多项法规今天生效！网络安全主体责任将进一步落实

编者按

今天起，《数据安全法》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》这三部对网络安全行业意义重大的政策法规正式实施，它们无一例外对企业的网络安全主体责任做了具体的明确和规范。

同样在今天施行的法规，还有新修订的《中华人民共和国安全生产法》。本文将以大家容易理解的“生产安全”作为对比和参照，来解读“网络安全”相关政策，探讨新规之下的企业和管理层应当如何转换视角，理解和践行肩负的网络安全主体责任。

图片

作者：晓  丹

编辑：罐  子

专家支持：陈颢明

• 2021年6月，政府公布了新修订的《中华人民共和国安全生产法》，将于9月1日正式施行，规定了管行业必须管安全、管业务必须管安全、管生产经营必须管安全，进一步明确安全生产责任。
• 2021年8月，《党委（党组）网络安全工作责任制实施办法》公布，从责任主体、责任范围、责任事项、保障措施等范围落实网络安全责任。
• 8月17日，《关键信息基础设施安全保护条例》正式公布，要求实行“一把手负责制”，并设置专门安全管理机构，进一步强化和落实关键信息基础设施运营者的主体责任。

短短3个月时间，从生产安全到网络安全，主体责任相关问题先后通过多部法规政策的出台和修订进行了明确和细化。

为何对于企业安全主体责任愈发重视？法规对于安全的主体责任相关问题做了哪些规定？企业如何理解和落实自己的网络安全主体责任？

网络安全主体责任，正在向生产安全看齐

生产安全问题历来是企业管理的重中之重，因为涉及职工生命安全、老百姓人身财产安全的大事，安全事件倘若发生，将对企业的经营收入、名声口碑等方面造成重大不利影响，是企业的生存性问题。

伴随数字信息时代的快步发展，数字转型成为企业主普遍和迫切的诉求，网络安全也因此愈发被重视，既代表着一项科技硬实力指标，也成为企业必备的防守基本功，关乎企业发展命脉。

1. 生产安全主体责任已经成为普遍共识

通过多年的要求与具体实践，相关企业对生产安全的责任主体、责任范围的界定理解较为清晰。比如在餐饮、制造业成熟的产业中，消防的主体责任基本已成常识，假设经营场所失火，经营者虽然是受害者但是也要负责任。不少企业内部还会将生产安全会作为常用的工作机制和监管方式，确保从领导班子到生产线的重视。

2. “三个必须”对主体责任再次进行压实

新修订的《生产安全法》提出的“三个必须”——管行业必须管安全、管业务必须管安全、管生产经营必须管安全，除了强调“一把手”对本单位安全生产的主体责任之外，更要求建立健全全员安全生产责任制，让安全生产的责任清晰落实到全员。

3. 政策条例要求把网络安全与生产安全同等看待

坦白说，网络安全目前在国内大多数企业中还没有得到应有的重视。有证券界分析师指出，国内网络安全占信息化的投入比例约为3%，而欧美等发达国家均在10%以上，相较甚远。如今《实施办法》和《保护条例》的出台本质上就是明确企业一把手对企业网络安全负主体责任，只要出了网络安全事件，不仅企业会被问责，一把手也会受到较大影响。只有把网络安全与生产安全同等看待，才能真正抵御风险，应对挑战。

以民用交通行业为例，以往企业第一负责人会主抓生产安全，定期深入检查，毕竟人命关天，出不得半点差错。随着数字化的推进和政策的落实，以后，企业第一负责人也必须以同样的重视程度看待网络安全，定期检查。

尽管相较生产安全更为完善、成熟的体系，企业对网络安全重要程度的认知，对其主体责任的认知还有待更多时间来沉淀、塑造，但相信《实施办法》和《保护条例》的出台正在打开这条“认知之路”，也为网络安全产业升级提供重要推动力。

政策对网络安全主体责任，做了怎样的规定？

当前整个网络安全产业有组织、有目的的网络攻击能力强悍、频繁发生，严重影响企业经营活动与营收，甚至成为“黑灰产”追捧的财富密码。

网络安全产业的规范发展一方面有赖于对“黑灰产”等违法犯罪行为进行有力的打击，另一方面也需要企业内部从组织架构、人员、技术等方面逐步加强安全意识和防守能力。《实施办法》《保护条例》的配套出台就是对企业安全能力提升的倒逼手段。

其中，《实施办法》将安全的责任从上到下，从执行、监管、问责的全周期管理体系进行了十分细致的具体和完整，意味着国家对于网络安全领域管理者的安全责任要求越来越高。具体体现为如下几个方面：

1.《实施办法》明确要求一把手作为网络安全第一责任人

《实施办法》第二条规定，各级对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。

过去，企业的网络安全通常由信息管理部直接负责，归CIO（首席信息官）统筹管理，CIO招募管理员管理企业的网络安全。但现在，很多企业已经成立了信息安全管理委员会来统筹整个企业的信息安全管理工作，委员会的第一负责人即企业的第一负责人。这也意味着，一旦发生网络安全事故，企业一把手作为安全的第一负责人将会被直接追责。

2.《实施办法》首次明确网络安全被纳入审计范围

《实施办法》第十一条规定，各级审计机关在有关部门和单位的审计中，应当将网络安全建设和绩效纳入审计范围。

我们通常认为涉及到企业的财政、资金、经济相关的事项才需要审计，第十一条的规定正体现了网络安全已经成为与财政、资金同等重要的事项。当网络安全被纳入审计监督范围，未来也一定会有配套的审计制度出台。通过审计制度来进行要求，各企业主要负责人对网络安全的重视程度和履职尽责的意愿势必将大大提高。 可以说《实施办法》的公布推动网络安全成为CEO的战略关注问题，真正成为“一把手工程”。

结语

诚然网络安全主体责任的认知和具体实践与生产安全相比仍有较大差距，但伴随着企业数字化的进展加快，更多法规政策对网络安全主体责任做明确和细分，形成更严密、更完善的全周期管理体系，将会有越来越多企业领导层意识到网络安全的重要性，涌现更多具有参考性、可行性的案例实践。我们也不妨期待，作为“一把手工程”的网络安全事业将迎来全新的、充满活力的产业面貌。

参考资料：

[1] 9月1日起，谁再把安全责任全部推给安全部门，就追究谁的责任！

[2] 《党委（党组）网络安全工作责任制实施办法》解读

[3] 深圳试点的首席数据官是个什么“官”