《网络安全法》对网络安全风险管理提出更高要求

原题目：《网络安全法》对网络安全风险管理提出更高请求

自从十二届全国人大常委会把制定网络安全方面的立法列入立法工作筹划以来，社会各界对《中华人民共和国网络安全法》的制定高度关注。大家明白地看到，网络安全问题引发社会公共好处和经济受损，公民、法人和其他组织的合法权益遭遇损害的事件习认为常，通过立法手段来进一步增强网络安全管理已成众望所归。11月7日，全国人大常委会表决通过《中华人民共和国网络安全法》（以下简称《网络安全法》），网络安全领域第一部基础性、框架性法律正式出台。

“没有绝对的安全”是网络安全从业人员的共鸣，实行网络安全风险管理，将安全风险控制在可接纳的水平是网络安全工作的基本办法论，纵观《网络安全法》，其中就包括安全标准、安全检测和认证、安全风险评价、安全审查为代表的网络安全风险管理办法的条目多达十五条。《网络安全法》详细论述了网络安全风险管理的哪些理念？会对往后的网络安全风险管理工作带来什么变化？本文从以下三方面予以论述。

一、网络安全风险管理的身份得以整体提高

仅从办法论来看网络安全风险管理，其过程触及信息系统的全生命周期，包括规划、建设、运转、废弃等阶段的风险管理。但是，从实行角度来看，首先，网络安全风险管理需具有合法和正当的目标。《网络安全法》第二十六条明确规定，“展开网络安全认证、检测、风险评价等活动，向社会公布系统破绽、计算机病毒、网络进攻、网络侵入等网络安全信息，应该遵照国家有关规定。”如今，我国尚存在很多机构和个人未获得正式授权进行安全检测、破绽挖掘和披露的举动，其中不乏因操作欠妥或对效果估量缺乏对被检测方形成伤害的案例，其所谓的“安全风险评价”反而成为真实的风险点。其次，安全检测、认证和风险评价作为增强网络安全管理的手段，也在《网络安全法》中有多处说起，为网络安全风险管理有关工作提供了充足的法律根据。

另外，实行网络安全风险管理，在法律的基础上，还必须依附科学先进的网络安全标准。今年8月，中央网信办、国家质检总局、国家标准委联合印发《关于增强国家网络安全标准化工作的若干看法》，看法明确请求，推进网络安全标准与国家有关法律法规的配套连接。《网络安全法》等于该思惟的充足表现，说起安全标准和标准的条目达七条之多，其中多处提到“国家标准的强迫性请求”，安全标准的身份获得明显增强。由上述可见，《网络安全法》所论述的网络安全风险管理理念，是以法律法规为基，以安全标准为纲，只有“立得稳，行得正”的网络安全风险管理办法才能够真正施展其功效。

二、网络安全风险管理的范围获得整体扩大

实行网络安全风险管理，本来是从保护组织资产和业务的角度动身，使其免于遭遇亏损。但是，《网络安全法》是从整体国家安全观动身，将网络空间主权和国家安全、社会公共好处，公民、法人和其他组织的合法权益均纳入保护对象，大大扩大了网络安全风险管理的实用范围。首先，《网络安全法》进一步强化了关键信息基础设施保护的内容，在第三十一条中明确列出关键信息基础设施的范围。关键信息基础设施保护，因其影响重大，是在网络安全品级保护基础上的进一步重点保护，充足表现了安全风险管理的思惟。其次，第三十五条提出，关键信息基础设施运营者采购网络产品和服务，也许影响国家安全的，应通过安全审查，该办法等于针对国家安全层面实行安全风险管理的有用举动。

另外，《网络安全法》针对公民个人信息保护，提出了大批详细请求，一方面弥补了国内在此方面立法的缺乏，另外一方面将个人信息保护纳入到网络产品提供者和服务运营者实行网络安全风险管理的必要内容。由上述可见，《网络安全法》所论述的网络安全风险管理范围，是在传统网络信息系统基础上，进一步扩大到国家关键信息基础设施、公民个人信息等方面，同时提出了安全审查等国家层面的管理手段，其内容大大丰富，效应更加普遍。

三、网络安全风险管理的落地将会更加扎实

从以往网络安全风险管理经历来看，有些时候所获得的效果欠佳。首先，因为之前国家在网络安全方面立法尚不完善，有很多企业实行的信息安全管理系统、PDCA（即筹划、实施、检讨、改正程序）等管理方法常常只是流于方式，没有在效果上构成真实的“闭环”。《网络安全法》可谓“一槌定音”，将网络产品提供者和服务运营者的法律义务予以明确，应用执法手段倒逼其强化本身安全管理。其次，以往的网络安全风险管理中，我们一直关怀的是发现软弱性，改良安全办法，而对威逼的控制无计可施，此种方法特别被动且本钱很高。《网络安全法》在第六章法律义务中提出了对各类犯法举动的制裁办法，由被动转主动，有用震慑威逼源举动，将更多的本钱转移到威逼源，打通了安全风险处理的“最后一千米”，构成真实的风险管理闭环。由上述可见，实行《网络安全法》，定会大幅度提高网络安全风险管理的效果。

出台《网络安全法》是我国网络安全领域立法工作跨出的最为关键的一步，意义不凡。环绕《网络安全法》展开工作，将是往后网络安全标准制定、安全检测和认证、风险评价、安全审查等网络安全风险管理工作的重中之重。