8月初,《中国共产党党内法规汇编》由法律出版社公开出版发行,该书正式解密公开了《党委(党组)网络安全工作责任制实施办法》,作为《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规。
在国家网络安全顶层设计中,如何建立网络安全责任制始终是一个重大问题。
2017年8月15日,中央印发《党委(党组)网络安全工作责任制实施办法》(厅字〔2017〕32号)后文简称《实施办法》,标志着我国网络安全责任制的正式建立,《实施办法》是涉密文件,它的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。
《实施办法》从责任主体、责任范围、责任事项、问责主体、启动问责的条件、问责措施等角度对网络安全工作责任制进行了明确定义。明朝万达数据安全专家对《实施办法》进行了深刻研读解析,表示:《实施办法》对于我们做好网络安全、数据安全等,具有十分重大意义:
(一)网络安全一把手责任的厘清
《实施办法》第三条和第八条引人注目。第三条规定了各级党委(党组)的网络安全责任,第八条规定了应当追究网络安全责任的情形。第三条的具体规定是,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。关于网络安全责任问题,以前大体可以分为两种情况。一种情况是有的单位完全没有将网络安全列入议事日程,没有明确网络安全负责人。另外一种情况好一些,有的单位明确了网络安全负责人,但该负责人一般而言都是本单位分管信息化工作的副职,这已经算是做得不错的了。在《实施办法》印发前,几乎没有哪个单位的网络安全负责人是本单位的行政一把手,更不会是本单位的党委(党组)书记。因为对于本单位业务而言,信息化只是个保障工作,网络安全自然还要从属于信息化。因此,《实施办法》的发布,标志着由一个单位的行政副职担任网络安全负责人、出事后将副职一免了之的做法彻底成为了历史。今后发生网络安全事件,首先要追责本单位的党委(党组)以及领导班子主要负责人。体制内的同志们很清楚这种表述方式,“主要负责人”就是指一把手。当然,各单位可以安排一名副职(领导班子成员)具体协助主要负责人抓网络安全工作,但其只是直接责任人,不是第一责任人。一把手再也不可能将网络安全责任推卸给副职。在更广的意义上,网络安全监督管理职责也是网络安全责任制的一部分。故《实施办法》也同时明确了行业主管监管部门的职责,即对本行业的网络安全负指导监管责任;没有主管监管部门的,则由所在地区负指导监管责任。这里需要强调两点:第一,《网络安全法》提出了“关键信息基础设施安全保护工作部门”,这个“工作部门”就是行业主管监管部门,与《实施办法》所指是一致的,其监督管理职责后来在法律中作了明确规定。第二,无论行业主管监管部门如何“指导”和“监管”,都不改变行业内一个具体单位应当承担的网络安全责任。具体到这个单位,也依然是本单位党委(党组)负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
(二)网络安全建设明确纳入审计范围
《实施办法》第十一条指出,各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围。该条看起来平淡无奇,但却宣告了一个重大制度的启动,为未来的深远影响难以估量。我国审计署的主要审计事项与财政、资金、经济相关,此后根据生态保护工作需要增加了对自然资源管理、污染防治和生态保护与修复情况的审计。《实施办法》的出台意味着,今后我国将建立网络安全审计制度,由国家审计署对各单位的网络安全进行审计。这一“实招”将极大地提升各单位主要负责人对网络安全履职尽责的意愿,极大地增强网络安全监督管理手段,极大地释放网络安全市场空间。
(三)网络安全和信息化领导机构职责界定
《实施办法》重点解决的问题是一个单位的网络安全责任归属问题。但各地网络安全和信息化委员会的职责,也的确属于广义的网络安全责任制的一部分。故《实施办法》还规定了“网络安全和信息化领导机构”的职责。并且与网信办的职责有着一定的区别:第一,《实施办法》规定的是各地区、各部门网络安全和信息化委员会的职责,而网信部门只是“网络安全和信息化委员会”的办事机构,不能将两者混淆。对各地区、各部门网络安全和信息化委员会而言,中央文件此前尚未作出明确职责规定,也未提出要求,但这又不可能通过法律法规来解决,只能由党内文件明确。例如,《实施办法》指出,各地区、各部门网信委如出台涉及网络安全的重要政策和制度措施,应当报中央网信委;每年度,各地区、各部门网信委应当向中央网信委报告网络安全工作情况。第二,法律法规规定的是“网信部门”的职责,这特指“互联网信息办公室”的职责。作为网信委的办事机构,各地网信办有两个牌子,一个是网络安全和信息化委员会办公室,一个是互联网信息办公室。前者是党的序列,后者履行政府职能。法律法规不能规定党的机构的职责,所以法律法规中的“网信部门”均指“互联网信息办公室”。但“网络安全和信息化委员会办公室”的职责怎么办?这也只能通过党内文件来规定。例如,《实施办法》指出,各级网信办可以提出问责建议。第三,人们常说“网信委”、“网信办”,那往往指的是各地“网信委”、“网信办”,但各部门也有“网信委”、“网信办”,例如国务院各部委往往都设立了网信委,部党组书记任主任,且在部内指定了网信办。对于后者,任何文件没有规定其职责。故《实施办法》也要作出明确。
(四)数据安全重要性的不断凸现
从2017年的《网络安全法》、2019年的《密码法》,再到今年的《数据安全法》,还有即将出台的《个人信息保护法》,再到细化的各种指引和规范。可见我们国家对网络空间、信息安全、数据安全等领域的重要性在不断的提升。特别是《实施办法》的公开解密,可以说是国家把网络安全由政府职能进一步提升到了组织使用的政治高度。《密码法》总则第四条:“坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设”,明确规定了党管密码,网络安全作为网络空间的重要部分事关国家主权。所以在今后的网络安全发展中,重要性会不断得到提升,并且从组织领导、国家政策、监督监管等多方面给予很大的支持。
各企业的“一把手”作为网络安全的第一责任人,推进网络安全建设责无旁贷。关注网络安全大框架的同时,对于属于网络安全至关重要部分的数据安全,也应该不断从管理和技术两个层面进行加强。
在大数据、云计算和互联网等新技术应用背景下,作为中国新一代信息安全的代表厂商,明朝万达以数据安全为核心,自主可控的国密算法应用技术为基础,研发的Chinasec(安元)数据安全系列产品,覆盖数据产生、存储、交换、使用等全生命周期重要环节,实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理,致力于打造世界领先的数据安全防护体系。相关产品及服务已在金融、政府、电信运营商等关键行业得到大规模应用,占据领先的市场地位。
作为中国数据安全市场头部企业,明朝万达专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务,客户覆盖金融、公安、政府、电信运营商、能源、设计院所、研发制造业等国内重要行业,签约客户超过3000家。公司始终将技术创新作为企业发展的核心推动力,基于国内领先的自主知识产权和专利技术,与客户业务深度融合,为其提供量身定制的数据安全解决方案。截止目前公司已申请信息安全领域发明技术专利近400项,累计获授权140项。同时公司还承担了国家级、市级技术攻关课题30余项。
