魏昊:网络安全审查和认证制度保障数据安全

  点击数:159  发布时间:2019-07-03 10:40
2019年6月29日,在关键信息基础设施安全论坛上,中国网络安全审查技术与认证中心主任魏昊发表了致辞。
关键词:关键信息基础设施保护 ,数据安全 ,网络安全

2019年6月29日,在关键信息基础设施安全论坛上,中国网络安全审查技术与认证中心主任魏昊发表了致辞。

致辞全文如下:

尊敬的各位来宾:

大家好。很高兴参加第二届数据安全峰会关键信息基础设施安全论坛。

关键信息基础设施保护和数据安全是当前网络安全工作的两个热点问题。《网络安全法》用一个章节专门对关键信息基础设施保护做出了明确要求,第三十七条规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。前不久,国家互联网信息办又连续发布了《数据安全管理办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》。可见,数据安全问题特别是关键信息基础设施涉及的数据安全问题需要引起我们的高度重视。

当前,数据在经济社会发展中发挥着越来越重要的作用。从数据总量看,到2020年全球数据总量将达到44ZB,而届时我国的数据总量将占全球数据总量的20%。从市场规模看,2017年我国数据核心市场规模约234亿元人民币,2018年突破329亿元人民币。从影响力看,大数据战略对国内生产总值的拉动作用达到了2%-4%。数据不但改变着人们的生活方式,也深刻的改变着社会生产方式,甚至在国防军事领域引起了巨大的变革。近年来,随着互联网技术的快速发展,我国的数据产业带动数字经济调整发展,据统计全球数据经济发展指数排名中,中国处于仅次于美国的第二位,差距仅为0.12。

随着数据技术和数据产业的极速发展,数据安全问题也越来越突显。WannaCry勒索病毒攻击在全球造成的损失高达15-40亿美元。全球58%的企业在过去12个月里至少遭遇过一次数据泄露事件。2018年度全球企业用户数据外泄影响了共计达10亿网民。每天有超过2500万条数据遭到入侵或泄露,也就是每秒291条,涵盖医疗、信用卡、财务数据、个人身份信息等领域。可以说数据安全问题直接关系到人民生命财产、经济社会健康发展,甚至国家安全。

面对严峻的数据安全形势,如何做好数据安全保障工作,特别是关键信息基础设施相关的数据安全保障工作,需要我们认真思考。我想从数据的生命周期看,不外乎技术和管理两个层面;从供应链安全的角度看,不外乎技术发展的可持续性和产业生态的可持续性两个层面。无论从哪个角度看,网络安全审查和认证制度都将发挥越来越重要的作用。下面,我就数据安全审查认证制度谈三点体会和大家交流。

一是要全面推进落实网络安全审查认证制度。实施网络安全审查和认证制度是落实《网络安全法》的重要举措。《网络安全法》第二十三条规定网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。第三十五条规定关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。刚刚发布的《数据安全管理办法(征求意见稿)》第三十四条规定国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。

二是要明确审查和认证的基本概念。审查和认证相辅相承又有所区别。认证是由国家认可的认证机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范或其他强制性要求的合格评定活动。也就是说认证的目标是判断产品或服务的标准符合性,实施认证的主体可以是国家机构,也可以是经过国家认可的企业。而审查是在认证的基础上对机构或产品服务的可控、可信性进行判断,目标是发现风险、规范行为、保障安全,作用是建立准入和退出机制。审查的实施主体是国家网信部门。需要强调的是,审查不是重新造轮子,现有认证、测评等工作都是审查制度的重要支撑。

三是要理清数据安全审查认证体系的设计思路,尽快使审查认证制度在数据安全保障中发挥作用。根据前期的工作经验,我认为在数据安全审查认证体系的设计思路上应该立足以下三点。首先要聚焦数据安全风险。着眼于目前我国数据安全典型问题,如个人信息保护、数据跨境传输、数据安全管理等,研究制定标准规范,开展认证。对于可能影响国家安全的产品、服务和组织,开展数据安全审查。其次要立足现有工作基础。充分利用现有审查认证工作基础,发挥现有信息安全管理体系、信息安全服务资质、信息安全产品认证的基础性作用,在认证内容中加强对数据安全的关注。第三要重视国际合作。充分考虑国外法规数据保护法规对企业的影响,探索通过国际互认框架满足国外法规要求的可行性,推动数据安全认证的国际互认工作。

女士们、先生们,中国网络安全审查技术与认证中心自2018年更名以来,承担了网络安全审查相关技术支撑工作并负责具体组织实施,并继续开展网络安全认证工作。目前,我国的网络安全审查认证制度框架已基本建立。自2008年正式开展信息安全认证认可工作、2014年推出网络安全审查制度以来,审查和认证各自形成了完整的制度框架。随着各项工作的推进,审查和认证既有共性又各有侧重,既各司其职又互相配合,正在逐步实现融合,在国家网络安全保障体系中正在发挥愈来愈大的作用。

在新形势下,网络安全审查与认证是保障国家网络空间安全的重要制度安排。尤其是审查认证工作与关键信息基础设施保护和数据安全密切相关,为保护关键信息基础设施作贡献义不容辞。《关键信息基础设施保护条例》即将发布实施,我们将在中央网信办的领导下,结合工作实际加强宣传,推动落实。近期,中国网络安全审查技术与认证中心还要大力推动数据安全认证、APP认证、面向重点行业的网络安全人才培养认证等工作,这些工作都与关键信息基础设施保护有着密切的关系。希望各位嘉宾对网络安全审查与认证工作给予高度的重视和积极支持,也希望加强合作、沟通,共同为关键信息基础设施保护做出应有的贡献。

谢谢大家!

来源:CII

相关文章


热点新闻
推荐产品