“数据安全与等级保护”培训实录
3月15日下午,由北京大成(上海)律师事务所高级合伙人陈立彤律师及其团队主持和策划的培训讲座在上海中心大厦15层大成上海办公室成功举办。该讲座围绕时下热门的“数据安全与等级保护”问题展开,在演讲嘉宾公安部第三研究所副研究员、一级警督孙永清先生和安永风险咨询服务部高级经理张楠驰女士的共同参与下,吸引了百余位公司法务、合规专家、网安专家出席。
往期回顾
逾九成受访者表示企业管理中存在“反合规”现象 | 《企业合规外部环境报告》
“法治水平有待提高”是企业道德和社会责任滑坡的主要原因 | 《企业道德与社会责任报告》
陈立彤律师,是北京大成(上海)律师事务所高级合伙人,福特公司前亚太合规总监,中国律师,美国纽约州律师,中国企业文化促进会合规文化工作委员会会长。陈律师为某世界最大的互联网搜索引擎公司之一的的智能网联无人驾驶项目、某世界著名汽车公司的无人驾驶及人工智能场景训练、某世界著名汽车公司的数据跨境项目、世界知名电商平台旗下跨境物流电商平台提供全方位的法律与合规服务。
孙永清研究员,一级警督,国家网络与信息系统安全产品质量监督检测中心高级检验员,公安部第三研究所检测中心网络安全渗透测试实验室高级工程师,工作职责包括信息安全产品检测、信息网络安全研发、信息系统等级保护测评等相关内容,参与多个国家项目及行业标准的制定,发表论文10余篇,拥有专利1项。
张楠驰女士,安永风险咨询服务部高级经理,在安全管理体系、数据安全、业务连续性及网络安全监管合规等领域有着深入的研究,十几年来长期为客户提供信息安全咨询服务。
本次讲座共分为三个部分。陈立彤律师及其团队首先就网络安全等级保护实务和数据安全与合规问题展开论述。其次,孙永清研究员从实践出发,重点探讨了新形势下网络安全保护的政策和要求。在讲座的最后,张楠驰女士向与会来宾介绍了个人信息保护规范的实务与操作。
陈立彤律师及其三位助理肖莎、罗恺希和林声达,首先从等级保护和数据安全与合规这两个方面进行了讲解。网络安全等级保护制度对于企业防范合规风险、法律风险、欺诈风险及操作风险而言,是必不可少的。
陈立彤律师及其团队以其刚刚完成的等保项目,向参会人员介绍了等级保护的基本流程和实施方案,并回答了与会者所关心的实际问题。随后,陈律师团队对数据的安全与合规做了详细的解读,从数据是中药非经“炮制”不能使用这个比喻开始,陈律师团队对个人隐私数据、国家机密、商业机密、重要数据以及竞争情报等五类数据的风险与合规要求做了讲解,并回答了与会者的相关问题,试举一例:
我们是一个跨国公司,我们网站的服务器都在境外,网安法是否对我们适用?我们还要不要做等级保护工作?
答:首先,《网络安全法》不仅适用于在中国境内建设网络,还适用于在中国境内运营、维护和使用网络。其次,等级保护是《网络安全法》下的义务,其合规义务人是网络运营者——网络的所有者、管理者和网络服务提供者。如果您是网络的所有者、管理者,并在国内运营、维护、使用网络,即使网络建设在国外,理论上,您需要履行《网络安全法》下的义务,需要进行等级保护。最后,从网络运行安全、信息安全及数据安全等角度来讲,等级保护不仅可以防范网络攻击,还可以防范合规风险中的欺诈风险和操作风险。在等级保护制度下,第三级系统有将近300个要求项(包括技术要求和管理要求),也是等级测评中的测评项,系统满足这些要求,就达到了相应等级的安全保护能力。比如管理要求中的人员录用,测评中会要求关键岗位人员签订岗位安全协议,离职时候需要办理严格的调离手续等,这些要求在一定程度上可以防范员工偷窃、泄露数据等欺诈风险,这些风险也是近年来频繁发生的。再比如管理要求中的人员培训,要求对各岗位人员、关键岗位人员进行安全认知、技能培训等,降低员工触发系统弱点及可疑事件的可能性,一定程度上防范了操作风险。
陈立彤律师接着介绍了雀巢公司通过培训等积极的合规控制手段获取合规红利——相应盗取自然人客户信息的员工被判入狱,而公司平安无事。
对于人员培训,陈律师团队还介绍了“中国合规网”的“在线培训考试中心”。通过该中心,陈立彤律师团队可以为客户定制在线培训内容,由员工在线参加培训与测试,并由“中国合规网”颁发培训证书(见下图)。
需要陈立彤团队培训视频的(不包括孙永清与张楠驰的培训视频),请按照下面的路径获取:
请按照以下方式购买:
点击合规公众号下方功能栏中“文章报告”进行购买
或者点击最下方“阅读原文”购买。
02
孙永清研究员结合自己的工作经验,为参会人员解读了我国当前的等级保护政策体系和等级测评等工作流程及内容。等级保护是指,依据不同的安全保护等级,对信息系统实施不同程度的保护和监管。
目前,我国的等级保护制度已得到初步建立,正在向2.0时代过渡,重要信息系统和基础网络安全将得到更多制度性的保护。从测评内容上看,可分为技术层面和管理层面。技术层面包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复,管理层面包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
最后,孙永清研究员介绍了依托公安部第三研究所设立的国家网络与信息系统安全产品质量监督检验中心,针对等级测评等工作内容进行了详细描述。
03
张楠驰女士尤其擅长处理IT风险相关领域的工作,她的演讲内容包括个人信息保护法规框架、数据安全管理通用原则和管理实务与操作指南。以全球隐私保护法律的大环境为起点,张女士对现有的个人信息安全规范进行了解读,着重阐述了数据安全管理的通用原则,并从实务与操作的层面为参会人员提供了与实践紧密相连的有益信息。
04
演讲结束后,各演讲人和到场来宾进行了互动,解答了企业重点关心和亟待解决的各项问题,从法律和实践等不同角度给出了切实的建议,讨论气氛空前热烈。
大成Dentons合规专家团队成员
集全球资源,为您提供卓越的服务!
中国合规网培育、倡导合规文化,以文化的软约束和持久力维持、提升合规效果,是中国权威的合规教育培训、人力资源输送、合规评估认证平台。中文官网:Complianceinchina.com; 英文官网:Compliance.reviews。“合规”及“调查”是中国合规网旗下官方认证公众号,相关栏目由北京大成(上海)律师事务所高级合伙人陈立彤律师主持。陈律师是中国律师、美国纽约州律师、福特汽车公司前亚太合规总监、中国企业文化促进会合规文化工作委员会会长。邮箱:
henry.chen@dentons.cn
长按二维码关注我们