8月初,《中國共產黨黨內法規匯編》由法律出版社公開出版發行,該書正式解密公開了《黨委(黨組)網絡安全工作責任制實施辦法》,作為《中國共產黨黨內法規體系》唯一收錄的網絡安全領域的黨內法規。
在國家網絡安全頂層設計中,如何建立網絡安全責任制始終是一個重大問題。
2017年8月15日,中央印發《黨委(黨組)網絡安全工作責任制實施辦法》(廳字〔2017〕32號)后文簡稱《實施辦法》,標志著我國網絡安全責任制的正式建立,《實施辦法》是涉密文件,它的公開發布將對厘清網絡安全責任、落實保障措施、推動網信事業發展產生巨大影響。
《實施辦法》從責任主體、責任范圍、責任事項、問責主體、啟動問責的條件、問責措施等角度對網絡安全工作責任制進行了明確定義。明朝萬達數據安全專家對《實施辦法》進行了深刻研讀解析,表示:《實施辦法》對于我們做好網絡安全、數據安全等,具有十分重大意義:
(一)網絡安全一把手責任的厘清
《實施辦法》第三條和第八條引人注目。第三條規定了各級黨委(黨組)的網絡安全責任,第八條規定了應當追究網絡安全責任的情形。第三條的具體規定是,各級黨委(黨組)對本地區本部門網絡安全工作負主體責任,領導班子主要負責人是第一責任人,主管網絡安全的領導班子成員是直接責任人。關于網絡安全責任問題,以前大體可以分為兩種情況。一種情況是有的單位完全沒有將網絡安全列入議事日程,沒有明確網絡安全負責人。另外一種情況好一些,有的單位明確了網絡安全負責人,但該負責人一般而言都是本單位分管信息化工作的副職,這已經算是做得不錯的了。在《實施辦法》印發前,幾乎沒有哪個單位的網絡安全負責人是本單位的行政一把手,更不會是本單位的黨委(黨組)書記。因為對于本單位業務而言,信息化只是個保障工作,網絡安全自然還要從屬于信息化。因此,《實施辦法》的發布,標志著由一個單位的行政副職擔任網絡安全負責人、出事后將副職一免了之的做法徹底成為了歷史。今后發生網絡安全事件,首先要追責本單位的黨委(黨組)以及領導班子主要負責人。體制內的同志們很清楚這種表述方式,“主要負責人”就是指一把手。當然,各單位可以安排一名副職(領導班子成員)具體協助主要負責人抓網絡安全工作,但其只是直接責任人,不是第一責任人。一把手再也不可能將網絡安全責任推卸給副職。在更廣的意義上,網絡安全監督管理職責也是網絡安全責任制的一部分。故《實施辦法》也同時明確了行業主管監管部門的職責,即對本行業的網絡安全負指導監管責任;沒有主管監管部門的,則由所在地區負指導監管責任。這里需要強調兩點:第一,《網絡安全法》提出了“關鍵信息基礎設施安全保護工作部門”,這個“工作部門”就是行業主管監管部門,與《實施辦法》所指是一致的,其監督管理職責后來在法律中作了明確規定。第二,無論行業主管監管部門如何“指導”和“監管”,都不改變行業內一個具體單位應當承擔的網絡安全責任。具體到這個單位,也依然是本單位黨委(黨組)負主體責任,領導班子主要負責人是第一責任人,主管網絡安全的領導班子成員是直接責任人。
(二)網絡安全建設明確納入審計范圍
《實施辦法》第十一條指出,各級審計機關在有關部門和單位的審計中,應當將網絡安全建設和績效納入審計范圍。該條看起來平淡無奇,但卻宣告了一個重大制度的啟動,為未來的深遠影響難以估量。我國審計署的主要審計事項與財政、資金、經濟相關,此后根據生態保護工作需要增加了對自然資源管理、污染防治和生態保護與修復情況的審計。《實施辦法》的出臺意味著,今后我國將建立網絡安全審計制度,由國家審計署對各單位的網絡安全進行審計。這一“實招”將極大地提升各單位主要負責人對網絡安全履職盡責的意愿,極大地增強網絡安全監督管理手段,極大地釋放網絡安全市場空間。
(三)網絡安全和信息化領導機構職責界定
《實施辦法》重點解決的問題是一個單位的網絡安全責任歸屬問題。但各地網絡安全和信息化委員會的職責,也的確屬于廣義的網絡安全責任制的一部分。故《實施辦法》還規定了“網絡安全和信息化領導機構”的職責。并且與網信辦的職責有著一定的區別:第一,《實施辦法》規定的是各地區、各部門網絡安全和信息化委員會的職責,而網信部門只是“網絡安全和信息化委員會”的辦事機構,不能將兩者混淆。對各地區、各部門網絡安全和信息化委員會而言,中央文件此前尚未作出明確職責規定,也未提出要求,但這又不可能通過法律法規來解決,只能由黨內文件明確。例如,《實施辦法》指出,各地區、各部門網信委如出臺涉及網絡安全的重要政策和制度措施,應當報中央網信委;每年度,各地區、各部門網信委應當向中央網信委報告網絡安全工作情況。第二,法律法規規定的是“網信部門”的職責,這特指“互聯網信息辦公室”的職責。作為網信委的辦事機構,各地網信辦有兩個牌子,一個是網絡安全和信息化委員會辦公室,一個是互聯網信息辦公室。前者是黨的序列,后者履行政府職能。法律法規不能規定黨的機構的職責,所以法律法規中的“網信部門”均指“互聯網信息辦公室”。但“網絡安全和信息化委員會辦公室”的職責怎么辦?這也只能通過黨內文件來規定。例如,《實施辦法》指出,各級網信辦可以提出問責建議。第三,人們常說“網信委”、“網信辦”,那往往指的是各地“網信委”、“網信辦”,但各部門也有“網信委”、“網信辦”,例如國務院各部委往往都設立了網信委,部黨組書記任主任,且在部內指定了網信辦。對于后者,任何文件沒有規定其職責。故《實施辦法》也要作出明確。
(四)數據安全重要性的不斷凸現
從2017年的《網絡安全法》、2019年的《密碼法》,再到今年的《數據安全法》,還有即將出臺的《個人信息保護法》,再到細化的各種指引和規范。可見我們國家對網絡空間、信息安全、數據安全等領域的重要性在不斷的提升。特別是《實施辦法》的公開解密,可以說是國家把網絡安全由政府職能進一步提升到了組織使用的政治高度。《密碼法》總則第四條:“堅持中國共產黨對密碼工作的領導。中央密碼工作領導機構對全國密碼工作實行統一領導,制定國家密碼工作重大方針政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設”,明確規定了黨管密碼,網絡安全作為網絡空間的重要部分事關國家主權。所以在今后的網絡安全發展中,重要性會不斷得到提升,并且從組織領導、國家政策、監督監管等多方面給予很大的支持。
各企業的“一把手”作為網絡安全的第一責任人,推進網絡安全建設責無旁貸。關注網絡安全大框架的同時,對于屬于網絡安全至關重要部分的數據安全,也應該不斷從管理和技術兩個層面進行加強。
在大數據、云計算和互聯網等新技術應用背景下,作為中國新一代信息安全的代表廠商,明朝萬達以數據安全為核心,自主可控的國密算法應用技術為基礎,研發的Chinasec(安元)數據安全系列產品,覆蓋數據產生、存儲、交換、使用等全生命周期重要環節,實現對服務器、數據庫、PC終端、移動終端以及網絡通信的全IT架構下數據安全的協同聯動管理,致力于打造世界領先的數據安全防護體系。相關產品及服務已在金融、政府、電信運營商等關鍵行業得到大規模應用,占據領先的市場地位。
作為中國數據安全市場頭部企業,明朝萬達專注于數據安全、公共安全、云安全、大數據安全及加密應用技術解決方案等服務,客戶覆蓋金融、公安、政府、電信運營商、能源、設計院所、研發制造業等國內重要行業,簽約客戶超過3000家。公司始終將技術創新作為企業發展的核心推動力,基于國內領先的自主知識產權和專利技術,與客戶業務深度融合,為其提供量身定制的數據安全解決方案。截止目前公司已申請信息安全領域發明技術專利近400項,累計獲授權140項。同時公司還承擔了國家級、市級技術攻關課題30余項。
