中国网络安全开启新纪元

2016年11月7日十二届全国人大常委会第二十四次会议审议并通过了《网络安全法》，该法将于2017年6月1日起施行。《网络安全法》的正式通过和实施意味着中国在信息化时代的网络安全方面将有法可依，并将开启一个网络安全的新纪元。

《网络安全法》全面和系统地确立了各个主体包括国家有关主管部门、网络运营者、网络使用者在网络安全保护方面的义务和责任。另外，它确立了保障网络的设备设施安全、网络运行安全、网络数据安全、以及网络信息安全等各方面的基本制度。总体上有以下六方面突出亮点：

1. 网络安全法明确了网络空间主权的原则；
2. 明确了网络产品和服务提供者的安全义务；
3. 明确了网络运营者的安全义务；
4. 进一步完善了个人信息保护规则；
5. 建立了关键信息基础设施安全保护制度；
6. 确立了关键信息基础设施重要数据跨境传输的规则。
    

企业在遵循《网络安全法》的过程中，可能会遇到以下几方面关键挑战：

一、关键信息基础设施的涵盖范围广，运行安全要求高

根据目前中央网信办对关键信息基础设施的定义来看，可分为网站类、平台类和生产业务类三种类型。除了那些对国计民生或产生重大影响的单位外，以下几条判定准则可能将大多数金融行业、互联网行业和消费行业的信息基础设施纳入关键信息基础设施的范畴：1）日均访问量超过100万人次的网站；2）一旦发生网络安全事故、可能造成超过100万人个人信息泄露；3）注册用户数超过1000万，或活跃用户数超过100万；4）日均成交订单额或交易金额超过1000万元。

而《网络安全法》对关键信息基础设施的运行安全提出了很高的要求，包括安全管理机构、人员安全技能和意识、数据分类、制度和操作流程、安全技术防护、安全状态侦测、容灾、网络安全事件应急体系等。这些企业如何在短时间内提升自身的运行安全水平是巨大的挑战。

二、个人信息保护规则得到明确，需要建立个人信息保护体系

《网络安全法》第四章专门阐述了用户信息保护要求，明确了个人信息的收集、使用、保存和删除等方面的义务，要求网络运营者建立健全的用户信息保护制度。由于我国长期对个人信息和隐私保护的立法缺失和意识淡薄，企业在建立用户信息保护体系的过程中会遇到很大的挑战。

三、关键信息基础设施重要数据跨境传输受到限制

《网络安全法》第三十七条明确规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

对于跨国公司在中国境内的信息系统，一旦被认定为关键基础设施，将不能随意将数据进行跨境传输。该条规定会对境外机构在国内的业务和信息系统产生重大影响。

德勤中国风险咨询部门的技术风险团队在网络安全方面有着丰富的经验和出色的专业团队。我们的以下服务将能帮助组织提升网络安全能力，快速遵循《网络安全法》的要求：

网络战略和治理

• 网络安全规划
• 网络安全治理
• 安全意识培训
   

安全服务

• 网络风险诊断和评估
• 网络安全管理体系
• 大数据安全管理体系
• 云安全规划
• 数据安全和隐私保护
• 外包商安全评估和外包安全体系
   

警戒服务

• 网络渗透性测试和弱点侦测
  
• 安全事故和事件分析 (SIEM)
• 网络安全运营中心管理 (SOC)
• 安全情报智能分析 (CIC)

恢复服务

• 业务连续性
• 容灾和备份
• 网络危机管理