管道企业网络安全管理合规性探讨|信息数据管理研究|管道保护网

管道企业网络安全管理合规性探讨

来源：《管道保护》2022年第5期作者：曹兴时间：2022-10-8 阅读：

曹兴

北京管道公司技术研究中心

在网络安全背景下，合规就如同遵守交通规则，不遵守规则，组织或者个人就会付出代价。因此，企业网络安全合规是企业的“安全带”“护城河”，要树立红线思维和合规意识，遵守相关法律法规、规章制度及道德规范。

1 网络安全背景下管理合规的重要性

网络安全法与数据安全法出台后，对指导管道企业遵从我国网络空间法律行为，保护国家秘密与数据安全，守住网络安全与数据安全的最后防线指明了方向。

网络安全法作为具有强制性的基本法，具有以下特点：①坚持网络安全和信息化发展并重原则；②提出网络空间主权；③强调开展国际合作；④建立统筹协调、分工负责的管理体制；⑤重点保护关键信息基础设施；⑥网络突发事件采取“网络通信管制”；⑦充分发挥行业组织自律作用；⑧加大网络安全资金投入。

网络安全建设需要投入人力、物力、财力，而在监管方面，管道企业因为承载的社会功能和社会责任比较大，监管力度也大，因此，无论是在对网络安全的重视程度上，还是在人财物的投入以及在配合监管方面都值得肯定。

管道企业员工在日常工作中，会涉及公司敏感信息的传递，如果其中包含违规操作很可能会引发关联漏洞，当其积累到一定程度，势必会给公司网络安全造成威胁。因此工作网络环境中的各类行为必须得到约束，这样才能建立一个更和谐健康的工作网络环境。而网络管理“合规”正是要遵守国家法律法规和公司内部运营规章制度，当员工行为触碰其底线时，就应该对其进行追责处理。网络安全法的内容与管道企业内部网络安全管理制度和社会网络安全道德规范又存在着紧密联系，重点从以下三个方面进行分析。

首先，提升了网络安全等级保护制度的法律地位[1]。将等级保护工作根据重要程度，从低到高分为一至五级。定级一般采取自愿原则，关键信息基础设施的等级保护是强制性义务。等级保护工作内容包括：①系统定级；②安全域划分；③等级安全指标设计；④等级安全体系规划；⑤安全等级评测等[2]。信息系统等级保护标准沿用至今，具有一定的科学性和可操作性，为网络安全等级保护制度奠定了基础，提升了网络安全等级保护制度的法律地位[3]，两者顺利衔接，相互融合。但网络安全法规定的等级保护制度总原则，可操作性和执行性不强，需进一步出台相关配套细则加以明确，指导等级保护测评工作的开展，明确重要信息系统及网络安全风险的检查和应急处置工作，强化企业网络安全防御体系建设，提升网络安全管理水平[4]。

其次，对关键信息基础设施实行重点保护。纵观国际社会发生的重大网络安全事件，能源信息基础设施已成为网络攻击的目标，关键基础设施仍然是信息安全保障的最核心内容。例如“永恒之蓝”病毒针对加油站的攻击[5]。我国将关键信息基础设施安全保护上升至法律层面，立法很迫切、出台很及时，说明国家对重要行业和领域网络安全的高度重视，尤其是能源行业的管道企业，应对油气设施及坐标数据进行重点安全保护，不仅需要提高油气信息基础设施自身安全，更应当开展一系列制度规范体系建设，建立完善的规章制度，搭建可落地的制度框架[6]。

最后，网络安全的核心是信息，数据保护是重点。信息可理解为业务数据，业务数据来自业务的开展过程，因此在业务开展过程中去发现信息的安全保护问题，进而使用信息化手段解决此问题，助力业务发展。数据的安全保护，又分为两方面内容：一是要求各企业切实承担起数据安全的职责，即数据的保密性、数据的完整性、数据的可控性及数据的不可否认性[7]。二是保障个人对其个人信息的安全可控，落实网络安全合规义务，其实就是在保护我们每个人的安全。

2 网络安全合规管理存在的问题

网络安全合规是指为了实现依法、依规经营，防控网络安全风险，所建立的一种网络治理机制。企业网络安全合规，是实现网络安全，从而保障国家安全的基础。

首先，表现在网络安全合规意识淡薄，重视程度不够。由于企业规模、性质、所处行业区域等因素的不同，当前企业网络安全合规落实情况总体来说参差不齐。主要原因有依法合规意识薄弱、合规管理机制不成体系、合规管理机构不健全、合规人才体系没有形成、合规监管处罚力度不强等。

其次，表现在可能违反国家法律法规规定，受到行政处罚。依据现行有效的相关法律规定要求，在网络安全保障方面有六项法定合规义务需要遵守和落实。包括实施网络安全等级保护的义务、关键信息基础设施保护义务、数据安全保护义务、个人信息保护义务、违法有害信息的治理和禁止从事危害网络安全的义务等。若违反国家法律法规和企业内部管理制度，不严格执行网络安全管理制度，未履行安全保护义务，会面临重大网络安全法律风险，严重违法还有可能触犯刑法，甚至还会被记录到企业信用档案。

再次，表现在缺乏有效的网络安全人才培养和工作机制。信息技术日新月异，尤其是网络安全技术更新较快，未制定长远的网络安全人才培养规划，业务培训水平参差不齐，且防范知识更新较慢，新的网络安全管理知识领会不深，不仅无法尽快培养一批水平较高的网络安全人员，甚至还会造成网络安全人才严重流失。

最后，表现在内部的合规管理机制还不成熟，网络安全防范措施不够周密。除了基本的网络、设备和存储备份等基础管理以外，应做到数据访问与存放分离，敏感数据加密，访问授权尽量细分和限时等，但是具体落实过程中工作不细致，忽视某些环节会使黑客及网络攻击者有机可乘。安全信息要可视化，能够掌握安全风险来自何处，有针对性的加以防范。安全防范的措施要有弹性，不能一点被攻破，就全盘崩溃。

3 如何提升网络安全管理合规性

针对在网络安全管理合规工作中存在的问题，提升网络安全管理合规水平，从以下几个方面开展工作：

首先，最重要的是单位领导和各部门对网络安全管理合规工作的深刻认识和高度重视。这是网络安全管理合规工作以及信息安全保障工作的核心。只有思想认识提高了，重视程度加强了，才能把住核心关口，把住企业网络安全的第一道防线。

其次，加大网络安全合规义务落实的宣传，尤其是要深刻认识网络安全的重要性，了解风险点。重视网络安全，以切实履行网络安全合规义务，履行应尽的社会责任，遵从网络安全法与数据安全法相关规定，尽到安全保护义务。对于没有落实网络安全合规义务的企业不采用其产品或服务，对于因网络安全问题而受到行政处罚或刑事处罚的，应列入采购黑名单。

再次，加快网络安全人才培养，提高网络安全管理人员业务水平。执行网络安全管理相关岗位分离制度，定期开展网络安全管理业务培训，提高网络安全岗位人员职业素质及法律合规教育。严格执行国家网络安全管理相关规定，建立网络安全加密、数字签名、鉴别、鉴别交换、身份认证等工作机制及网络安全内部管理制度。

最后，定期或不定期开展网络安全风险评估工作。依据网络安全事件发生的频率、严重性和危害性，划分网络安全风险级别，采取不同应对策略和管理制度，完善网络安全风险评估工作流程和违章工作人员责任追究制度，提升网络安全管理工作质量[8]。

参考文献：

[1]马欣，王胜开.对建立网络安全审查制度的分析[J].互联网天地，2014(06) ：45-46.

[2]严承华，陈璐，赵俊阁，李支成、张俊、李阳.信息安全工程[M].北京：清华大学出版社， 2017.

[3]赵林.信息安全等级保护工作取得新进展 [J].信息网络安全，2007(06)：11-12 .

[4]王伟，戴国强.党政机关网站安全管理规范化建设探究[J].信息化建设，2011(08)：43-45.

[5]刘洪梅，张舒.2016年国内外信息安全态势[J].中国信息安全，2017(01)：60-64 .

[6]尹丽波.网络安全法将促进国家关键信息基础设施保护新局面[J].中国信息安全， 2015(08)：110-112 .

[7]信息安全保障[Z].北京：中国信息安全测评中心，2013.

[8]陈凯航.牢固建立“三道防线”加强计算机网络安全管理[J].审计与理财，2017(10):16-17.