写在前面
文档处理与分享协作是企业日常运营中最基本的需求,如何适应“移动+云”时代的巨大变化,如何满足企业日益复杂的办公与协作需求,一直是CIO们关注的热点之一。
下面,就让我们一起回顾本期访谈的精彩内容吧。
1
深度解读《网络安全法》
李维良(主持人)
什么是合规?企业为什么需要合规管理?什么样的企业需要合规管理?
Kevin(嘉宾)
任何一个企业,在任何一个国家或地区进行经营活动,都要遵守当地的法律、法规和标准,这就是“合规”。不管是企业还是公民,遵守法律和法规都是基本的责任和原则。合规,不但意味着企业要遵守规则,它也会帮助企业预防和控制风险,使企业避免受到监管性的惩罚。
李维良
对那些正处在数字化转型过程中的中国企业来说,有哪些法律法规是必须知道并遵守的?
Kevin
数字化转型的领域非常宽泛,涉及到的法律、法规很难穷尽。但是,有三类法律、法规,对大部分企业都会适用:一是和安全相关的《网络安全法》,二是电信领域的《电信条例》,三是互联网信息管理方面的法律和法规。
同时,对于特定行业的企业,还应当遵守本行业的规章、条例,例如:金融行业的《×××关于银行内容机构做好个人金融信息保护工作的通知》、《金融消费者权益保护实施办法》;医疗行业的《人口健康信息管理办法(试行)》;互联网约车行业的《网络预约出租汽车经营服务暂行办法》等等。
李维良
《网络安全法》是一部怎样的法律?它诞生的背景和过程是怎样的?
Kevin
《网络安全法》是我国第一部全面规范网络空间安全管理问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。从国际视角来看,《网络安全法》是应对网络安全挑战这一全球性问题的中国方案,透过这部法律,我们能够看到中国维护网络空间主权的决心。
说起《网络安全法》的诞生,还要追溯到2013年的“棱镜门”事件。这一事件爆发之后,中国政府意识到网络安全和相关立法的重要性,于是成立了中共中央网络安全和信息化领导小组办公室,专门统筹、协调涉及多个领域的网络安全和信息化重大问题。
此后,包括《网络安全法》在内的网络安全相关战略、配套法律法规及标准也相继出台或列入制定规划。
2016年11月7日,《×××网络安全法》在第12届×××常务委员会第24次会议上高票通过,2017年7月6月1日起正式实施。
李维良
网安法的整体框架是怎样的?它提出了哪些基本原则?制定了哪些战略目标?
Kevin
《网络安全法》是一部综合性、原则性的基本大法,其战略目标在于强化网络运行安全,保护国家信息安全,创造良好的网络环境,从而保障企业创新和个人信息不被滥用。
《网络安全法》包括了对网络安全的支持和促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等几大部分,规定了各级政府部门、网络运营者、关键信息基础设施运营者、以及公民在网络信息和运营安全、个人信息保护、网络信息应急处理等方面的权利和义务。
在这里,我跟大家分享几个《网络安全法》的重要理念。第一,网安法明确规定,要维护我国的网络空间主权,这是一个非常重要的理念。网络空间主权是国家主权在网络空间的自然延伸和表现,网安法第一条就申明,中国政府有权管理和保卫自己的网络空间。第二,网安法对政府机构也提出了相应要求,要求相关的政府机构发布网络安全战略,协调各个部门来制定网络安全的法律法规。第三,网安法对网络的运营者提出了一些比较重要的要求,包括:要采取一些基本的安全措施,保证你运营的网络是安全的;你在网络上发布的信息是合法的;在一些情况下要实行实名认证;一般的网络运营者要符合“等级保护”要求。
李维良
《网络安全法》中有哪些需要特别注意的规定?请您为大家划一划重点。
Kevin
对网络运营者(网络的所有者、管理者和网络服务提供者)来说,要遵守法律和行政法规,切实履行网络安全保护义务,监管非法内容传播,保障网络安全、稳定运行,保护个人信息安全,制定好网络安全事件应急响应方案。
对关键信息基础设施运营者来说,还应履行一些额外的安全保护义务,遵守一些更高的要求,比如:运营过程中产生的重要数据和个人数据都必须存储在中国;数据出境要进行安全评估;采购网络产品和服务要进行安全审查等等。
在个人信息保护方面,网安法规定:收集个人信息之前,要取得个人同意;使用个人信息时,要告知使用的目的、方式和范围;对收集的个人信息,不得泄露、篡改和毁损;未经同意,不得向他人提供个人信息;要采取措施,防止信息泄漏、毁损或丢失。
李维良
《网络安全法》正式实施以来,有没有一些处罚案例?
Kevin
有,而且有很多。我们看到的案例大致分四类:违规发布及未落实实名制制度、未落实等保制度、未落实安全保护制度、未落实个人信息隐私保护制度。
违规发布及未落实实名制制度的主要案例包括:广东省网信办调查阿里云未落实实名制制度责令立即整改;浙江网信办对淘宝、蘑菇街互动网等网站违规售卖×××工具限期责令改正并依法处罚。
未落实等保制度的案例有:安徽网信办对一学校网站未进行等级保护、留存数据,导致身份信息泄漏责令改正;安徽公安局查实当地一学校网站未进行等级保护,遭******,责令改正并处罚款。
在未落实网络安全保护制度方面,广东省工信部门调查了UC浏览器存在安全漏洞的问题。
在未落实个人信息隐私保护制度方面,中央网信办、工业和信息化部、公安部、国家标准委等四部门选取了微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网共10款互联网产品和服务进行评审。
李维良
企业作为责任主体,在落实“网安法”的过程中,会遇到哪些挑战?
Kevin
《网络安全法》是一部综合性立法,对企业来说,复杂的法律体系需要花时间去了解。另外,网安法去年6月才正式实行,更多配套的合规细则尚未出台,很多企业仍然不清楚,具体怎么做才能合规。对于关键信息基础设施运营单位来说,还要遵守一些额外法律条款,这也是一个挑战。
李维良
对企业的IT管理者来说,应该采取哪些措施,有效应对“网安法”实施给企业发展带来的巨大压力?
Kevin
对企业的IT运营者来说,应该认真学习、理解网安法规定的相关义务。当企业被认为是“网络运营者”时,应当确保企业合规,包括:对产品和服务定期升级,打补丁;加强对网站内容的合法性审查;落实对个人信息安全的保护;满足对等级保护的合规性要求;制定网络安全事件的应急措施及配套方案。
目前,《网络安全法》的很多配套细节尚未出台,对关键信息基础设施运营单位的定义尚未公布,因此,建议企业先对自己的主体身份做出初步判断,并着手进行相应的准备。
李维良
谢谢罗博士的分享!
2
如何应对“移动+云”时代的安全与合规性挑战?
李维良
在协作和分享无处不在的今天,数据安全成为企业CIO们最关心的问题。那么,今天的企业都面临着哪些安全威胁?
Jason
确实,我们今天会看到越来越多的协作场景,有越来越多的员工会在不同的地点,用不同的设备来访问公司的网络。在这种情况下,企业所面临的风险也在日益加大。更可怕的是,很多企业和个人,并没有意识到这种风险有多大。
我在这里和大家分享一组数据:2016年,全球被泄漏的数据记录高达40亿条;在过去的 12 个月里,52% 的大型企业发生过数据泄漏事故;APT***的持续时间可以长达140天;45% 的企业因为缺乏数据管控措施,而使自身暴露在诉讼与数据安全的风险之中……
在如此严峻的安全形势下,我认为,企业首先需要设置CSO(Chief Security Officer 首席安全官)岗位,专职负责安全工作。同时,企业应谨慎选型,使用安全与合规性更好的信息化工具。
李维良
人们往往觉得,公有云就意味着不安全,您怎么看待这个问题?
Jason
有些人认为,数据还是存在自己的硬盘上最安全。其实,硬盘是只有单一存储功能的硬件,存有敏感文件的硬盘,一旦丢失或损坏,就会造成数据泄漏或遗失。硬盘本身不值钱,值钱的是文件和数据,机密文件丢失或泄漏造成的损失,是多少金钱都无法弥补的。
相比之下,云服务商会使用更专业的存储设备和运维服务,并提供多数据中心备份、全天候技术支持和有保障的 SLA。选择安全、合规的可信云服务,用户的数据安全和隐私会得到更好的保障。
再和私有云相比,公有云服务采购和维护的成本更低,用户无需在本地部署任何服务器,即可获得全套现代化服务。
李维良
谢谢Jason的分享!