近日,为进一步保障网络安全和数据安全,由国家网信办、国家发展改革委、国家工信部等十三个部门联和修订的《网络安全审查办法》正式施行。《网络安全审查办法》以关键信息基础设施的供应链为核心,重点加强对数据安全的关注和规范,聚焦网络产品和服务以及数据处理活动,落实《数据安全法》等法律法规的要求。
part 1
《网络安全审查办法》 重点内容解读
总体而言,本次发布的《网络安全审查办法》将网络安全审查的范围拓展至网络平台运营者开展数据处理活动,审查考虑要素也基于审查范围的扩大,增加了核心数据、重要数据或者大量个人信息。并对赴国外上市情形做出了明确规定,即要求掌握超过100万用户个人信息的网络平台运营者赴国外上市需经过审查,使得监管更加完善。
01
《网络安全审查办法》制定依据
《网络安全审查办法》根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》制定。
02
审查主体和主管机构
审查主体:包括国家网信办、国家发展和改革委员会、国家工信部等在内的十三个主管部门或者机构共同建立国家网络安全审查工作机制,并且由网络安全审查办公室具体负责制定网络安全审查相关制度规范,组织网络安全审查。
主管机构:值得注意的是,中国证券监督管理委员会(“证监会”)作为网络安全审查的主管部门之一,将参与到制度运行和审查工作中来,并可能将对企业赴外上市活动中影响或者可能影响国家安全的因素进行重点审查。
03
《网络安全审查办法》适用对象
最终通过的《网络安全审查办法》将申报或者接受国家网络安全审查的适用对象限定为“关键信息基础设施运营者”和“网络平台运营者”。
04
《网络安全审查办法》遵循的原则
防范网络安全风险与促进先进技术应用相结合;
过程公正透明与知识产权保护相结合;
事前审查与持续监管相结合;
企业承诺与社会监督相结合。
05
接受有关部门网络安全审查的情形
从《网络安全审查办法》中可以很明确地发现,触发《网络安全审查办法》进行网络安全审查的情形、条件并非仅限于关键信息基础设施运营者采购网络产品和服务,以及掌握超过一百万用户个人信息赴国外上市这两种属于需要企业“主动申报”的情形。
06
审查内容与重点事项
相较于《修订草案》,《网络安全审查办法》第十条对于关键信息基础设施运营者网络产品和服务采购的重点评估因素并无实质修订,但对于数据处理活动及企业国外上市的评估要素做了进一步明确与扩充,具体而言:
1)明确核心数据、重要数据或大量个人信息是否“非法”出境为评估因素
2)增加“网络信息安全风险”作为企业上市评估因素
part 2
企业应采取的数据安全合规措施
《网络安全审查办法》实施后,推动国家数据安全治理进入新阶段,有利于关键信息基础设施运营者和网络平台运营者进一步强化数据安全建设意识。
那么,关于《网络安全审查办法》实施后,企业应当如何进行数据安全合规建设?对于企业或机构而言,应坚持安全发展理念,重视企业信息安全的体系规划,并结合《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规做好数据安全、个人信息保护等相关合规工作,不断增强对自身运营安全的管理和评估,更好地保障企业核心数据的安全性和合规性。
为更好应对数据安全与合规挑战,在企业信息化探讨与发展进程中,零信任安全应运而生,并已逐步成为企业和机构信息安全规划和落地的重要组成部分。作为一种信息安全架构,零信任要求对网络内部或外部的访问采用“永不信任,始终验证,强制执行最小特权”的方法。它能够最大限度保证资源被可信访问,提升企业数字化转型中新IT架构的安全性。可以说,零信任已成为数字时代网络安全架构演进的必然选择。
专注于身份安全领域十多年的派拉软件,是国内最早一批开始布局零信任安全的企业之一,拥有一体化零信任安全解决方案,以身份为中心,将所有用户、终端设备、API应用、特权账号等都纳入统一管理,涵盖线下、线上、互联网到云端的所有用户类型的全场景的一体化零信任安全体系,帮助更多客户提升一体化零信任安全能力,为企业网络安全和数据合规保驾护航。