣的，因此首先要有一個分類、分級的框架。有了這個框架之后，大家可以看一下這張圖當中所闡述的一個比較常見的，用來幫助我們維護企業數據安全的總體的一個方法論。

首先，企業要從自己的業務場景出發，對自身的數據進行分類、分級，識別數據的范圍，明確需要保護的關鍵數據到底是什么?同時，要識別數據的使用場景。所謂的使用場景就是數據從它的收集、使用、分享、歸檔、銷毀等生命周期的各個環節當中到底有哪些使用場景?誰會接觸到它?它會在哪些載體當中以什么形式存在?哪些使用途徑是允許的?哪一些是不允許的?然后根據所識別的風險場景去評估現有的管控措施是否足夠應對數據安全的所可能遇到的危險，以及滿足相關法律法規的合規性要求。

對于不同要求、不同級別的數據，在其全生命周期當中，都應該遵循一套一致性的安全保護基本要求，也就是分級的要求。我們要針對不同的級別的數據定義對應的安全保護要求，在整個生命周期環境當中確保沒有盲點，沒有漏洞。對于所識別出來需要實施的管控，應該當對照所制定出來的不同級別的數據安全的標準，制定相關的管控和技術實現藍圖。可能這里邊包括各種數據防泄漏的技術體系，用戶行為分析體系等，也包括常見的加密、認證體系等，都要針對不同級別的數據，來進行制定不同要求和強度的安全解決方案。

??

有一個非常關鍵的，也是這次網絡安全法當中特別強調的概念。以前針對數據安全，大多數企業強調的都是預防和檢測，但是很少有考慮一旦真的發生數據的泄露的情況下，該如何進行應急的處置，是否準備了相關的預案。往往很多企業都是在被媒體或監管捅出來，相關的數據可能已經有造成了大范圍的影響，然后手忙腳亂地去進行相關的危機公關和處置。過程中往往缺乏證據保全、根因分析和消除、主動溝通等機制，并沒有一個很完整的應對數據泄漏的緊急預案。這一類緊急預案是這次網絡安全法中明確要求企業建立的。

強調網絡安全事件的應急響應機制是在這次網絡安全法當中的一個亮點，它多處提出了需要對網絡安全的應急事件有一套明確的管理框架，這樣就可避免一些網絡安全事件從比較小的程度，但由于缺乏相應的應對的機制，使之慢慢擴大、上升到了一個危機。再好的事前的管控體系也難免會有意外的網絡安全事件發生一個健壯的危機防范措施或者說危機管理程序是十分必要的。網絡安全事件的發生本身并不是可怕的，怕的是我們在發生的時候處于一種慌亂無序的狀態，只要我們企業有一個預先的準備，有一個科學合理和健全的警戒、響應和恢復的機制，并且通過事后的評估吸取經驗教訓，就可杜絕類似事件的重復發生。

??

上圖是網絡安全法希望大家所能夠做到的程度。為了達到這樣一個狀態，我們需要在整個網絡安全事件的發生前、發生中以及發生后都做到有條不紊，即使發生安全事件，處理的時候也是井然有序。我們要對可能產生的，可能也是無法避免的，各類網絡危機事件，做到有條不紊的管理和應對，總體上來說要有六大核心能力：包括對網絡危機管理的一個治理能力，合理的科學的應對策略，它們不僅需要書面化的流程，還需要有配套的技術平臺，來幫助我們快速的恢復和應對。同時，我們的業務運營要足夠的健壯。一方面盡量避免出現相關的危機事件，另一方面在危機事件出現之后，也能夠迅速的調整和恢復。另外，要有充分的風險和合規的意識，以及溝通應對的技巧。最后，出問題不怕，怕的是出同樣的問題。

??

??

下面和大家簡單看一下網絡安全法當中第二個非常關鍵的領域——個人信息保護。網絡安全法對個人信息給出了一個明確的定義，個人信息是指以電子或者其它方式記錄的，能夠單獨或者與其它信息結合，識別自然人個人身份的各種信息，但不限于姓名、出生日期、身份證號碼、個人生物識別特征、住址、電話號碼等。

里邊需要有一個概念跟大家分享，這里邊的個人信息和另外一個名詞隱私是略有差別的。個人信息可能是一種隱私，但是隱私的信息里邊不完全是個人信息，例如個人信息里邊的宗教信仰，在中國經常會有表格里邊希望大家填一個民族，大家會填一個我是漢族或其他民族。在中國法律里邊或者說通常的概念當中民族信息不是隱私信息，但是在有一些國家當中，會認為民族信息、宗教信仰是個人的隱私信息，是受到法律的保護的。所以個人信息和隱私保護的范疇是不完全一樣的，這兩者是不同的概念，隱私更多是各國法律層面的以及當地風俗習慣的一個概念，而個人信息，更多是信息本身的一個定義。

??

我們還是根據比較常用的亞太經合組織個人隱私保護的九原則，來看一下這次網絡安全法當中相關的法條，它是怎么樣進行相關的規定的，這個比較容易理解一些：

首先要有一個框架來預防個人信息或隱私信息的受損，所以在我們法當中要求網絡運營者，不僅是關鍵信息基礎設施;同時，所有的網絡運營者都要建立相關的投訴舉報制度等等，來確保相關的損害，或者說相關的違規行為能夠得到及時有效的處理。

于告知原則，法律中明確網絡運營者在使用個人信息的時候應該公開自己在收集相關信息過程當中網絡運營者應當是合法、正當、必要，不得收集與所提供業務無關的個人信息。現在有很多網站，很多的服務提供者，它們所給出的收集的的理由往往比較牽強。例如大家在安裝一些APP的時候，他會要求你同意他使用你的什么什么信息，但是你多想一下的話，他要訪問你的一些通訊錄，個人的相冊等等和它本身提供的服務是未必有關的，以后這類都是違法行為。

對于個人資料使用的過程當中，未經被收集者同意，你是不得向他人提供個人信息的。這一條事實上對于現在很多現在大數據的應用，尤其是對數據進行二次加工的一些企業，是有很大的影響的。雖然說這里明確經過處理之后無法識別特定個人且不能復原的除外，但是目前尚缺乏相關的技術標準或者說判定原則來評估經過什么樣的處理就無法識別了。因為國外有很多案例，經過常規的脫敏處理之后的數據，經過多次迭代和關聯性分析之后，仍然能夠定位到相關的個人。所以說這條原則的使用目前來說還缺乏相關的技術標準的或者配套的法律法規支持，很有可能在實際的應用過程當中會造成一些歧義。

當事人自主選擇，你不同意，信息被采集的人應該有自己的一個自主選擇權，同意或不同意，而不能通過一些格式合同進行一個很粗暴的一個規定。對于網絡運營者收集來的信息，他有義務來保證這些信息不被泄露、篡改和損毀。對于信息的被收集者，如果說他希望能夠刪掉自己的信息，運營必須要提供這樣的功能和技術手段，徹底的刪除他的信息，這對于有一些企業實現起來可能還是有難度的。比如說像我們搜索的一些提供者，包括我們很多網絡服務的提供者他的信息。

企業構建，個人信息保護能力，經常要問一下自己到底該做什么?通常我們會問一下自己三個問題：

第一、我到底要保護什么?對外可能是要保護我們的客戶，我們潛在客戶的個人信息，對內可能是保護我們自己員工的、合作伙伴的個人信息。那么保護的目標到底是什么?可能是為了符合我們像網絡安全法或者行業的其它一些個人信息的保護要求。還是為了真正的贏得我們客戶的信任?從自己的業務角度是需要切實的保障我們的客戶數據。到底我們的目標到底是什么?不同的目標可能造成我們實際在推動這項事情時的做法不同。

我們到底該如何保護?一旦界定了我們的保護對象和保護目標，就可以確定我們如何去保護。這里邊個人信息的保護和我們前面講到的另一個重點，數據安全的保護有很多的相同點，也有一些不同點。就相同點來說，個人信息本身也是數據的一種，而且往往會通過數據的分類和分級之后識別為很重要、很關鍵、安全級別很高的、需要保護的一類數據，所以前述數據安全通用的分類、分級以及數據流圖分析方法、風險識別、管控設計等等，同樣適合于個人信息保護。但是信息保護不僅僅是一個數據安全保護，它同時也是一個監管合規要求。我們會看到對個人信息保護里面有很多法律義務：我們有使用告知的義務，我們有二次加工和一個是否能夠對個人信息進行二次加工、二次利用的這樣一個法律的義務等等很多。這些的法律的規定的對個人信息的保護義務又和通常意義上我們自己所產生的業務數據的安全保護要求不完全一樣。所以說個人信息的保護和數據安全既有相同點，但又不完全是一回事。

如果要確保個人信息得到妥善保護，復核法律法規的要求以及我們管理層目標，以及對我們客戶承諾的落地，需要結合我們自己的相關的管理流程，相關的信息技術，兩個方面著手來解決這樣有個人信息保護的難題。從管理上來說對個人信息保護它涉及到個人信息的保護的治理架構，就是誰有責任去來管好這個事兒，如何才能管好(安全管理體系)，個人信息萬一泄露后的處理，客戶權益的保障，以及對可能會使用到、利用到我們個人信息的或者說可能會共享的供應商關聯方的一個管理等等，涉及面是及其廣泛的。

從公司治理層來說，他們需要對個人信息或者隱私保護制定一個總體的策略，到底我們打算對拿來的個人信息做怎樣的一個處理，然后圍繞著該策略建立對應的治理架構，建設相配套的管理方針、管理流程、技術標準，以確保策略落地。同時要把相關的個人信息保護的意識、要求、技能，通過相關的培訓傳遞到公司內部、外部所可能涉及的使用者，管理者，以及相應的程序設計人員。要做到“Privacy by Design”，就是所謂的從設計之初就把個人信息保護嵌入到整個的系統設計和管理過程中去。在實際操作過程當中，要把我們制定的各種事件通報機制、物理安全機制、數據傳遞機制、銷毀機制、隱私聲明等都落到實處，并且通過持續的有效性評估，來保證這些管理要求都能夠有效地執行，并且定期的進行優化和調整。

這里跟大家分享一個汽車制造企業的案例。他們在實施個人信息保護的過程中的路徑圖大致如圖所示。他們實施這項工作的初因還不是由于《網絡安全法》的出臺，而是由于另外一個法規——《新廣告法》，它里邊也對個人信息保護提出了要求，對企業所收集的個人信息在廣告利用當中做出一些明確的限制。所以很多企業家為了遵循相關的法律，已經開始做了這部分的工作，其建設思路和網絡安全法的要求基本是一致的。

??

從公司治理層來說，他們需要對個人信息或者隱私保護制定一個總體的策略，到底我們打算對拿來的個人信息做怎樣的一個處理，然后圍繞著該策略建立對應的治理架構，建設相配套的管理方針、管理流程、技術標準，以確保策略落地。同時要把相關的個人信息保護的意識、要求、技能，通過相關的培訓傳遞到公司內部、外部所可能涉及的使用者，管理者，以及相應的程序設計人員。要做到“Privacy by Design”，就是所謂的從設計之初就把個人信息保護嵌入到整個的系統設計和管理過程中去。在實際操作過程當中，要把我們制定的各種事件通報機制、物理安全機制、數據傳遞機制、銷毀機制、隱私聲明等都落到實處，并且通過持續的有效性評估，來保證這些管理要求都能夠有效地執行，并且定期的進行優化和調整。

這里跟大家分享一個汽車制造企業的案例。他們在實施個人信息保護的過程中的路徑圖大致如圖所示。他們實施這項工作的初因還不是由于《網絡安全法》的出臺，而是由于另外一個法規——《新廣告法》，它里邊也對個人信息保護提出了要求，對企業所收集的個人信息在廣告利用當中做出一些明確的限制。所以很多企業家為了遵循相關的法律，已經開始做了這部分的工作，其建設思路和網絡安全法的要求基本是一致的

??

網絡安全法中最后的一個要點是網絡運營者和監管的互動。這個在之前的其它的法律當中是沒有明確提出的，而網絡安全法當中很多條款都提出了需要和有關主管部門進行溝通的要求。我們對《網絡安全法》的法條進行了一些梳理和總結，如圖所示，看到在整個網絡安全法當中需要和我們的監管組織進行互動的大概有十一處，其中有五處是針對我們的關鍵信息基礎設施的運營者的，其它的是普適性的。包括我們在發現網絡安全漏洞或者說相關的問題的時候，網絡的運營者的告知義務;也包括和相關的部門進行協同、協助配合的一個義務，這些相關的事項在以前的法律中是不明確的。

??

今后和監管之間進行打交道的可能不僅僅是我們企業的合規部門、財務部門等，我們的IT部門、網絡安全部門可能也會成為和監管頻繁打交道的部門。

在這張圖當中，幫大家大概梳理了一下在我們的今后日常工作當中可能打交道的一些國家的監管部門或網絡安全組織，包括多次提到的網絡安全主管部門網信辦，以及可能會協同處理各類安全事件的網絡信息安全通報中心，應急事務管理中心以及國家計算機網絡應急技術處理協調中心等等，這些都是作為國家層面來幫助全社會來應對網絡安全的機構。

不同的行業里面的企業可能還會和自己的行業監管部門來進行打交道，比如說電信互聯網公司可能會和公信部來打交道，國有企業會和國資委打交道，金融機構會和央行一行三會等等的打交道，包括今后的工商、稅務、公安等等，都會和我們有一個持續的動。所以今后我們的整個企業，我們的IT部門，我們的信息安全部門與監管的互動會形成一個常態化。這個過程當中很多網絡安全的事件，就不僅僅是我們企業閉門自己的事情了，而是成為一個依法承擔的一個義務，即我有義務自己發生安全事件之后需要依法向相關部門進行網絡安全的事件匯報。同時我們企業還要依法進行自我合規檢查，確保自己是做到了網絡安全法中的要求。

這里邊跟大家分享一個觀點，就是之前有一些企業曾經提出過，我企業可能并不對外提供一些公眾的服務，為什么我要去遵守一個面向公眾的法律。有網信辦的領導給企業做過這樣一個解釋，雖然說你自己本身所承擔的服務并不會對公眾會產生很大的一個影響，但是如果你沒有做好自己的安全防范工作，你有可能成為別人攻擊的一個對象，會成為別人利用的一個漏洞，會利用你的漏洞對其它正常運行的網絡服務提供者或者公民產生危害。所以每個人在我們現在整個的社會的網絡運營環境當中，都是參與的一份子，沒有人能夠獨善其身。

大家都有做好自己安全防護，合法合規的義務，而不是說我可以不管，因為你不僅僅危害到自己，還可能危害到別人。企業應當積極參與到自己所處行業制定相關的行業標準的過程當中，提出自己的意見，確保自己能夠在其一旦成為規章之后就能夠正常合規。

剛才跟大家分享的是我們經過分析所認為網絡安全法當中三個比較突出的亮點以及大家的關注重點、網絡運行安全、個人信息保護以及今后可能會變成常態化與監管之間的一個互動。正如我開頭所講的，這次網絡安全法立法的時間還是比較短的，所以還有非常多的有待進一步明確和制定進一步的行業標準或者實施細則的地方。

還有有幾個可能也是大家比較關心的一個點，其中一個是關于網絡安全等級保護。等級保護這個名詞是一個大家耳熟能詳的名字，因為我們的公安部門推動信息系統安全等級保護已經好多年了，并且也是卓有成效的。《網絡安全法》當中提出了網絡安全等級保護的概念，那么應該注意到這個等級保護和我們之前的信息系統安全等級保護的提法并不完全一致。網絡安全等級保護是否等同于我們以前的信息系統安全等級保護，目前來說并沒有一個權威的說法，這部分要求還待進一步的細則和落地。

??

??

同樣道理各個行業的監管機構，比如說一行三會，工信部等等，他們也會基于網絡安全法的要求，進一步制定符合各自行業特征的網絡安全的要求，包括數據跨境傳輸的要求，安全評估的要求以及適用于自己行業的管理和技術要求細則等等。據我們所知，現在很多行業監管組織正在緊鑼密鼓地做相關的調研工作，相信在6月1號《網絡安全法》正式生效之前，絕大多數監管機構都會出臺配套的監管要求，也會推出一系列技術標準。包括我們現在正在征求意見的個人信息的保護指南等等，都是和它配套的。之后我們的《網絡安全法》會得到越來越容易操作和執行。

??

最后，我們來看對于我們一個企業來說正在處于這樣一個《網絡安全法》的發布，但是還沒有正式實施的階段我們該做什么呢?這個法律的實施不能等待，所以我們必須首先要自己做好合規的準備，要根據網絡安全法的要求進行自我檢查，發現明顯的差異并及時采取糾正措施或行動計劃，力爭在我們的《網絡安全法》正式生效之前能夠完成必要的調整和相關的整改。當然，《網絡安全法》是一個持續的過程，在對于明顯的問題進行整改的同時，更加需要建立一個全面的網絡安全風險管理體系，對我們企業所能面臨的網絡安全風險進行一個持續的監控，并進行持續的改進，確保我們持續的合規。那么在設計我們體系化的安全防護體系的時候，通常來說我們有很多國際的最佳時限、國際的標準、行業的經驗，可以供大家進行參考，選適合于自己的安全管理框架來進行系統性的、高效的設計自己的網絡安全管理體系。

??

下面是一個我們的網絡安全管理框架的一個示意圖，可以從整個的安全治理來通過我們的安全策略、安全的組織方針、運營模式、意識以及相關的績效，安全績效的衡量方法以及相互的安全基礎設施、安全操作、合規，以及對我們新技術采用過程當中所可能面臨新的風險等等來進行一個全面的應對的框架體系。進一步落地該框架體系的參考的國際標準，國內標準也很多，包括ISO27001相關的體系，美國的NIST，以及我們國內所頒布的的各個行業的一些安全指引和要求都可以作為落地的一個框架。

最后我們簡單總結下今天所講的對網絡安全法的一些初步的一些解讀和認識。網絡安全法是把我們這樣一個比較高深的技術問題通過立法的手段展現到了我們公眾層面。立法當中有多項突破，首先是明確了關鍵信息基礎設施，運營者這樣一個概念，并且對他提出了相關的管理要求，同時對于個人信息保護也是首次全面地闡述了保護要求，并且比較充分的對照到了整個國際上通行的隱私保護框架的方方面面。企業今后的合規要求以及和國家和相關行業的監管機構之間的互動要求，也提出了明確的的一個網絡運營者所應該承擔的一個職責。

從今年年6月1號開始，隨著網絡安全法的正式的實施，不僅會對我們企業的安全部門，也會對我們企業的整個IT，乃至我們企業的整個的管理體系和治理要求都提出新的挑戰，希望大家能夠在這個過程當中預先做好充分的準備，可以比較從容地應對《網絡安全法》可能給我們帶來的新挑戰。

??戳這里，看該作者更多好文??