先庸后达、执两用中

引  言

5月的勒索病毒的恐怖气氛刚刚过去，6月第1天我们迎来了《中华人民共和国网络安全法》的正式施行。这个令全球百余个国家和地区遭到攻击的木马病毒让网络安全成为一个越来越受热议的焦点话题。

《中华人民共和国网络安全法》的正式施行，这在网络安全历史上具有里程碑意义，每个网络安全领域的企业参与者都应及时了解。

本文从网络安全出发，分析《网络安全法》给企业带来的新要求与新挑战，同时为企业应对措施提出相关建议，并将介绍网络安全领域的认证体系——ISO27001信息安全管理体系。

《网络安全法》给企业带来的新要求与新挑战

《网络安全法》全文共七章七十九条整整1万字，将近些年以来网络安全领域一些成熟做法法律化，为将来网络安全的制度设置做了方向指引；并通过对各主体的责任义务和法律责任的详细规定，保证互联网在法治轨道上安全运行。

一、新要求

企业是市场经济运行主体之一，作为网络运营者，服务于个人及各类组织，与各种重要数据打交道，在网络安全领域扮演着重要角色。基于此，《网络安全法》对其做了具体要求：

1、严格按照网络安全等级保护制度的要求，制定内部安全管理制度、采取防范病毒攻击的技术措施、保存网络日志以及将重要数据进行分类、备份及加密；

2、运营网络产品、服务以及网络关键设备和网络安全专用产品应符合国家强制性要求，须经相关安全认证或检测合格；

3、提供网络服务，应要求用户提供真实的身份信息，实行网络实名制；

4、制定应急预案，在危害网络安全的事件发生时有能力采取补救措施；

5、对用户信息严格保密，并采取保护措施，收集、使用应经用户同意；

6、建立投诉、举报制度，并公布相应渠道信息、及时受理投诉举报等。

除上述要求外，某些特殊行业领域如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等的数据关乎国计民生，国家对这些关键信息基础设施实行重点保护。因此，如果企业运营有关“关键信息基础设施”的业务，除要应对上述要求外，《网络安全法》进一步对其设置了更高的要求：

1、设置专人专岗进行安全管理、定期进行网安教育与考核、对重要系统及数据进行容灾备份、并定期演练应急预案；

2、采购网络产品和服务，应与供应商签订安全保密协议，影响国家安全的，还应通过相关部门的国家安全审查；

3、运营中收集到的个人信息和重要数据，应在境内存储，因需须向境外提供的，应通过相关部门的安全评估；

4、应每年至少一次对自身网络安全性和可能存在的风险进行检测评估，并将情况报送信息安全部门等。

对于不遵守《网络安全法》上述要求的企业，面临的是少则一万、多达一百万的罚款，且可能被责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，并对直接负责的主管人员和其他直接责任人员再处罚款；构成犯罪的，还将追究刑事责任。

二、新挑战

新的挑战产生于国家不断要求各部门制定、完善网络安全各类标准，而大部分企业的规范性却远远不够，与国家要求想去甚远。在今年5月举行的2017年中国国际大数据产业博览会上，业界也认为多数企业的网络安全防护水平不高，导致不法分子可以大量窃取数据。

国家作为网络安全建设的总舵手，此时此刻必然要承担铺设轨道，应统筹各方、支持与促进网络安全工作。其中，不仅要建立和完善网络安全保障体系、网络安全标准体系、网络安全社会化服务体系和网络安全等级保护制度；各相关部门还应尽快组织制定并修订网络安全相关国家标准、行业标准。

在国家各种强制性标准之下，企业欲持续性健康发展，则须及时调整自身轨道标准，与国家要求相对接，这是一个巨大的挑战。而挑战往往是与机遇并存的，谁在挑战中取得了先机，谁就会在这条路把别人甩在身后。

因此，企业除了合法运营、保障数据安全之外，重要的是建立健全企业安全管理体系，使得出现任何紧急情况都能有效运转，防护网络安全，保住企业根基。

企业对新要求、新挑战的应对建议

《网络安全法》正式施行后，基于以上新要求和新挑战，企业首先应着重做好安全管理，此外，应密切关注以下政策动向：

1、有关网络安全管理及网络产品、服务的国家标准、行业标准的颁布；

2、网络安全等级保护制度相关文件、网络相关行业的安全行为规范的出台；

3、国家网信部门会同国务院有关部门制定的网络关键设备和网络安全专用产品目录；

4、国家对“关键信息基础设施”、数据境内存储及向境外提供的实施细则；

5、国务院有关部门制定的数据安全评估办法等。

网络安全领域必备的认证体系：ISO27001信息安全管理体系

通过进一步了解《网络安全法》，你会发现，该法不仅明确设置了对企业的新要求和新挑战，同时也对企业建立安全管理体制做了相应指示。从各条文中，业内人士应该已经看到ISO27001信息安全管理体系的影子。

ISO27001类似于ISO9000质量管理体系认证。通过了ISO27001认证，表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。

在信息安全管理方面，ISO27001已成为世界上应用最广泛与典型的信息安全管理标准，其所以取得这样的地位，得益于其较早的起源以及完备的发展。ISO27001最早于1993年起源于英国，随着科技不断发展，该体系已进行不下10次的改版与升级，才成为现在国际上具有代表性的信息安全管理体系标准而得到许多国家政府机构、银行、证券、电信运营商、网络公司及跨国公司的认可。

而ISO27001给企业带来的好处则不止一二，在《网络安全法》施行的背景下，证书的获得能证明企业的安全管理已符合国家法律法规要求，这不仅从外部上提高了企业声誉、客户信任度，保持业务发展和竞争优势，也从内部实现了风险管理、增强员工风险意识，从根本上减少损失、降低企业运营成本。

结  语

在这个大数据时代，数据发展已经进入关键时期。目前，为了更好贯彻实施网络安全法、保障网络安全，国家各部门也在紧锣密鼓地起草相关文件。可见，对于网络安全的保障，制度会越来越完善，措施会更加齐全。随着科技的发展，企业仍将一直是活跃在市场舞台上的主角，因此，把握国家法律政策动向，做好自身管理，是企业在众多新要求、新挑战下长久持续性稳健发展的重要手段。