2023年7月6日,公安部在京召开新闻发布会,就公安部门认真履行网络安全监管职责及其他问题回答了记者问题。小编对此进行了认真的解读和分析,结合上半年各地陆续下发的《2023年网络安全责任制的检查通知》以及《2022 广东省数字政府网络安全指数评估报告》(以下简称“指数评估报告”),就下一步监管部门量化落地的合规关注点提出合理推断。
01 数据安全落地,从成立“数据安全领导小组”开始
数据安全,属于热度很高,但目前仅在超一线城市和头部企业落地,迟迟未能普及的安全领域。监管部门虽予以提倡,但迟迟未将其纳入日常监管考核范围。但在7月6日的发布会上,公安部的新闻发言人提到“数据安全”、“重要数据”多次达17次,广东省更在《指数评估报告》中,将是否成立数据安全领导小组,确定个人信息安全责任部门纳入评估细则,给予了量化的数字考核指标。
为什么最早被纳入数字考核指标的是这两项?因为这就是所谓的“压紧压实责任”。任何工作,只要告诉领导,出了事找你,那么领导就一定得有所行动,避免问责。如果连责任人都不确定,那就只能是推诿扯皮了。
无独有偶,在2023年网络安全责任制的检查项目中也为数据安全设置了鼓励性的评分指标,像“数据安全风险评估”、“数据分类分级”这类具体指导性文件尚未明确的工作,只要有做就能得分,具体做什么,怎么做,以什么频次做,用什么标准做,都没有严格要求。
这种宽松的引导性政策,其目的在于鼓励各单位部门把数据安全管理的第一步先迈出去。未来,那些“数据安全责任小组”的组长们,在考核的驱动下,也将主动召开“数据安全专项会议”、明确“数据安全责任人”,举行“数据安全专项应急演练”。就像滚雪球一样,只要开始了第一步,就必然越滚越大,最终提升全社会数据安全合规水平。
02 供应商管理升级,供应链安全终于卷出了浪花
供应链安全,其实质是将网络安全的管理边界向外延伸至提供产品和服务的第三方供应商,并根据需要,对直至源头的厂商背景、人员和技术提出管理要求。在国家安全的大背景下,近年来,供应链安全被提升到前所未有的高度,对信息化供应商的管理升级自然也是在“意料之中”。
一方面,通过行政规定,强化了业主单位对供应商的管理责任,督促各单位出台进一步细化的管理规则。例如:江苏省出台了《关于加强党政部门数字化建设中外包活动网络安全管理的指导意见》,河北省出台了《关于加强党政部门数字化建设中外包网络安全管理的意见》,深圳市编制了《深圳市数字政府供应链安全管理办法》。
另一方面,在检查及评估指标中进行细节措施上的量化奖惩。例如:江苏省2023年的主体责任检查中,就对是否设立外包具体台账、开展外包风险排查、记录有问题整改情况以及从严选择承包单位的情况进行具体扣分;广东省数办则是将“供应链管理”作为“安全管理”的六个分类之一,对各地市开展供应链安全管理工作提出三项具体建议,更首次提出:要“面向供应商开展网络安全教育与意识培训”。
03 以问题为导向,后安全时代的升级考核
此次广东的《指数评估报告》中,有一点特别值得注意,那就是四个一级指标中,“安全效果”的分数为30分,高于其他三个方面 
为什么“安全效果”的分数占比会如此之高呢?那是因为历经10余年的发展积累,我国的安全合规建设已取得了长足进步,逐步树立起对自身安全防御能力的信心,形成了“以问题促整改,以整改促发展”的工作理念。因此,监管部门敢于、也勇于将更多的视线聚焦在查找问题、整改闭环上。
公安部在此次新闻发布会上就明确提出:要采取“问题导向,组织开展系列专项执法检查”,不仅如此,还详细给出了2022年的部省市三级公安机关执法检查的对象数量(3.5万家)和下发限期整改通知书的数量(4.6万份)。翻译一下就是:工作目标是“尽可能多地发现问题”,方式是“系列专项执法检查”,2023年的检查数量正常也不会少于2022年。因此,我们也需要做好准备,无论是hvv,还是“x盾”的应急演练,又或者是各类通报、专项检查,都将以更加密集的频次出现,任何一种渠道发现的安全问题和与之对应的整改情况,也都将成为考核检查的内容组成。
声明:本文来自小西牛合规,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
