凌云时刻

可以感觉到国家对网络安全合规是层层加码，越来越重视，这也是今天企业要转变思路，从被动到主动的一个核心原因。

合规新变化：等保

 2021版公安部等保测评新变化

等保从1.0到2.0，是一个非常大的飞跃。从2.0发布到目前，标准本身并没有改变，但是测评要求有变化。

公安部等保测评报告模板出了2021版，跟2019版变化非常大。它的变化在于得分难度更大，比如说企业原来能拿到90分，但是在云上可能现在只能拿到80分，要是在线下可能只能达到70分。详细来说就是计分从原来的指标加权平均法，变成缺陷扣分法，并且指标会分成一般、重要和关键，关键不符合扣3倍分，重要不符合扣2倍分，管理和技术各占50%且可以调整，数据资源作为独立的测评对象。放在以往，数据是不拉出来做独立的对象的，但现在不一样了，需要跟数据安全法匹配起来。

 不同模板公安部等保测评计分区别

• 按照2019年的指标加权平均法，比如总共是10个类，每类是10项，总共100个测评项。如果计算环境里面有5个不符合，其它的所有大类都是2个不符合，8个符合。可以算出平均不符合率就是23%，然后100%减去23%后乘以100 ，最后得下来就是77分。

• 按照2021年的缺陷扣分法，如果不符合项全部都是一般，也就是按一倍扣分来算，分数扣下来之后还是77分。但是非常不幸的是，我们经常被扣分的项都是很难完成的重要或者关键项，就会导致企业扣分会更多。比如计算环境里面的五个不符合项全是关键项，要扣15分，这样扣下来，就只有67分了，硬生生少了10分。

合规新要求：密评

 密码法的新要求

密评简单地说就是要使用国密算法。密码法于2020年1月1日开始正式施行，但是对一般企业影响不大，因为该法律最开始设定的范围较小，要关键信息基础设施。关键信息基础设施可以把它等同于等保三级，只要是等保三级的系统，企业都要符合密评。但是将来有一天它很可能会扩展，就是像等保一样适用于所有的系统。

今天它主要是应用在政务和金融行业，因为所有政务云和金融云全部是等保三级。所以目前的话密码法在政务和金融这两个行业推广的如火如荼。企业如果要开展商用密码需要应用进行安全性评估，去满足新的合规要求。

 密评标准GB/T 39786——概述

除了密码法之外，国家在2021年也发布了对应的标准——GB/T 39786。

该标准里有管理还有技术，跟等保标准类似。条款基本上跟等保框架是一脉相承的，但是内容会少一点。最主要是要求对于传输、存储的数据进行加密，对数据的完整性、保密性也都有一系列的要求。而且这里面的算法要求不能用国际算法例如AES，而要使用国密算法——如SM2/3/4。企业如果用软件算法的话，只有部分是符合的；如果用硬件算法，就是全部符合。但是今天对大多数企业来说还没有强制要求，等到政务和金融覆盖完了之后，肯定就会轮到普通的企业。

合规新要求：数据安全

 《网络安全法》相关数安条款

前面介绍的等保和密评里面都有很多数据安全内容，但是近几年国家对数据安全特别重视，所以它把数据安全单独提出来了。网络安全法很早就对数据安全做了一些要求，比如防止数据泄露或防止窃取篡改；重要数据应当在境内存储，海外公司进入国内也要求企业数据在境内存储，就比如苹果的ICloud 数据就存在国内。

 《数据安全法》综述

今年还发布了《数据安全法》，其中有三点立法背景：

• 从外部看其实是国家网络空间主权和数据话语权的要求。很多美国公司不愿意在中国成立公司之后把数据放在中国，因为这些数据回流到美国之后，对于美国建立跟中国的竞争优势是非常有帮助的，还包括有很多国家间的竞争成分在里面。

• 从内部的安全需求出发，是国家对基础性战略资源的保护。我们的国家要保护我们的数据资源，来防止被敌对的国家利用。

• 从经济上的需求出发，可以促进数据的开发利用。数据如果不保护，到处都分发下去，就没有任何隐私可言了，个人隐私权会受到很大的侵害。但通过立法，规范之后再使用，数据就可以安全地流通起来，可以给企业创造出更多价值，比如说数据风控，企业就可以把数据拿来做业务风控。

数据安全法适用范围是境内开展数据处理活动及其安全监督监管，这个范围非常大。所以刚刚说密评对一些企业暂时不适用，但是数据安全法对所有企业都适用。还有如果在境外开展数据处理活动，损害到了国家安全或者公共利益的话，企业也会受到相应的惩罚。

 《数据安全法》框架概要

可以在下图中看到《数据安全法》整个框架共分成了7章，这里主要讲解下前四章：

• 第一章是总则，需要企业建立数据安全治理体系。治理体系不等于堆砌产品，要分为治理、持续安全、监管三部分。

• 第二章是数据安全与发展，针对这部分，国家推出了数据安全的评估和认证，这意味着以后企业会有数据安全相应的合规要求，类似于等保。数据交易的管理制度，就是要促进数据的流通。

• 第三章是数据安全制度，这个是企业要重点去看的。企业要建立数据分级分类保护、风险评估、监测预警机制；数据安全审查、数据出口管制、重要数据的出境管理等，这些都是国家层面的。

• 第四章是数据安全保护义务，就是技术层面要做的事情。比如说安全缺陷与漏洞的监控、数据来源的核实、定期的数据安全风险评估、数据安全技术措施。通过数据安全法会发现，其实很多条款都是正好戳中前面的网络安全审查中被处罚下架的APP这个事件。除了罚钱之外，更严重的处罚是吊销营业执照。

• 还有三章就是政务数据安全与开放、法律责任和最后的附则。

 《数据安全法》重点条文解读

关于数据安全评估认证已经有一个数据安全标准，称为DSMM。这是由阿里巴巴集团牵头做的，叫数据安全能力成熟度模型，它是一个立体的框架。从安全能力维度、能力成熟度等级，还有数据安全生命周期维度来看，整个数据安全可以这样去做：从数据安全生命周期可以把它分解成6块，有8个核心能力，就是图中红色标注出来的，比如说数据的分类分级、数据的传输加密、存储的安全。存储安全里面可能有加密的措施、有逻辑隔离的措施。

数据的分类分级一定是跟业务场景相结合，很多行业都会去制定自己行业的数据分类分级的标准，比如说金融行业、汽车行业等。法律里面比如刑法也有一些比较简单的规范，还有近期刚颁发的《个人信息保护法》也提到了什么叫敏感个人信息。举个例子，电商行业必然会涉及到敏感个人信息，用户在电商平台注册的家庭地址、身份证号、手机号、银行卡卡号之类的这些东西都是非常敏感的个人信息，不得泄露。

实际违规案例解读

如何从安全被动合规转变到主动战略风控

最后，鉴于以上的分析，企业如果从被动安全合规要转到主动战略风控需要做以下几件事情：

• 一是理念的转变。企业不能被动地等着公安上门，等着网信办上门，然后开始执法的时候，才去做合规。那时候都晚了，所以要主动，这是第一个。

• 二是企业要了解从国家法律到行政法规到相关标准有哪些。从法律层面出发，国家安全法到网络安全法、密码法、数据安全法，都是国家层面的法律，个人信息保护法，相当于数据安全这个领域的一个特定的法律。然后是各种各样的行政法规，从网信办、工信部、公安部到人行，基本上都是针对于数据安全管理、个人数据保护、数据出境这样的规范。个人数据保护也越来越重要，大家可以看到手机上很多APP更新之后再点进去的话，它会有隐私保护策略的政策，需要用户再读一遍。它那个策略其实都变更过了，为的就是来符合相应的标准，所以企业最后还是要通过标准合规去落地。

以上就是本次分享的内容，谢谢大家。（完）

↓↓↓

如果喜欢我们的文章请点击「在看」✨