今日頭條
官方微信
官方抖音
資訊頻道2019年6月29日,在關鍵信息基礎設施安全論壇上,中國網絡安全審查技術與認證中心主任魏昊發表了致辭。
致辭全文如下:
尊敬的各位來賓:
大家好。很高興參加第二屆數據安全峰會關鍵信息基礎設施安全論壇。
關鍵信息基礎設施保護和數據安全是當前網絡安全工作的兩個熱點問題。《網絡安全法》用一個章節專門對關鍵信息基礎設施保護做出了明確要求,第三十七條規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。前不久,國家互聯網信息辦又連續發布了《數據安全管理辦法(征求意見稿)》和《個人信息出境安全評估辦法(征求意見稿)》。可見,數據安全問題特別是關鍵信息基礎設施涉及的數據安全問題需要引起我們的高度重視。
當前,數據在經濟社會發展中發揮著越來越重要的作用。從數據總量看,到2020年全球數據總量將達到44ZB,而屆時我國的數據總量將占全球數據總量的20%。從市場規模看,2017年我國數據核心市場規模約234億元人民幣,2018年突破329億元人民幣。從影響力看,大數據戰略對國內生產總值的拉動作用達到了2%-4%。數據不但改變著人們的生活方式,也深刻的改變著社會生產方式,甚至在國防軍事領域引起了巨大的變革。近年來,隨著互聯網技術的快速發展,我國的數據產業帶動數字經濟調整發展,據統計全球數據經濟發展指數排名中,中國處于僅次于美國的第二位,差距僅為0.12。
隨著數據技術和數據產業的極速發展,數據安全問題也越來越突顯。WannaCry勒索病毒攻擊在全球造成的損失高達15-40億美元。全球58%的企業在過去12個月里至少遭遇過一次數據泄露事件。2018年度全球企業用戶數據外泄影響了共計達10億網民。每天有超過2500萬條數據遭到入侵或泄露,也就是每秒291條,涵蓋醫療、信用卡、財務數據、個人身份信息等領域。可以說數據安全問題直接關系到人民生命財產、經濟社會健康發展,甚至國家安全。
面對嚴峻的數據安全形勢,如何做好數據安全保障工作,特別是關鍵信息基礎設施相關的數據安全保障工作,需要我們認真思考。我想從數據的生命周期看,不外乎技術和管理兩個層面;從供應鏈安全的角度看,不外乎技術發展的可持續性和產業生態的可持續性兩個層面。無論從哪個角度看,網絡安全審查和認證制度都將發揮越來越重要的作用。下面,我就數據安全審查認證制度談三點體會和大家交流。
一是要全面推進落實網絡安全審查認證制度。實施網絡安全審查和認證制度是落實《網絡安全法》的重要舉措。《網絡安全法》第二十三條規定網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。第三十五條規定關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。剛剛發布的《數據安全管理辦法(征求意見稿)》第三十四條規定國家網信部門會同國務院市場監督管理部門,指導國家網絡安全審查與認證機構,組織數據安全管理認證和應用程序安全認證工作。
二是要明確審查和認證的基本概念。審查和認證相輔相承又有所區別。認證是由國家認可的認證機構證明一個組織的產品、服務、管理體系符合相關標準、技術規范或其他強制性要求的合格評定活動。也就是說認證的目標是判斷產品或服務的標準符合性,實施認證的主體可以是國家機構,也可以是經過國家認可的企業。而審查是在認證的基礎上對機構或產品服務的可控、可信性進行判斷,目標是發現風險、規范行為、保障安全,作用是建立準入和退出機制。審查的實施主體是國家網信部門。需要強調的是,審查不是重新造輪子,現有認證、測評等工作都是審查制度的重要支撐。
三是要理清數據安全審查認證體系的設計思路,盡快使審查認證制度在數據安全保障中發揮作用。根據前期的工作經驗,我認為在數據安全審查認證體系的設計思路上應該立足以下三點。首先要聚焦數據安全風險。著眼于目前我國數據安全典型問題,如個人信息保護、數據跨境傳輸、數據安全管理等,研究制定標準規范,開展認證。對于可能影響國家安全的產品、服務和組織,開展數據安全審查。其次要立足現有工作基礎。充分利用現有審查認證工作基礎,發揮現有信息安全管理體系、信息安全服務資質、信息安全產品認證的基礎性作用,在認證內容中加強對數據安全的關注。第三要重視國際合作。充分考慮國外法規數據保護法規對企業的影響,探索通過國際互認框架滿足國外法規要求的可行性,推動數據安全認證的國際互認工作。
女士們、先生們,中國網絡安全審查技術與認證中心自2018年更名以來,承擔了網絡安全審查相關技術支撐工作并負責具體組織實施,并繼續開展網絡安全認證工作。目前,我國的網絡安全審查認證制度框架已基本建立。自2008年正式開展信息安全認證認可工作、2014年推出網絡安全審查制度以來,審查和認證各自形成了完整的制度框架。隨著各項工作的推進,審查和認證既有共性又各有側重,既各司其職又互相配合,正在逐步實現融合,在國家網絡安全保障體系中正在發揮愈來愈大的作用。
在新形勢下,網絡安全審查與認證是保障國家網絡空間安全的重要制度安排。尤其是審查認證工作與關鍵信息基礎設施保護和數據安全密切相關,為保護關鍵信息基礎設施作貢獻義不容辭。《關鍵信息基礎設施保護條例》即將發布實施,我們將在中央網信辦的領導下,結合工作實際加強宣傳,推動落實。近期,中國網絡安全審查技術與認證中心還要大力推動數據安全認證、APP認證、面向重點行業的網絡安全人才培養認證等工作,這些工作都與關鍵信息基礎設施保護有著密切的關系。希望各位嘉賓對網絡安全審查與認證工作給予高度的重視和積極支持,也希望加強合作、溝通,共同為關鍵信息基礎設施保護做出應有的貢獻。
謝謝大家!
來源:CII
北京市公安局海淀分局備案號:11010802023656號