网络安全合规与标准的主要发展方向

网络安全合规就是避免违反网络安全有关的法律、法规、规章、合同义务以及任何安全要求,标准在网络安全合规工作中扮演着重要的角色。

一、标准在网络安全合规体系中的地位作用

网络安全合规体系包括网络安全有关的法律、法规、规章、其他规范性文件、及合同义务等,网络安全合规体系的如下图所示。考虑到合同义务取决于合同约定,范围限于合同相关的各方,因此,这里合规体系只关注法律、法规和标准。

在这里插入图片描述
(1)法律

法律有广义、狭义两种理解。广义上讲,法律泛指一切规范性文件;狭义上,法律指由享有立法权的立法机关行使国家立法权,依照法定程序制定、修改并颁布,并由国家强制力保证实施的基本法律和普通法律总称。我国最高权力机关全国人民代表大会和全国人民代表大会常务委员会行使国家立法权,立法通过后,由国家主席签署主席令予以公布。在网络安全合规体系中,法律的级别是最高的,适用最广,下位法规不得与法律相违背。法律的效力低于宪法,不能同宪法相抵触。

我国的网络安全相关法律,如《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国电子签名法》、《中华人民共和国电子商务法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等。另外,我们还应密切关注即将出台的重要网络安全相关法律,如《中华人民共和国数据安全法(征求意见中)》、《中华人民共和国个人信息保护法(立法中)》等。

(2)法规

法规是法令、条例、规则和章程等法定文件的总称,包括行政法规、行政规章、地方性法规、规范性文件、政策性文件等。

行政法规

行政法规是国务院为领导和管理国家各项行政工作,根据宪法和法律,并且按照《行政法规制定程序条例》的规定而制定的各类法规的总称。行政法规的制定主体是国务院,行政法规根据宪法和法律的授权制定、行政法规必须经过法定程序制定、行政法规具有法的效力。行政法规一般以条例、办法、实施细则、规定等形式。发布行政法规需要国务院总理签署国务院令,其效力次于法律、高于部门规章和地方法规。

网络安全相关行政法规,如《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电信条例》、《计算机软件保护条例》,《计算机信息网络国际联网安全保护管理办法》,《互联网信息服务管理办法》、《网络安全等级保护条例》(征求意见稿)、《关键信息基础设施安全保护条例》(征求意见稿)等。

行政规章

行政规章指国务院各部委以及各省、自治区、直辖市的人民政府和省、自治区的人民政府所在地的市以及设区市的人民政府根据宪法、法律和行政法规等制定和发布的规范性文件。国务院各部委制定的称为部门行政规章,其余的称为地方行政规章。规章的名称一般称“规定”、“办法”,但不得称“条例”。

网络安全相关行政规章,如《网络安全审查办法》、《网络信息内容生态治理规定》、《互联网新闻信息服务管理规定》、《儿童个人信息网络保护规定》、《电信和互联网用户个人信息保护规定》、《外国机构在中国境内提供金融信息服务管理规定》、《数据安全管理办法》(征求意见稿)等

地方性法规

地方性法规是指法定的地方国家权力机关依照法定的权限,在不同宪法、法律和行政法规相抵触的前提下,制定和颁布的在本行政区域范围内实施的规范性文件。

网络安全相关地方性法规,如《贵州省大数据发展应用促进条例》、《深圳经济特区数据条例(征求意见稿)》等。

规范性文件

狭义上的规范性文件是指除政府规章外,行政机关及法律、法规授权的具有管理公共事务职能的组织,在法定职权范围内依照法定程序制定并公开发布的针对不特定的多数人和特定事项,涉及或者影响公民、法人或者其他组织权利义务,在本行政区域或其管理范围内具有普遍约束力,在一定时间内相对稳定、能够反复适用的行政措施、决定、命令等行政规范文件的总称。由于这类行政规范性文件数量多,涉及面广,是行政管理权和行政强制力的体现,直接关系到公共利益、社会秩序和公民的切身利益,因而日益受到公众的关注。

网络安全相关规范性文件,如《微博客信息服务管理规定》、《互联网群组信息服务管理规定》、《移动互联网应用程序信息服务管理规定》等。

政策性文件

政策性文件是指国家政权机关、政党组织和其他社会政治集团以权威形式标准化地规定在一定的历史时期内,应该达到的奋斗目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施的文件。如通知、实施方案等

网络安全相关的政策性文件,如《关于印发<App违法违规收集使用个人信息行为认定方法>的通知》,《关于加强国家网络安全标准化工作的若干意见》、《关于加强党政机关网站安全管理的通知》等。

(3)标准

标准是为了在一定的范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。国家标准分为强制性国家标准和推荐性国家标准,行业标准、地方标准、团体标准等都是推荐性标准。

强制性国家标准

强制性国家标准是法律行政法规规定强制执行的国家标准,国家把保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要等方面的技术要求制定强制性标准。强制性标准具有法属性的特点,属于技术法规。

网络安全相关强制性国家标准很少,如GB 17859-1999《计算机信息系统安全保护等级划分准则》。

推荐性国家标准

推荐性国家标准是指生产、交换、使用等方面,通过经济手段或市场调节而自愿采用的国家标准,企业在使用中可以参照执行。推荐性标准起草、发布都是经过优选、简化、统一、协调,具有先进性、科学性、通用性、合理性。推荐性标准不具有法属性的特点,属于技术文件,不具有强制执行的功能。

推荐性国家标准在标准体系中占大部分,网络安全相关推荐性标准,如《网络安全等级保护定级指南》(GB/T22240-2020),《网络安全等级保护基本要求》(GB/T22239-2019),《个人信息安全规范》(GB/T35273-2020)、《信息系统密码应用基本要求》(征求意见稿)等。

(4)地位作用

约束力递减

法律、法规和标准在合规体系中的地位不同,法律的效力最高、法规其次、标准最低。

强制性标准具有强制的约束力,类似于法规文件。尽管“推荐性标准一旦纳入指令性文件,将具有相应的行政约束力”,但作为标准体系主体的推荐性标准本身是没有强制的约束力。

操作性递增

法律、法规、标准操作性不同,一般来说,法律、法规和标准的操作性是递增的。法律层次最高、适用范围最广,一般是原则性的条款,可操作性不强。支撑法律实施的各类法规文件,在对象的针对性、要求的具体性、监督的完善性方面都比法律强,因而可操作性更强,更不论我国强大的行政系统和传统。

而标准是关于某一具体标准化对象的专门技术文件,可操作性最强。标准的这种可操作性对于合规体系中的法律、法规支撑作用非常重要。例如,近日中国信息安全研究院副院长左晓栋在“数据安全合规:确定性与不确定性”的主题演讲中提到,《中华人民共和国网络安全法》首次提到了“重要数据”的概念,然后《数据安全法(征求意见稿)》、《网络安全审查办法》、《数据安全管理办法(征求意见稿)》均提及”重要数据“,但什么是重要数据、如何识别重要数据缺乏可操作性。因而,业界对2020年已立项的国家标准《重要数据识别指南》翘首以待。

在这里插入图片描述
二、推荐性标准合规效力的提升

尽管作为标准体系主体的推荐性标准是自愿采用,没有强制的合规约束力,但推荐性标准存在以下合规效力提升的情景:

(1) 法律法规引用的推荐性标准,在法律法规规定的范围内标准必须执行

在国家技术监督局(现国家质量监督检验检疫总局)令第12号《中华人民共和国标准化法条文解释》第三章第十四条第三款规定“推荐性标准一旦纳入指令性文件,将具有相应的行政约束力。”类似的,强制性标准引用的推荐性标准,在强制性标准适用的范围内标准必须执行。

(2)合同中引用的推荐性标准,在合同约定的范围内标准必须执行

推荐性国家标准一经接受并采用,或各方商定同意纳入合同中,就成为各方必须共同遵守的技术依据,具有法律上的约束性。

(3)企业自我声明符合推荐性标准的,必须执行标准

企业不管使用的是推荐性国家标准还是企业标准,一旦在产品上明示,或获得认证并标示认证标志销售的产品,就应强制执行该标准。

(4)与法律法规保持一致,是事实上的合规指南

尽管标准是推荐性标准,但标准的制定目的就是支撑上位法规,标准在要求上与上位法规保持一致,是事实上的合规指南,标准合规效力提升,如《网络安全等级保护定级指南》(GB/T22240-2020),《个人信息安全规范》(GB/T35273-2020)。

=关于强制性国家标准和推荐性国家标准=

《中华人民共和国标准化法》(2017年11月4日修订)第二条:国家标准分为强制性标准、推荐性标准。截至2019 年 12 月底,国家标准共38347项,其中强制性标准 2131 项(占比5.56%),推荐性标准 36216 项(占比94.44%),推荐性标准在标准体系中占大部分——引自《中国标准化发展年度报告2019》。

强制性国家标准是法律行政法规规定强制执行的国家标准,国家把保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要等方面的技术要求制定强制性标准。

推荐性国家标准是指生产、交换、使用等方面,通过经济手段或市场调节而自愿采用的国家标准,企业在使用中可以参照执行。推荐性标准起草、发布都是经过优选、简化、统一、协调,具有先进性、科学性、通用性、合理性。

强制性标准和推荐性标准区别如下:

(1)编号不一样

国家标准的编号由国家标准的代号、国家标准发布的顺序号和国家标准发布的年号构成,GB代号表示的是强制性国家标准,GB/T代号推荐性国家标准。

(2)范围不一样

强制性国家标准是保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要的标准;推荐性国标是通过经济手段或市场调节而自愿采用的国家标准。

(3)意义不一样

强制性国家标准具有法律层面的意义,推荐性国家标准则没有。

强制性标准是计划经济的产物,强制性国家标准的精简和推荐性国家标准体系的完善,是我国市场经济断发展和对外开放不断深入的必然要求。国务院2015年3月11日印发关于《深化标准化工作改革方案》的通知,2016年1月30日,国务院办公厅《关于印发<强制性标准整合精简工作方案>的通知》。改革措施包括“整合精简强制性标准”:

在标准体系上,逐步将现行强制性国家标准、行业标准和地方标准整合为强制性国家标准;

在标准范围上,将强制性国家标准严格限定在保障人身健康和生命财产安全、国家安全、生态环境安全和满足社会经济管理基本要求的范围之内。

在标准管理上,强制性国家标准由国务院批准发布或授权批准发布,强化依据强制性国家标准开展监督检查和行政执法,免费向社会公开强制性国家标准文本。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/42679.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

[java安全]TemplatesImpl在Shiro550反序列化

文章目录 【java安全】TemplatesImpl在Shiro550反序列化Shiro的原理Shiro反序列化产生演示攻击过程payload使用key加密 构造不含数组的GadGets简单调用链 改造cc6为CommonsCollctionsShiro完整POC触发Shiro550漏洞进阶POC总结 【java安全】TemplatesImpl在Shiro550反序列化 Sh…

24.实现线性拟合和相关系数(matlab程序)

1.简述 1. 基本语法 1.1 corr函数基本语法 语法 说明 rho corr(X) 返回输入矩阵X中每对列之间的两两线性相关系数矩阵。 rho corr(X, Y) 返回输入矩阵X和Y中每对列之间的两两相关系数矩阵。 [rho, pval] corr(X, Y) 返回pval&#xff0c;一个p值矩阵&#xff0c…

OceanBase 压测时为什么冻结阈值在变化?

本文从源码角度分析了 OceanBase 压测中冻结阈值动态变化的原因&#xff0c;并给出运维建议。 作者&#xff1a;张乾 外星人2号&#xff0c;兼任五位喵星人的铲屎官。 本文来源&#xff1a;原创投稿 爱可生开源社区出品&#xff0c;原创内容未经授权不得随意使用&#xff0c;转…

Vue3组合式API+TypeScript写法入门

文章目录 前言1.reactive2.ref3.props4.computed5.emit6.watch总结 前言 参考Vue3官网. 本篇以组合式API为例, 但不包含setup语法糖式写法. 原本打算结合class-component, Vue3不推荐就不用了: OverView|Vue Class Component. 而且是不再推荐基于类的组件写法, 推荐单文件组件…

NetSuite ERP顾问的进阶之路

目录 1.修养篇 1.1“道”是什么&#xff1f;“器”是什么&#xff1f; 1.2 读书这件事儿 1.3 十年计划的力量 1.3.1 一日三省 1.3.2 顾问损益表 1.3.3 阶段课题 2.行为篇 2.1协作 2.2交流 2.3文档管理 2.4时间管理 3.成长篇 3.1概念能力 3.1.1顾问的知识结构 …

【idea】idea全局设置Maven配置

Idea版本&#xff1a;2021.1.1 1、点击File->Close project 2、点击Customize->All settings 3、设置Maven

Vue 项目增加版本号输出, 可用于验证是否更新成功

webpack 1. vue.config.js 中增加以下配置, 此处以增加一个日期时间字符串为例, 具体内容可以根据自己需求自定义 // vue.config.js module.exports {chainWebpack(config) {config.plugin(define).tap(args > {args[0][process.env].APP_VERSION ${JSON.stringify(new …

Vue中TodoLists案例_删除

与上一篇Vue中TodoList案例_勾选有三个文件变化了 App.vue&#xff1a;添加了一个deleteTodo根据id删除方法&#xff0c;传递给儿子组件MyList <template><div id"root"><div class"todo-container"><div class"todo-wrap"…

浅谈小程序开源业务架构建设之路

一、业务介绍 1.1 小程序开源整体介绍 百度从做智能小程序的第一天开始就打造真正开源开放的生态&#xff0c;我们的愿景是&#xff1a;定义移动时代最佳体验&#xff0c;建设智能小程序行业标准&#xff0c;打破孤岛&#xff0c;共建开源、开放、繁荣的小程序行业生态。百度…

脑电信号处理与特征提取——三. 脑电实验设计的原理与实例(古若雷)

三、脑电实验设计的原理与实例 被试间设计的实验结果也有可能是人员不同造成的&#xff0c;所以建议被试内设计。

Web前端开发概述(二)

&#x1f60a;Web前端开发概述&#xff08;二&#xff09; &#x1f47b;前言&#x1fa81;前端开发背景&#x1f50d;当下前端开发要求&#x1f526;Web前端开发技术&#x1f3ad;HTML&#x1f3ad;CSS&#x1f3ad;JavaScript&#x1f3ad;HTML DOM&#x1f3ad;BOM&#x1f…

JVM面试题总结

一.请简述对象的创建过程 对象的new字节码执行指令如下图 首先0指令new出一片内存空间&#xff0c;然后进行对象的初始化&#xff0c;初始化完成前变量都是初始值如m0 然后创建连接&#xff0c;t指向对象。 二.DCL单例要不要加volatile&#xff1f; DCL单例就是要懒汉式从创建…

软工导论知识框架(一)软件工程学概述

本贴为B站大连工业大学老师的网课笔记&#xff0c;教材为张海藩第6版&#xff0c;适用于考研和期末复习。 导图比较拥挤&#xff0c;看不清可以单独保存或者放大页面。 一.软件&#xff1a; 软件指的是计算机程序、文档运行程序必须的数据、方法与规则。 方法指的是软件开发…

Java之集合的排序方式(Comparable和Comparator的基本使用以及区别)

文章目录 一、Comparable接口&#xff1a;1. 代码示例&#xff1a;2. 运行结果&#xff1a;3. 案例分析&#xff1a; 二、Comparator接口&#xff1a;1. 代码示例&#xff1a;2. 运行结果&#xff1a;3. 案例分析&#xff1a; 三、Comparable和Comparator对比&#xff1a;1. 接…

文心一言 VS 讯飞星火 VS chatgpt (64)-- 算法导论6.5 3题

文心一言 VS 讯飞星火 VS chatgpt &#xff08;64&#xff09;-- 算法导论6.5 3题 三、要求用最小堆实现最小优先队列&#xff0c;请写出 HEAP-MINIMUM、HEAP-EXTRACT-MIN、HEAP DECREASE-KEY 和 MIN-HEAP-INSERT 的伪代码。 文心一言&#xff1a; 以下是使用最小堆实现最小…

UE5 AI移动无动作问题

文章目录 问题背景解决方法问题背景 在使用行为树让角色移动时,出现角色行走不播放动作的情况: 解决方法 其实有2个问题导致出现这种情况 1、角色动画蓝图的问题 角色动画蓝图可能存在4个问题: ① 无播放行走动画 ② 速度的值未正常传递 ③ 播放移动动作逻辑的值判断错…

qt与opencv学习记录

qtopencv开发入门&#xff1a;4步搞定环境配置-1_哔哩哔哩_bilibili qtopencv开发入门&#xff1a;4步搞定opencv环境配置2_哔哩哔哩_bilibili 文章内容来自上面两个视频&#xff0c;感谢创作者。 ps&#xff1a;配置环境的过程中&#xff0c;遇到了很多问题&#xff0c;我…

90道渗透测试面试题(附答案)

2023年已经快过去一半了&#xff0c;不知道小伙伴们有没有找到自己心仪的工作呀。最近后台收到不少小伙伴说要我整理一些渗透测试的面试题&#xff0c;今天它来了&#xff01;觉得对你有帮助的话记得点个赞再走哦~ 1、什么是渗透测试&#xff1f; 渗透测试是一种评估计算机系统…

C—数据的储存(下)

文章目录 前言&#x1f31f;一、练习一下&#x1f30f;1.例一&#x1f30f;2.例二&#x1f30f;3.例三&#x1f30f;4.例四 &#x1f31f;二、浮点型在内存中的储存&#x1f30f;1.浮点数&#x1f30f;2.浮点数存储&#x1f4ab;&#xff08;1&#xff09;.二进制浮点数&#x…

Meshlab查看三维点云时 ,换背景颜色

Meshlab&#xff0c;一般默认背景颜色是深色&#xff0c; tools->options-> 就可以调meshlab的背景颜色了 双击 图中 标号①&#xff0c; 接着弹出当前颜色框&#xff0c;双击标号②&#xff0c;出现对话框三&#xff0c;可以选择颜色 这里 更换白色背景&#xff0c; …