11月7日,全国人民代表大会常务委员会表决通过了《网络安全法》。作为我国网络安全领域的第一部综合性、框架性法律,《网络安全法》浓墨重彩地对网络安全标准化工作提出了明确要求,将网络安全标准化工作置于前所未有的高度,也对网络安全标准化工作提出了更高的要求。
一、《网络安全法》赋予网络安全标准更高的使命
网络安全标准是网络安全政策法规实施的有效保障,是进行网络安全管理的重要手段,是安全防范的重要工具,也是规范网络安全技术、产品研发应用,促进产业发展的重要支撑,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》直接提及标准和规范的内容共有7条(第七条、第十条、第十一条、第十五条、第二十二条、第二十三条、第二十九条),归纳起来,从以下几个方面对标准化工作提出了要求,一是以标准体系为指导,推动网络安全防护体系建设;二是以标准的强制性约束为抓手,通过强制性国家标准加强核心领域的网络安全保障;三是以国家标准、行业标准为引导,加强网络空间治理,推动行业自律;四是以重要领域的网络安全标准为基础,加快提升整体安全防护水平。此外,如关键信息基础设施保护、个人信息保护等条款,虽未直接提及标准化工作,但标准也是其落地实施的重要支撑。今后一段时期,网络安全标准将充分发挥在提升国家网络安全管理、促进产业发展、保障民生方面的积极作用,有力支撑《网络安全法》的贯彻落实。
二、加强网络安全标准化工作,切实落实《网络安全法》相关要求
今年8月,《关于加强国家网络安全标准化工作的若干意见》(以下简称《若干意见》)由中央网信办、国家质检总局、国家标准委三部门联合发布,该意见是落实《网络安全法》相关标准化工作的重要文件,也是指导当前及今后一段时期我国网络安全标准化工作的顶层文件,结合《若干意见》的工作部署以及《网络安全法》的相关要求,网络安全标准化工作将加快开展以下几项重点工作。
一是建立完善网络安全标准体系。网络安全标准体系是由网络安全领域内具有内在联系的标准组成的科学有机整体,是促进网络安全领域内的标准组成趋向科学合理化的重要手段,是一幅现有、应有的网络安全标准的蓝图。《网络安全法》第十五条明确提出了建立和完善网络安全标准体系的要求。近年来,在中央网信办、国标委等主管部门的领导下,我国已经初步建立了网络安全标准化工作体系和标准体系,制定发布了信息安全国家标准190项,涉及信息安全基础、安全技术与机制、安全管理、安全评估以及保密、密码和通信安全等多个领域,为国家和社会网络安全保障工作提供了有力支撑。《网络安全法》的出台,为我国建立依法治理,依规治理,依标治理的新体系筑牢了坚实的根基。《若干意见》中也明确提出“科学构建标准体系”的要求,且明确指出了要推动网络安全标准与国家相关法律法规的配套衔接,全国信息安全标准化技术委员会将在主管部门的指导下,组织企业、研究机构、高等学校、网络相关行业专家深入研讨,加快完善网络安全标准体系,定期发布网络安全标准体系建设指南,指导标准制定工作有计划、有步骤推进,加快在网络安全审查、网络空间可信身份、工业控制系统安全、大数据安全、智慧城市安全等重点领域制定推荐性国家标准。
二是加快核心领域强制性国家标准制定。在网络安全领域,网络安全强制性国家标准指的是行政法规赋予的具有强制属性的国家标准,是我国技术法规的重要表现形式,也是针对我国关键领域开展网络安全管理工作的有力抓手和重要保障,《网络安全法》中第十一条、第二十二条、二十三条对强制性国家标准提出了要求,明确了网络安全强制性国家标准在提升网络安全防护能力、关键产品检测等方面的重要作用。随着技术及产业的飞速发展,网络安全强制性国家标准要适应我国网络安全工作新形势下的新要求,《若干意见》也提出,我们要按照深化标准化工作改革方案的要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。除此之外,我们还要研究在关键信息基础设施保护、个人信息保护等关系国家安全、国计民生的核心领域制定具有强约束力的标准,充分发挥强制性国家标准在我国网络安全核心领域的重要作用。
三是提升标准质量,加强标准宣贯。标准质量的高低是标准能否落地的关键,落实《网络安全法》关于标准化工作的重点要求,首先要从标准质量抓起,通过鼓励和吸收更多产业界的一线专家实质性参与到标准制定的全生命周期、缩短标准制修订周期、建立完备的网络安全标准制定过程管理制度和工作程序等一系列措施,有效提高标准的适用性、先进性和规范性。网络安全标准的研制和宣贯工作要并重开展,利用传统媒体和互联网等多种渠道加大对标准的解读和宣传力度,加快制定指南、解读、案例等标准的配套文件,通过邀请产业界、学术界专家从不同角度撰写标准的解读文章,让一线的工程师和管理者更加透彻地理解标准,更加高效地使用标准。定期开展优秀标准应用案例征集活动,结合标准的实践,推广一些实施效果好、示范效应强的标准,供使用者参考。加强标准专业机构的基础能力建设,提升我国的标准化战略与基础理论研究能力,提升标准的验证和符合性测试能力。让网络安全标准能真正的为国家、为产业、为人民提供更好的服务。
四是加强国际标准化工作。网络安全标准化工作在提升国际话语权、推动企业走出去等方面具有极端重要性。目前,我国网络安全国际标准化工作相对薄弱,存在国际标准注册专家人数少,参加国际会议专家数量少,会议讨论发声少的情况,在国际标准领域参与程度较低,《网络安全法》第七条明确提出了积极开展标准制定方面的国际交流与合作的要求,《若干意见》也对国际标准化工作做了重点部署,我们要坚持国际标准化与国内标准化工作并重,打造一支专业精、外语强的复合型国际标准化专家队伍,提高国际标准化专家注册数量和参会人数,推动我国专家在国际标准化组织中担任更多的职务,提出更多提案,贡献更多力量,实质性参与相关国际标准。积极采用适用于我国国情的国际标准,推动将我国自主制定的国家标准转化为国际标准。积极参与网络空间国际规则和国际标准规则制定,提升我国国际话语权。
《网络安全法》开启了网络安全标准研制工作的新篇章,围绕《网络安全法》的重点工作部署,网络安全标准化工作者将肩负起使命,努力做好各项工作的贯彻落实,为网络强国战略保驾护航。(作者:中国电子技术标准化研究院 高林 刘贤刚 姚相振)
本文转自d1net(转载)
