郑州网站建设白杨网络,怎么做公司招聘网站,网站建设与管理专业就业方向,淘宝网站建设策划案网络安全合规就是避免违反网络安全有关的法律、法规、规章、合同义务以及任何安全要求#xff0c;标准在网络安全合规工作中扮演着重要的角色。
一、标准在网络安全合规体系中的地位作用
网络安全合规体系包括网络安全有关的法律、法规、规章、其他规范性文件、及合同义务等…网络安全合规就是避免违反网络安全有关的法律、法规、规章、合同义务以及任何安全要求标准在网络安全合规工作中扮演着重要的角色。
一、标准在网络安全合规体系中的地位作用
网络安全合规体系包括网络安全有关的法律、法规、规章、其他规范性文件、及合同义务等网络安全合规体系的如下图所示。考虑到合同义务取决于合同约定范围限于合同相关的各方因此这里合规体系只关注法律、法规和标准。 1法律
法律有广义、狭义两种理解。广义上讲法律泛指一切规范性文件狭义上法律指由享有立法权的立法机关行使国家立法权依照法定程序制定、修改并颁布并由国家强制力保证实施的基本法律和普通法律总称。我国最高权力机关全国人民代表大会和全国人民代表大会常务委员会行使国家立法权立法通过后由国家主席签署主席令予以公布。在网络安全合规体系中法律的级别是最高的适用最广下位法规不得与法律相违背。法律的效力低于宪法不能同宪法相抵触。
我国的网络安全相关法律如《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国电子签名法》、《中华人民共和国电子商务法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等。另外我们还应密切关注即将出台的重要网络安全相关法律如《中华人民共和国数据安全法征求意见中》、《中华人民共和国个人信息保护法立法中》等。
2法规
法规是法令、条例、规则和章程等法定文件的总称包括行政法规、行政规章、地方性法规、规范性文件、政策性文件等。
行政法规
行政法规是国务院为领导和管理国家各项行政工作根据宪法和法律并且按照《行政法规制定程序条例》的规定而制定的各类法规的总称。行政法规的制定主体是国务院行政法规根据宪法和法律的授权制定、行政法规必须经过法定程序制定、行政法规具有法的效力。行政法规一般以条例、办法、实施细则、规定等形式。发布行政法规需要国务院总理签署国务院令其效力次于法律、高于部门规章和地方法规。
网络安全相关行政法规如《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电信条例》、《计算机软件保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》、《网络安全等级保护条例》征求意见稿、《关键信息基础设施安全保护条例》征求意见稿等。
行政规章
行政规章指国务院各部委以及各省、自治区、直辖市的人民政府和省、自治区的人民政府所在地的市以及设区市的人民政府根据宪法、法律和行政法规等制定和发布的规范性文件。国务院各部委制定的称为部门行政规章其余的称为地方行政规章。规章的名称一般称“规定”、“办法”但不得称“条例”。
网络安全相关行政规章如《网络安全审查办法》、《网络信息内容生态治理规定》、《互联网新闻信息服务管理规定》、《儿童个人信息网络保护规定》、《电信和互联网用户个人信息保护规定》、《外国机构在中国境内提供金融信息服务管理规定》、《数据安全管理办法》征求意见稿等
地方性法规
地方性法规是指法定的地方国家权力机关依照法定的权限在不同宪法、法律和行政法规相抵触的前提下制定和颁布的在本行政区域范围内实施的规范性文件。
网络安全相关地方性法规如《贵州省大数据发展应用促进条例》、《深圳经济特区数据条例征求意见稿》等。
规范性文件
狭义上的规范性文件是指除政府规章外行政机关及法律、法规授权的具有管理公共事务职能的组织在法定职权范围内依照法定程序制定并公开发布的针对不特定的多数人和特定事项涉及或者影响公民、法人或者其他组织权利义务在本行政区域或其管理范围内具有普遍约束力在一定时间内相对稳定、能够反复适用的行政措施、决定、命令等行政规范文件的总称。由于这类行政规范性文件数量多涉及面广是行政管理权和行政强制力的体现直接关系到公共利益、社会秩序和公民的切身利益因而日益受到公众的关注。
网络安全相关规范性文件如《微博客信息服务管理规定》、《互联网群组信息服务管理规定》、《移动互联网应用程序信息服务管理规定》等。
政策性文件
政策性文件是指国家政权机关、政党组织和其他社会政治集团以权威形式标准化地规定在一定的历史时期内应该达到的奋斗目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施的文件。如通知、实施方案等
网络安全相关的政策性文件如《关于印发App违法违规收集使用个人信息行为认定方法的通知》《关于加强国家网络安全标准化工作的若干意见》、《关于加强党政机关网站安全管理的通知》等。
3标准
标准是为了在一定的范围内获得最佳秩序经协商一致制定并由公认机构批准共同使用的和重复使用的一种规范性文件。国家标准分为强制性国家标准和推荐性国家标准行业标准、地方标准、团体标准等都是推荐性标准。
强制性国家标准
强制性国家标准是法律行政法规规定强制执行的国家标准国家把保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要等方面的技术要求制定强制性标准。强制性标准具有法属性的特点属于技术法规。
网络安全相关强制性国家标准很少如GB 17859-1999《计算机信息系统安全保护等级划分准则》。
推荐性国家标准
推荐性国家标准是指生产、交换、使用等方面通过经济手段或市场调节而自愿采用的国家标准企业在使用中可以参照执行。推荐性标准起草、发布都是经过优选、简化、统一、协调具有先进性、科学性、通用性、合理性。推荐性标准不具有法属性的特点属于技术文件不具有强制执行的功能。
推荐性国家标准在标准体系中占大部分网络安全相关推荐性标准如《网络安全等级保护定级指南》GB/T22240-2020《网络安全等级保护基本要求》GB/T22239-2019《个人信息安全规范》(GB/T35273-2020)、《信息系统密码应用基本要求》征求意见稿等。
4地位作用
约束力递减
法律、法规和标准在合规体系中的地位不同法律的效力最高、法规其次、标准最低。
强制性标准具有强制的约束力类似于法规文件。尽管“推荐性标准一旦纳入指令性文件将具有相应的行政约束力”但作为标准体系主体的推荐性标准本身是没有强制的约束力。
操作性递增
法律、法规、标准操作性不同一般来说法律、法规和标准的操作性是递增的。法律层次最高、适用范围最广一般是原则性的条款可操作性不强。支撑法律实施的各类法规文件在对象的针对性、要求的具体性、监督的完善性方面都比法律强因而可操作性更强更不论我国强大的行政系统和传统。
而标准是关于某一具体标准化对象的专门技术文件可操作性最强。标准的这种可操作性对于合规体系中的法律、法规支撑作用非常重要。例如近日中国信息安全研究院副院长左晓栋在“数据安全合规确定性与不确定性”的主题演讲中提到《中华人民共和国网络安全法》首次提到了“重要数据”的概念然后《数据安全法征求意见稿》、《网络安全审查办法》、《数据安全管理办法征求意见稿》均提及”重要数据“但什么是重要数据、如何识别重要数据缺乏可操作性。因而业界对2020年已立项的国家标准《重要数据识别指南》翘首以待。 二、推荐性标准合规效力的提升
尽管作为标准体系主体的推荐性标准是自愿采用没有强制的合规约束力但推荐性标准存在以下合规效力提升的情景
1 法律法规引用的推荐性标准在法律法规规定的范围内标准必须执行
在国家技术监督局现国家质量监督检验检疫总局令第12号《中华人民共和国标准化法条文解释》第三章第十四条第三款规定“推荐性标准一旦纳入指令性文件将具有相应的行政约束力。”类似的强制性标准引用的推荐性标准在强制性标准适用的范围内标准必须执行。
2合同中引用的推荐性标准在合同约定的范围内标准必须执行
推荐性国家标准一经接受并采用或各方商定同意纳入合同中就成为各方必须共同遵守的技术依据具有法律上的约束性。
3企业自我声明符合推荐性标准的必须执行标准
企业不管使用的是推荐性国家标准还是企业标准一旦在产品上明示或获得认证并标示认证标志销售的产品就应强制执行该标准。
4与法律法规保持一致是事实上的合规指南
尽管标准是推荐性标准但标准的制定目的就是支撑上位法规标准在要求上与上位法规保持一致是事实上的合规指南标准合规效力提升如《网络安全等级保护定级指南》GB/T22240-2020《个人信息安全规范》GB/T35273-2020。
关于强制性国家标准和推荐性国家标准
《中华人民共和国标准化法》2017年11月4日修订第二条国家标准分为强制性标准、推荐性标准。截至2019 年 12 月底国家标准共38347项其中强制性标准 2131 项占比5.56%推荐性标准 36216 项占比94.44%推荐性标准在标准体系中占大部分——引自《中国标准化发展年度报告2019》。
强制性国家标准是法律行政法规规定强制执行的国家标准国家把保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要等方面的技术要求制定强制性标准。
推荐性国家标准是指生产、交换、使用等方面通过经济手段或市场调节而自愿采用的国家标准企业在使用中可以参照执行。推荐性标准起草、发布都是经过优选、简化、统一、协调具有先进性、科学性、通用性、合理性。
强制性标准和推荐性标准区别如下
1编号不一样
国家标准的编号由国家标准的代号、国家标准发布的顺序号和国家标准发布的年号构成GB代号表示的是强制性国家标准GB/T代号推荐性国家标准。
2范围不一样
强制性国家标准是保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要的标准推荐性国标是通过经济手段或市场调节而自愿采用的国家标准。
3意义不一样
强制性国家标准具有法律层面的意义推荐性国家标准则没有。
强制性标准是计划经济的产物强制性国家标准的精简和推荐性国家标准体系的完善是我国市场经济断发展和对外开放不断深入的必然要求。国务院2015年3月11日印发关于《深化标准化工作改革方案》的通知2016年1月30日国务院办公厅《关于印发强制性标准整合精简工作方案的通知》。改革措施包括“整合精简强制性标准”
在标准体系上逐步将现行强制性国家标准、行业标准和地方标准整合为强制性国家标准
在标准范围上将强制性国家标准严格限定在保障人身健康和生命财产安全、国家安全、生态环境安全和满足社会经济管理基本要求的范围之内。
在标准管理上强制性国家标准由国务院批准发布或授权批准发布强化依据强制性国家标准开展监督检查和行政执法免费向社会公开强制性国家标准文本。
