2021年下半年,网络安全合规之风起。自《数据安全法》正式发布之后,各类网络安全法律法规紧随其后陆续出台。
十三届全国人大常委会第二十九次会议通过《数据安全法》,该法于2021年9月1日起施行。 国务院第133次常务会议通过《关键信息基础设施安全保护条例》,该条例于2021年9月1日起施行。 工业和信息化部、国家互联网信息办公室、公安部三部门联合印发《网络产品安全漏洞管理规定》,该规定于2021年9月1日起施行。 十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》,该法将于2021年11月1日起施行。
伴随上述法律法规的出台和陆续施行,网络安全行业进入一个新的征程。企业、个人都会从中受益。安全建设有了法规准绳、个人信息得到了可靠保障、网络安全成为了企业的经营底线。
精彩观点
新法施行的第一天,网络安全从业者都就此话题展开了热切的讨论。
FreeBuf也收集了网安人们对于新法施行的一些观点与看法,在此与大家分享。
@小师妹的大师兄:
经过3年的等待,《关键信息基础设施安全保护条例》“千呼万唤始出来”,今天起正式施行,我国关键信息基础设施保护正式进入法制强监管时代。这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,同时也是《网络安全法》的重要配套法规。以立法形式保护关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。
@jinhaozcp:
作为甲方安全团队,肯定是关注网络安全法下的等保测评、密评。近期的数据安全法,网络审查、个人信息保护法对企业而言是生存之本,我所在的企业已经开始关注合规性的问题,未来业务不合规面临的是APP下架,网站关停以及处罚的风险。目前准备从数据合规角度开始梳理,将业务数据梳理出来,内部分类分级,根据数据的不同场景,与研发确认。制定相关数据安全策略,考虑后期开展27001以及27701建设。
@WhiteJ:
漏洞管理规定为以往相对混乱的漏洞挖掘市场提出了合规的要求,目标必定是整治乱象。而其中多条鼓励提交漏洞的条例推出说明国家是鼓励合法合规的提交漏洞,将漏洞作为重要的国家网络安全资源的。但是目前没有详细的解读文件难免让人束手束脚。希望相关的解读文件或者具体的实施细则能够尽早出来。
@IT独立观察家:
漏洞是极为敏感的网络战资源,国家对网络安全漏洞的监管只会更严。相信未来会有更多的漏洞管理相关细则发布、落地。从当前的几部法律法规能看出来,漏洞的管理是双向的,甲方客户安全自检未来也将常态化。网络空间里的安全问题将会依法治理,而这也正是中国网络安全产业真正能够做大的最可靠依赖。
@oriole:
法律不仅具有规范作用,还具有一定的指导作用。新《数安法》的实施,不仅是对全行业起到一个规范作用,还意味着对网络安全行业未来方向的树立,更重要的是代表着社会对于网络安全行业日渐重要的认可。在整个社会层面上来讲,网络安全也将逐渐成为组成社会基础结构的重要部分。2021年9月1日,网络安全行业发展由此进入了一个新时代,作为行业参与者,你我都是时代的见证人。
@机器小子闯天下:
数安法、关基保护条例、漏洞管理规定为企业信息安全生态的建设提供了方向,同时也体现了国家对信息安全的重视和监管,为企业的安全生态建设提供了便利条件,尤其是数据安全法,对众多网民的敏感数据的保护提出了监管要求,未来希望信息泄露事件导致的诈骗渠道越来越少吧!
@两块:
关键信息基础设施和数据安全方面的法律落地,其重要意义一,说明国家对数据安全重视程度提高了,毕竟数据作为流动的关键信息,可能威胁国家安全、重要民生;其意义二是在诉讼判罚方面有了法律依据,意义重大;其三,对整个行业发展指明了路线和重心。法律-->司法解释-->技术要求-->落地策略,这一步步走下来会无比艰难,因为可参考的案例有限。我们陆陆续续开始了针对数据安全能力建设的一步步工作,个人信息保护方面,APP违法违规收集个人信息的自评估整改;数据合规方面,多次修订了隐私政策、用户声明等文件;建立分类分级和保护需求标准,实施分类分级计划和安全保护措施;参考DSMM,以DSG数据安全能力认定在进行自评估整改。一步步在做,希望这些实践经验能做到为公司和个人积累。
@lidasimida:
数据安全法是砍向企业的一把刀子,个人信息保护法是保护个人的一面盾牌,加上近些年的形势网络安全愈演愈烈,网络安全公司应该多跟上形势政策,最好是围绕着数据的收集、存储、处理、加工等流程打造一套安全的体系。