您現在所在位置:首頁 > 新聞資訊 > 安全資訊
聯系我們

咨詢熱線 0731-84117318

對網絡安全負責人崗位的思考

文章出處:丁原鳳 CISP 人氣:1662 發表時間:2019-03-25

落實安全崗位責任制 保障數據管理依法合規

從國內外相關法律法規對數據保護官等數據管理工作的職責描述分析,歐盟《通用數據保護條例》強制要求任命數據保護官以確保“合規”的規定,成為基于問責制合規框架的重要“基石”,美國、德國、新加坡、印度等國也有類似制度。《中華人民共和國網絡安全法》規定的網絡安全負責人以及國家標準《信息安全技術 個人信息安全規范》規定的個人信息保護負責人等制度,雖然在表述上與歐盟的規定不同,但是,其所發揮的崗位功能與前者相似,成為保護企業信息安全和保障數據依法合規的重要角色。

 


根據《中華人民共和國網絡安全法》的規定,網絡運營者應確定網絡安全負責人,關鍵信息基礎設施運營者應設置專門安全管理機構和安全管理負責人。20181126日,工信部公布了對數家公司的信息網絡安全檢查情況,并對其中7家進行行政處罰,其中2家企業因未確定網絡安全負責人被處罰,責令改正。

網絡安全負責人是一個什么樣的崗位?對于不同類型的企業來說,應如何設置網絡安全負責人以滿足相應的法律要求?

《網絡安全法》沒有對網絡安全負責人的崗位和職責進行具體規定,僅籠統規定網絡運營者應確定網絡安全負責人,關鍵信息基礎設施的運營者應設置專門安全管理機構和安全管理負責人,并對違反這一要求的網絡運營者和關鍵信息基礎設施運營者設置了行政處罰規則,包括對直接負責的主管人員進行罰款,從而確定了單位和個人均需承擔責任的雙規處罰機制。

具體來看,《關鍵信息基礎設施安全保護條例(征求意見稿)》規定:(關鍵信息基礎設施)運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人,負責建立健全網絡安全責任制并組織落實,對本單位關鍵信息基礎設施安全保護工作全面負責。《網絡安全法》規定:網絡運營者主要負責人需要對單位違反《網絡安全法》的行為承擔法律責任。

在前述制度設計下,網絡運營者的主要負責人應有充分的動力指定合格的網絡安全管理負責人,以確保企業的網絡安全合規,減小企業的合規風險及自身的法律風險。

網絡安全負責人的職責范圍應如何確定?

《關鍵信息基礎設施安全保護條例(征求意見稿)》對網絡安全管理負責人的職責作了規定,包括如下內容:(一) 組織制定網絡安全規章制度、操作規程并監督執行;(二)組織對關鍵崗位人員的技能考核;(三)組織制定并實施本單位網絡安全教育和培訓計劃;(四)組織開展網絡安全檢查和應急演練,應對處置網絡安全事件;(五)按規定向國家有關部門報告網絡安全重要事項、事件。

從《關鍵信息基礎設施安全保護條例(征求意見稿)》對于網絡安全管理負責人的職責規定中可以看出:既包括組織對關鍵崗位人員的技能考核,也包括對本單位組織實施網絡安全教育和培訓。筆者理解,“技能考核”應包括網絡安全專業知識技能,而“網絡安全教育和培訓”應包括法律知識(包括網絡安全法等)的普及和培訓,因此,網絡安全管理負責人應同時具備專業和法律“跨界”的知識和技能。

在中國,不同類型的企業應如何確定網絡安全管理負責人的任職資格以確保其勝任?

《網絡安全等級保護條例(征求意見稿)》要求,對三級以上的網絡運營者應明確網絡安全負責人并應對網絡安全負責人和關鍵人員進行安全背景審查,落實持證上崗。《關鍵信息基礎設施安全保護條例(征求意見稿)》規定,關鍵信息基礎設施運營者應設置專門網絡安全管理機構和網絡安全管理負責人,并對該負責人和關鍵崗位人員進行安全背景審查。由此可見,對于三級以上的網絡系統,其網絡安全負責人應通過安全背景審查,這是一個必要的前提。

從網絡安全負責人的知識和技能結構來看,前面筆者提到網絡安全負責人應同時具備網絡安全專業知識和網絡安全法律知識,應屬于跨界型人才。但是,對于不同類型的企業來說,由于其業務模式的差別,對其網絡安全負責人的知識結構要求可能存在一定的差異。

對于中小型企業來說,因其規模較小,業務模式相對簡單清晰,系統資產往往屈指可數,其網絡安全負責人可以比較容易地了解所在企業的網絡安全狀況,其中的風險點較容易定位和制定控制措施。但是,對于大型或者超大型的企業來說,由于其產品多樣,供應商眾多,財務系統復雜、企業外包的服務類型也多種多樣,數據收集、存儲、交換等活動頻繁且大量,內部存在不同的IT系統及圍繞不同IT系統的技術組織和管理組織。

超大型企業是擁有萬名以上員工的企業,這些企業往往同時在世界多個國家開展業務,因此,數據跨境活動往往也是其日常活動的一部分。在供應鏈全球化和市場全球化的背景下,供應商和客戶分布于世界不同的國家,不同國家對于個人信息保護和關鍵基礎設施(CII)存在不同的法律規制,這就大大增加了網絡安全負責人的工作難度。

另外,集團化企業內部往往同時存在并運行著多個不同的網絡系統,例如,財務結算系統、生產性/非生產性物料管理系統、合同管理系統、HR管理系統等。另外,此類企業往往會運營網上商城等(企業)門戶網站,會同時對其客戶或最終消費者的信息(包括個人賬號注冊信息、消費行為信息、設備信息等)進行收集、處理、分析等系統。在不同的企業中,前述系統可能名稱各異,或者根據集團內部管理職能的不同劃分而有所整合或拆分,但是,其主要功能和特點存在一定的相似性,即多系統并存,數據類型廣泛,服務器設置于不同國家和地區,數據分別存儲于不同業務單元,且多系統實際上可能由不同部門管理,因此,存在不同的IT負責人。從實踐情況來看,可能由公司的首席信息官或首席技術官管理集團IT系統安全及其中的數據安全,集團首席市場官管理(部分或全部)消費者(或目標用戶)相關信息和數據,集團人力資源官管理公司員工相關信息和數據等。

鑒于上述情況,從實操角度看,區分不同系統、為不同系統指定其各自實際上的網絡安全負責人似乎更容易操作。同一家企業如果有不同的系統,分別對不同的系統進行定級,根據相應的等級來確定匹配的安全措施和管理措施。相應地,不同系統的網絡安全負責人的職責和風險也就不一樣。

將網絡安全法下的網絡安全負責人崗位與《通用數據保護條例》(GDPR)下的數據保護官(DPO)職位比較,DPO職位強調其獨立性,而網絡安全負責人需要接受公司負責人的指令,在網絡安全與企業利益之間如何平衡,是對網絡安全負責人的考驗。從這個角度來看,從聘請第三方專業中介機構或者外部專家擔任企業的網絡安全負責人成為一個值得考慮的選擇。但是,就集團化公司來講,網絡安全負責人崗位既需要對公司的系統資產、數據類型、數據生命周期有相當深入全面了解,也需對公司的管理結構有相當的了解,方可實現其安全管理職能。在這個高要求下,專門的網絡安全管理部門也就呼之欲出了。

本文來源:中國信息安全公眾號



本文TAG:

相關資訊

版權所有:湖南省電子信息產業研究院
電話:0731-84117318
湘ICP備17020036號-1   技術支持:競網智贏 

RB88 热博体育官网| 体育热博| 热博rb88| 热博随行版| 热博体育官网| BTI体育| 热博体育官网| BTI体育| 热博sbt体育| 热博随行版| 热博体育官网| 热博手机版| 热博随行版|