网络安全法合规应对与网络安全等级保护2.0，德勤帮你配齐!

新年伊始，中国网络安全法合规仍然是众多企业特别是大量外资企业最关心的安全话题之一。2019年1月14日和17日，德勤中国在上海连续举办两次针对外企高管的研讨会，就中国网络安全法合规应对，即将颁布的中国网络安全等级保护条例（简称“等保2.0”）以及国家监管趋势进行阐述，分析和探讨。

德勤中国客户、行业与市场战略合伙人Jens Ewert先生与德勤中国华东区网络安全主管合伙人冯晔先生主持了此次研讨会，此次研讨会荣幸的邀请到监管机构领导以及等保授权测评机构的相关领导和负责人进行精彩的主旨演讲，从监管和等保测评等不同视角介绍过去和当前正在开展的网络安全合规重点工作内容。此外德勤华东网络安全合伙人张震先生也分享德勤对于企业网络安全合规的一些实践与应对。整个会议期间外企高管们踊跃积极参与讨论，提出了企业在网络安全合规工作中遇到的困惑和挑战，例如当前的监管趋势和方向、如何认定关键信息基础设施、数据跨境传输评估的具体场景、如何识别与决定网络安全等级保护的范围与等级等等，会议气氛热烈，赢得参会人员的积极反响和好评。

近年来，国内外网络安全事件频发，安全威胁伴随科技发展日趋复杂与严峻，渗入经济社会方方面面。中国作为网络大国，也是面临网络安全威胁最严重的国家之一。党的十八大以来，以习近平同志为核心的党中央从总体国家安全观出发对加强国家网络安全工作做出了重要的部署，对加强网络安全法制建设提出了明确的要求。制定一套符合中国国情，网络安全监管框架与体系成为网络安全工作重中之重。

2017年6月1日，《网络安全法》正式生效，至此我国就网络安全领域的相关要求上升至国家法律。根据《网络安全法》21条的规定，国家将实行网络安全等级保护。“网络安全等级保护”，它的前身可以追溯到2007年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等四部委制定的《信息安全等级保护管理办法》。此外，《网络安全法》定义关键信息基础设施保护要求，并在31条规定，“国家对关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。值得注意的是，国家公安机关作为国家网络安全执法机关之一，已经在《网络安全法》基础上将网络安全等级保护制度作为网络安全合规的重点工作予以推进并已经出具一系列具体要求和实施措施。

德勤看来，面临日益复杂新技术与趋严化的外部监管环境，企业需要主动对网络安全合规及其相关的网络安全等级保护工作投入更多资源，及时识别业务环节中与中国网络安全合规相关的业务或系统及其潜在的合规风险并采取迅速有效的安全保护措施以应对安全合规要求。

结合会议中各位嘉宾的专业观点，德勤认为：

• 国家对网络安全的监管日益完善和严格，后续法律法规或标准还在陆续制定以及出台过程中，企业应当及时了解相关法规要求，认真研读，内部自查对标并尽快实施整改措施；
• 企业应当重点关注“网络安全等级保护”、“关键基础设施重点保护”、“个人信息保护”、“个人信息与重要数据出境安全评估”、“网络安全产品审查”和“安全预警与应急通报”等关键合规内容，主动执行合规管理；
• 网络安全等级保护是企业必须履行的安全义务，网络安全等级保护2.0将于近期发布，网络安全等级保护制度的威慑力明显加强；
• 网络安全等级保护的范围持续增加，对象的范围从企业基础的业务系统，拓展到工业控制系统、云计算平台等，安全保护的内容也扩大，供应链安全、通报预警等也被纳入其中。