对网络安全负责人岗位的思考(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。众所周知,《中国信息安全》是国家在网络安全领域非常权威的期刊杂志。DPO沙龙成员在《中国信息安全》2019年2月这一期中,发表了DPO制度的见解,介绍了DPO的前世今生、方方面面。本公号将陆续刊发。本篇作者为联想集团的丁原凤。
正文:
落实安全岗位责任制 保障数据管理依法合规
从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析,欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定,成为基于问责制合规框架的重要“基石”,美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度,虽然在表述上与欧盟的规定不同,但是,其所发挥的岗位功能与前者相似,成为保护企业信息安全和保障数据依法合规的重要角色。
根据《中华人民共和国网络安全法》的规定,网络运营者应确定网络安全负责人,关键信息基础设施运营者应设置专门安全管理机构和安全管理负责人。2018年11月26日,工信部公布了对数家公司的信息网络安全检查情况,并对其中7家进行行政处罚,其中2家企业因未确定网络安全负责人被处罚,责令改正。
网络安全负责人是一个什么样的岗位?对于不同类型的企业来说,应如何设置网络安全负责人以满足相应的法律要求?
《网络安全法》没有对网络安全负责人的岗位和职责进行具体规定,仅笼统规定网络运营者应确定网络安全负责人,关键信息基础设施的运营者应设置专门安全管理机构和安全管理负责人,并对违反这一要求的网络运营者和关键信息基础设施运营者设置了行政处罚规则,包括对直接负责的主管人员进行罚款,从而确定了单位和个人均需承担责任的双规处罚机制。
具体来看,《关键信息基础设施安全保护条例(征求意见稿)》规定:(关键信息基础设施)运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。《网络安全法》规定:网络运营者主要负责人需要对单位违反《网络安全法》的行为承担法律责任。
在前述制度设计下,网络运营者的主要负责人应有充分的动力指定合格的网络安全管理负责人,以确保企业的网络安全合规,减小企业的合规风险及自身的法律风险。
网络安全负责人的职责范围应如何确定?
《关键信息基础设施安全保护条例(征求意见稿)》对网络安全管理负责人的职责作了规定,包括如下内容:(一) 组织制定网络安全规章制度、操作规程并监督执行;(二)组织对关键岗位人员的技能考核;(三)组织制定并实施本单位网络安全教育和培训计划;(四)组织开展网络安全检查和应急演练,应对处置网络安全事件;(五)按规定向国家有关部门报告网络安全重要事项、事件。
从《关键信息基础设施安全保护条例(征求意见稿)》对于网络安全管理负责人的职责规定中可以看出:既包括组织对关键岗位人员的技能考核,也包括对本单位组织实施网络安全教育和培训。笔者理解,“技能考核”应包括网络安全专业知识技能,而“网络安全教育和培训”应包括法律知识(包括网络安全法等)的普及和培训,因此,网络安全管理负责人应同时具备专业和法律“跨界”的知识和技能。
在中国,不同类型的企业应如何确定网络安全管理负责人的任职资格以确保其胜任?
《网络安全等级保护条例(征求意见稿)》要求,对三级以上的网络运营者应明确网络安全负责人并应对网络安全负责人和关键人员进行安全背景审查,落实持证上岗。《关键信息基础设施安全保护条例(征求意见稿)》规定,关键信息基础设施运营者应设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查。由此可见,对于三级以上的网络系统,其网络安全负责人应通过安全背景审查,这是一个必要的前提。
从网络安全负责人的知识和技能结构来看,前面笔者提到网络安全负责人应同时具备网络安全专业知识和网络安全法律知识,应属于跨界型人才。但是,对于不同类型的企业来说,由于其业务模式的差别,对其网络安全负责人的知识结构要求可能存在一定的差异。
对于中小型企业来说,因其规模较小,业务模式相对简单清晰,系统资产往往屈指可数,其网络安全负责人可以比较容易地了解所在企业的网络安全状况,其中的风险点较容易定位和制定控制措施。但是,对于大型或者超大型的企业来说,由于其产品多样,供应商众多,财务系统复杂、企业外包的服务类型也多种多样,数据收集、存储、交换等活动频繁且大量,内部存在不同的IT系统及围绕不同IT系统的技术组织和管理组织。
超大型企业是拥有万名以上员工的企业,这些企业往往同时在世界多个国家开展业务,因此,数据跨境活动往往也是其日常活动的一部分。在供应链全球化和市场全球化的背景下,供应商和客户分布于世界不同的国家,不同国家对于个人信息保护和关键基础设施(CII)存在不同的法律规制,这就大大增加了网络安全负责人的工作难度。
另外,集团化企业内部往往同时存在并运行着多个不同的网络系统,例如,财务结算系统、生产性/非生产性物料管理系统、合同管理系统、HR管理系统等。另外,此类企业往往会运营网上商城等(企业)门户网站,会同时对其客户或最终消费者的信息(包括个人账号注册信息、消费行为信息、设备信息等)进行收集、处理、分析等系统。在不同的企业中,前述系统可能名称各异,或者根据集团内部管理职能的不同划分而有所整合或拆分,但是,其主要功能和特点存在一定的相似性,即多系统并存,数据类型广泛,服务器设置于不同国家和地区,数据分别存储于不同业务单元,且多系统实际上可能由不同部门管理,因此,存在不同的IT负责人。从实践情况来看,可能由公司的首席信息官或首席技术官管理集团IT系统安全及其中的数据安全,集团首席市场官管理(部分或全部)消费者(或目标用户)相关信息和数据,集团人力资源官管理公司员工相关信息和数据等。
鉴于上述情况,从实操角度看,区分不同系统、为不同系统指定其各自实际上的网络安全负责人似乎更容易操作。同一家企业如果有不同的系统,分别对不同的系统进行定级,根据相应的等级来确定匹配的安全措施和管理措施。相应地,不同系统的网络安全负责人的职责和风险也就不一样。
将网络安全法下的网络安全负责人岗位与《通用数据保护条例》(GDPR)下的数据保护官(DPO)职位比较,DPO职位强调其独立性,而网络安全负责人需要接受公司负责人的指令,在网络安全与企业利益之间如何平衡,是对网络安全负责人的考验。从这个角度来看,从聘请第三方专业中介机构或者外部专家担任企业的网络安全负责人成为一个值得考虑的选择。但是,就集团化公司来讲,网络安全负责人岗位既需要对公司的系统资产、数据类型、数据生命周期有相当深入全面了解,也需对公司的管理结构有相当的了解,方可实现其安全管理职能。在这个高要求下,专门的网络安全管理部门也就呼之欲出了。(本文刊登于《中国信息安全》杂志2019年第2期)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点