曹興

北京管道公司技術研究中心

在網絡安全背景下，合規就如同遵守交通規則，不遵守規則，組織或者個人就會付出代價。因此，企業網絡安全合規是企業的“安全帶”“護城河”，要樹立紅線思維和合規意識，遵守相關法律法規、規章制度及道德規范。

1  網絡安全背景下管理合規的重要性

網絡安全法與數據安全法出臺后，對指導管道企業遵從我國網絡空間法律行為，保護國家秘密與數據安全，守住網絡安全與數據安全的最后防線指明了方向。

網絡安全法作為具有強制性的基本法，具有以下特點：①堅持網絡安全和信息化發展并重原則；②提出網絡空間主權；③強調開展國際合作；④建立統籌協調、分工負責的管理體制；⑤重點保護關鍵信息基礎設施；⑥網絡突發事件采取“網絡通信管制”；⑦充分發揮行業組織自律作用；⑧加大網絡安全資金投入。

網絡安全建設需要投入人力、物力、財力，而在監管方面，管道企業因為承載的社會功能和社會責任比較大，監管力度也大，因此，無論是在對網絡安全的重視程度上，還是在人財物的投入以及在配合監管方面都值得肯定。

管道企業員工在日常工作中，會涉及公司敏感信息的傳遞，如果其中包含違規操作很可能會引發關聯漏洞，當其積累到一定程度，勢必會給公司網絡安全造成威脅。因此工作網絡環境中的各類行為必須得到約束，這樣才能建立一個更和諧健康的工作網絡環境。而網絡管理“合規”正是要遵守國家法律法規和公司內部運營規章制度，當員工行為觸碰其底線時，就應該對其進行追責處理。網絡安全法的內容與管道企業內部網絡安全管理制度和社會網絡安全道德規范又存在著緊密聯系，重點從以下三個方面進行分析。

首先，提升了網絡安全等級保護制度的法律地位[1]。將等級保護工作根據重要程度，從低到高分為一至五級。定級一般采取自愿原則，關鍵信息基礎設施的等級保護是強制性義務。等級保護工作內容包括：①系統定級；②安全域劃分；③等級安全指標設計；④等級安全體系規劃；⑤安全等級評測等[2]。信息系統等級保護標準沿用至今，具有一定的科學性和可操作性，為網絡安全等級保護制度奠定了基礎，提升了網絡安全等級保護制度的法律地位[3]，兩者順利銜接，相互融合。但網絡安全法規定的等級保護制度總原則，可操作性和執行性不強，需進一步出臺相關配套細則加以明確，指導等級保護測評工作的開展，明確重要信息系統及網絡安全風險的檢查和應急處置工作，強化企業網絡安全防御體系建設，提升網絡安全管理水平[4]。

其次，對關鍵信息基礎設施實行重點保護�？v觀國際社會發生的重大網絡安全事件，能源信息基礎設施已成為網絡攻擊的目標，關鍵基礎設施仍然是信息安全保障的最核心內容。例如“永恒之藍”病毒針對加油站的攻擊[5]。我國將關鍵信息基礎設施安全保護上升至法律層面，立法很迫切、出臺很及時，說明國家對重要行業和領域網絡安全的高度重視，尤其是能源行業的管道企業，應對油氣設施及坐標數據進行重點安全保護，不僅需要提高油氣信息基礎設施自身安全，更應當開展一系列制度規范體系建設，建立完善的規章制度，搭建可落地的制度框架[6]。

最后，網絡安全的核心是信息，數據保護是重點。信息可理解為業務數據，業務數據來自業務的開展過程，因此在業務開展過程中去發現信息的安全保護問題，進而使用信息化手段解決此問題，助力業務發展。數據的安全保護，又分為兩方面內容：一是要求各企業切實承擔起數據安全的職責，即數據的保密性、數據的完整性、數據的可控性及數據的不可否認性[7]。二是保障個人對其個人信息的安全可控，落實網絡安全合規義務，其實就是在保護我們每個人的安全。

2  網絡安全合規管理存在的問題

網絡安全合規是指為了實現依法、依規經營，防控網絡安全風險，所建立的一種網絡治理機制。企業網絡安全合規，是實現網絡安全，從而保障國家安全的基礎。

首先，表現在網絡安全合規意識淡薄，重視程度不夠。由于企業規模、性質、所處行業區域等因素的不同，當前企業網絡安全合規落實情況總體來說參差不齊。主要原因有依法合規意識薄弱、合規管理機制不成體系、合規管理機構不健全、合規人才體系沒有形成、合規監管處罰力度不強等。

其次，表現在可能違反國家法律法規規定，受到行政處罰。依據現行有效的相關法律規定要求，在網絡安全保障方面有六項法定合規義務需要遵守和落實。包括實施網絡安全等級保護的義務、關鍵信息基礎設施保護義務、數據安全保護義務、個人信息保護義務、違法有害信息的治理和禁止從事危害網絡安全的義務等。若違反國家法律法規和企業內部管理制度，不嚴格執行網絡安全管理制度，未履行安全保護義務，會面臨重大網絡安全法律風險，嚴重違法還有可能觸犯刑法，甚至還會被記錄到企業信用檔案。

再次，表現在缺乏有效的網絡安全人才培養和工作機制。信息技術日新月異，尤其是網絡安全技術更新較快，未制定長遠的網絡安全人才培養規劃，業務培訓水平參差不齊，且防范知識更新較慢，新的網絡安全管理知識領會不深，不僅無法盡快培養一批水平較高的網絡安全人員，甚至還會造成網絡安全人才嚴重流失。

最后，表現在內部的合規管理機制還不成熟，網絡安全防范措施不夠周密。除了基本的網絡、設備和存儲備份等基礎管理以外，應做到數據訪問與存放分離，敏感數據加密，訪問授權盡量細分和限時等，但是具體落實過程中工作不細致，忽視某些環節會使黑客及網絡攻擊者有機可乘。安全信息要可視化，能夠掌握安全風險來自何處，有針對性的加以防范。安全防范的措施要有彈性，不能一點被攻破，就全盤崩潰。

3  如何提升網絡安全管理合規性

針對在網絡安全管理合規工作中存在的問題，提升網絡安全管理合規水平，從以下幾個方面開展工作：

首先，最重要的是單位領導和各部門對網絡安全管理合規工作的深刻認識和高度重視。這是網絡安全管理合規工作以及信息安全保障工作的核心。只有思想認識提高了，重視程度加強了，才能把住核心關口，把住企業網絡安全的第一道防線。

其次，加大網絡安全合規義務落實的宣傳，尤其是要深刻認識網絡安全的重要性，了解風險點。重視網絡安全，以切實履行網絡安全合規義務，履行應盡的社會責任，遵從網絡安全法與數據安全法相關規定，盡到安全保護義務。對于沒有落實網絡安全合規義務的企業不采用其產品或服務，對于因網絡安全問題而受到行政處罰或刑事處罰的，應列入采購黑名單。

再次，加快網絡安全人才培養，提高網絡安全管理人員業務水平。執行網絡安全管理相關崗位分離制度，定期開展網絡安全管理業務培訓，提高網絡安全崗位人員職業素質及法律合規教育。嚴格執行國家網絡安全管理相關規定，建立網絡安全加密、數字簽名、鑒別、鑒別交換、身份認證等工作機制及網絡安全內部管理制度。

最后，定期或不定期開展網絡安全風險評估工作。依據網絡安全事件發生的頻率、嚴重性和危害性，劃分網絡安全風險級別，采取不同應對策略和管理制度，完善網絡安全風險評估工作流程和違章工作人員責任追究制度，提升網絡安全管理工作質量[8]。

參考文獻：

[1]馬欣，王勝開.對建立網絡安全審查制度的分析[J].互聯網天地，2014(06) ：45-46.

[2]嚴承華，陳璐，趙俊閣，李支成、張俊、李陽.信息安全工程[M].北京：清華大學出版社， 2017.

[3]趙林.信息安全等級保護工作取得新進展 [J].信息網絡安全，2007(06)：11-12 .

[4]王偉，戴國強.黨政機關網站安全管理規范化建設探究[J].信息化建設，2011(08)：43-45.

[5]劉洪梅，張舒.2016年國內外信息安全態勢[J].中國信息安全，2017(01)：60-64 .

[6]尹麗波.網絡安全法將促進國家關鍵信息基礎設施保護新局面[J].中國信息安全， 2015(08)：110-112 .

[7]信息安全保障[Z].北京：中國信息安全測評中心，2013.

[8]陳凱航.牢固建立“三道防線”加強計算機網絡安全管理[J].審計與理財，2017(10):16-17. 

作者簡介：曹興，1981年生，高級工程師，2018年碩士畢業于對外經濟貿易大學法學院民商法專業，現主要從事信息化專業方向及網絡安全法等研究工作。聯系方式：13261954446，caoxing@pipechina.com.cn。