近日,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會����、工業(yè)和信息化部����、公安部���、國家安全部、財政部、商務(wù)部��、中國人民銀行��、國家市場監(jiān)督管理總局��、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局����、國家密碼管理局等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》����,自2022年2月15日起施行�。
【重點解讀】01
第一條 為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全���,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全���,維護國家安全�����,根據(jù)《中華人民共和國國家安全法》����、《中華人民共和國網(wǎng)絡(luò)安全法》���、《中華人民共和國數(shù)據(jù)安全法》�����、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,制定本辦法�����。
解讀:關(guān)鍵信息基礎(chǔ)設(shè)施包括電信、廣播電視����、能源���、金融、公路水路運輸��、鐵路�����、民航���、郵政�、水利���、應(yīng)急管理���、衛(wèi)生健康�����、社會保障��、國防科技工業(yè)等重要行業(yè)和領(lǐng)域。一旦遭到破壞���、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全���、國計民生�、公共利益的網(wǎng)絡(luò)和信息系統(tǒng)。此次修訂依據(jù)《網(wǎng)絡(luò)安全法》���、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》�����,旨在確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全����,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護國家安全。
【重點解讀】02
第二條 關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)�����,網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的�����,應(yīng)當(dāng)按照本辦法進行網(wǎng)絡(luò)安全審查���。
解讀:意味著一般數(shù)據(jù)處理者(網(wǎng)絡(luò)平臺運營者)的數(shù)據(jù)處理活動也被納入網(wǎng)絡(luò)安全審查范圍�����,適用的范圍更加廣泛�����。依據(jù)《數(shù)據(jù)安全法》可以了解到數(shù)據(jù)處理活動包括數(shù)據(jù)的收集、存儲、使用���、加工、傳輸、提供���、公開等活動����,關(guān)鍵信息基礎(chǔ)設(shè)施運營者、網(wǎng)絡(luò)平臺運營者對于數(shù)據(jù)的處理活動是《網(wǎng)絡(luò)安全審查辦法》重點關(guān)注的����,這有可能涉及到國家安全。對于數(shù)據(jù)處理過程中的安全防護����,昂楷提供了一套數(shù)據(jù)安全解決方案����。
數(shù)據(jù)全生命周期安全防護
【重點解讀】03
第七條 掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市��,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。
解讀:過去中國監(jiān)管部門一度不允許電信、互聯(lián)網(wǎng)等關(guān)鍵行業(yè)公司直接在海外集資或上市?����,F(xiàn)在如果網(wǎng)絡(luò)平臺運營企業(yè)因為某些因素一定需要在海外上市,《網(wǎng)絡(luò)安全審查辦法》要求上市前需要申報網(wǎng)絡(luò)安全審查���,在事前的監(jiān)管上加大力度。境外上市存在關(guān)鍵信息基礎(chǔ)設(shè)施����、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響�����、控制�、惡意利用的風(fēng)險。對于數(shù)據(jù)安全昂楷的思路是先梳理�,再防護����,最后持續(xù)運營���。先將數(shù)據(jù)資產(chǎn)進行梳理分級,然后制定數(shù)據(jù)安全策略�����,建設(shè)安全系統(tǒng)�����,持續(xù)運營�。
數(shù)據(jù)安全治理實施模型
【重點解讀】04
第十條 網(wǎng)絡(luò)安全審查重點評估相關(guān)對象或者情形的以下國家安全風(fēng)險因素:
(一)產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制�、遭受干擾或者破壞的風(fēng)險�;
(二)產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害�;
(三)產(chǎn)品和服務(wù)的安全性���、開放性�����、透明性�����、來源的多樣性����,供應(yīng)渠道的可靠性以及因為政治、外交����、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險;
(四)產(chǎn)品和服務(wù)提供者遵守中國法律�����、行政法規(guī)、部門規(guī)章情況���;
(五)核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個人信息被竊取���、泄露��、毀損以及非法利用�、非法出境的風(fēng)險;
(六)上市存在關(guān)鍵信息基礎(chǔ)設(shè)施����、核心數(shù)據(jù)�����、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風(fēng)險,以及網(wǎng)絡(luò)信息安全風(fēng)險�����;
(七)其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全����、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素���。
解讀:針對關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制�、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露�����、毀損的風(fēng)險。關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全防護要通過識別認定���、安全防護、監(jiān)測預(yù)警這三個主流環(huán)節(jié)來進行�����,其中識別認定包括了資產(chǎn)識別和風(fēng)險識別;安全防護包括鑒別與授權(quán)���,入侵防范�,數(shù)據(jù)安全防護以及自動化工具等����。
1�、數(shù)據(jù)安全分類分級系統(tǒng)����、數(shù)據(jù)庫漏掃描系統(tǒng)
昂楷數(shù)據(jù)安全分類分級系統(tǒng)能夠識別出數(shù)據(jù)資產(chǎn)并進行分類分級,基于資產(chǎn)類別����、資產(chǎn)重要性和支撐業(yè)務(wù)的重要性,對資產(chǎn)進行優(yōu)先排序���,確定資產(chǎn)防護的優(yōu)先級。數(shù)據(jù)庫漏掃描系統(tǒng)能夠識別關(guān)鍵業(yè)務(wù)鏈各環(huán)節(jié)數(shù)據(jù)庫的威脅���、脆弱性�,確定風(fēng)險處置的優(yōu)先級���,形成安全風(fēng)險報告。
2�、數(shù)據(jù)庫審計�、數(shù)據(jù)庫防火墻
數(shù)據(jù)庫審計和數(shù)據(jù)庫防火墻進行聯(lián)動���,能夠?qū)τ脩?���、服?wù)或應(yīng)用�、數(shù)據(jù)等進行安全管控,對于重要業(yè)務(wù)操作或異常用戶操作行為進行監(jiān)控,對數(shù)據(jù)庫的違規(guī)操作行為進行訪問控制�。通過系統(tǒng)內(nèi)置的安全規(guī)則��,及時識別并阻斷入侵和病毒行為�����。
3、數(shù)據(jù)庫加密���、數(shù)據(jù)脫敏和數(shù)據(jù)水印溯源技術(shù)
數(shù)據(jù)庫加密、數(shù)據(jù)脫敏和數(shù)據(jù)水印溯源技術(shù)能夠嚴(yán)格控制重要數(shù)據(jù)的公開����、分析�、交換、共享和導(dǎo)出等關(guān)鍵環(huán)節(jié)��,保護敏感數(shù)據(jù)安全�����。
4��、數(shù)據(jù)安全綜合治理平臺
通過數(shù)據(jù)安全綜合治理平臺整合昂楷或其他廠商提供的各數(shù)據(jù)安全產(chǎn)品作戰(zhàn)單元,整合終端安全����、網(wǎng)絡(luò)安全等作戰(zhàn)單元��,利用大數(shù)據(jù)關(guān)聯(lián)分析引擎���,AI分析引擎統(tǒng)一分析各單元的威脅情報�,對關(guān)鍵業(yè)務(wù)所涉及的數(shù)據(jù)庫的所有監(jiān)測信息進行整合分析,及時關(guān)聯(lián)、分析關(guān)鍵信息基礎(chǔ)設(shè)施的安全態(tài)勢,并且可智能的通過全自動或半自動的模式指揮調(diào)度各數(shù)據(jù)安全作戰(zhàn)單元對威脅進行防控。
關(guān)鍵信息基礎(chǔ)設(shè)施安全防護解決方案
【處罰與法律責(zé)任】
第二十條 當(dāng)事人違反本辦法規(guī)定的����,依照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》的規(guī)定處理。
解讀:《網(wǎng)絡(luò)安全法》第六十五條規(guī)定���,對于應(yīng)當(dāng)申報網(wǎng)絡(luò)安全審查而沒有申報的����,或者使用網(wǎng)絡(luò)安全審查未通過的產(chǎn)品和服務(wù)��,由有關(guān)主管部門責(zé)令停止使用�,處采購金額一倍以上十倍以下罰款;對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款�����。
《數(shù)據(jù)安全法》對數(shù)據(jù)安全違法行為賦予了多項處罰說明,對違反國家核心數(shù)據(jù)管理制度����,危害國家主權(quán)�����、安全和發(fā)展利益的�����,由有關(guān)主管部門處二百萬元以上一千萬元以下罰款,并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓��、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照�����;構(gòu)成犯罪的,依法追究刑事責(zé)任���。
根據(jù)國家互聯(lián)網(wǎng)信息辦公室通知���,目前�,部分企業(yè)已經(jīng)被進行了網(wǎng)絡(luò)安全審查,比如滴滴出行、運滿滿�、貨車幫����、BOSS直聘等。數(shù)據(jù)安全成為國家安全的重點。未來�����,網(wǎng)絡(luò)安全�、數(shù)據(jù)安全審查態(tài)勢將更加嚴(yán)格化����。
題-4.jpg)
