网络安全法修订草案在行业内引发了广泛讨论,这次的修订不是小修小补,而是对原有框架进行了一次深度升级。对于广大企业来说,读懂这次修订的核心变化,提前做好应对准备,是一件非常紧迫的事情。
先说说修订的大背景。网络安全法从2017年施行到现在,技术环境已经发生了翻天覆地的变化。云计算、大数据、人工智能、物联网这些新技术的普及,让网络安全的边界越来越模糊,攻防手段也越来越复杂。原有的法律框架在某些方面已经显得有些力不从心了。这次修订要解决的问题很多,但核心目标只有一个——让法律跟上技术发展的脚步,给企业提供更清晰的安全指引。
修订中最引人关注的变化是关于关键信息基础设施的界定更加细化了。原来的规定比较宽泛,到底什么算关键信息基础设施,在实际操作中企业和监管部门之间经常产生不同的理解。这次修订给出了更具体的标准,涵盖的范围也更加明确。同时,对于运营者的安全保护义务也提出了更高的要求,包括但不限于专门的安全管理机构、定期的安全检测评估、数据备份和灾难恢复等等。
另一个重要的变化是处罚力度大幅提升。网络安全法原来的处罚条款已经不算轻了,但这次修订把罚款上限往上提了一大截。对于那些因为安全防护不到位导致大规模数据泄露或者系统瘫痪的企业,较高罚款金额可以高到让企业感到"肉疼"。不仅如此,对直接负责的主管人员和其他直接责任人员的处罚也加重了,这意味着安全责任不再是"公司的事情",而是个人也要承担法律责任。
关于个人信息的保护,这次修订和已经施行的个人信息保护法做了衔接。原来网络安全法里关于个人信息保护的内容只是一些原则性规定,这次修订把这些规定具体化了,和个保法的要求保持一致。企业的个人信息处理活动要同时满足网络安全法和个人信息保护法的要求,合规要求实际上更高了。
还有一个值得注意的变化是供应链安全管理被提到了重要位置。以前企业的网络安全重点关注的是自身的系统防护,但现在越来越多的攻击是通过供应链发起的——供应商的系统被攻破了,黑客顺着供应链摸进来,把核心企业也给端了。修订后的法律要求企业在采购网络产品和服务时,要对供应商进行安全审查,特别是涉及关键信息基础设施的采购,要优先选择安全可信的供应商。这对很多企业的采购流程会带来不小的变化,以后选供应商不能只是比价格、比功能,还要比安全能力。
监测预警和应急处置机制也是修订的一个重点方向。法律要求企业建立更加灵敏的安全监测体系,一旦发现安全风险或者安全事件,要第一时间启动应急响应,并及时向主管部门报告。原来很多企业在安全事件发生后存在"瞒报、漏报、缓报"的问题,现在修订后的法律对报告时限做了更加明确的规定,迟报或者不报的后果更严重了。
那么,企业面对这次修订应该做哪些准备呢。
第一件事情是把修订后的法律原文读一遍,逐条对照自己的现状,找出差距。这不是法务部门一个人的事,技术、业务、运营每个口子都要参与进来,因为网络安全是系统工程,牵一发动全身。
第二是重新审视自己的网络安全组织架构。有没有专门的安全管理岗位,有没有明确的安全责任人,安全制度和流程是否形成闭环。很多中小企业在这方面的基础还比较薄弱,现在就是补课的很好时机。
第三是加大安全投入。说实话,安全投入在很多企业里属于"能省则省"的预算项目,但这次修订传递出的信号很明确——省安全投入的后果,可能比想象的要严重得多。一个安全事件带来的损失,很可能是省下的那点安全费用的几十上百倍。
第四是做好供应链安全评估。梳理一下企业的供应商名单,看看哪些供应商可以接触到企业的核心网络和关键数据,对这些供应商提出安全要求,纳入合同条款,并定期进行安全审查。
第五是建立常态化的安全培训和演练机制。网络安全说到底,人是最大的变量。技术措施再完善,如果员工的安全意识跟不上,一切等于零。定期的安全培训、钓鱼邮件模拟演练、应急响应桌面推演,这些投入的成本不高,但效果非常显著。
网络安全法的这次修订,说到底是时代发展的必然要求。对企业来说,与其把它看作负担,不如把它看作推动自身安全能力升级的契机。在数字经济时代,网络安全就是企业的生命线,谁能筑牢这条生命线,谁就能在新的竞争格局中占据主动。
