国之重器——《关键信息基础设施安全保护条例》解读
自2017年7月10日国家互联网信息办公室(以下简称“网信办”)发布《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《征求意见稿》)并向全社会征求意见已四年有余(见此前的解读文章《必将婴城固守,皆为金城汤池 ——看《关键信息基础设施安全保护条例(征求意见稿)》)。2021年8月17日,《关键信息基础设施保护条例》(以下简称《CII条例》)终于千呼万唤始出来,并将于9月1日正式实施。作为我国在关键信息基础设施安全方面的首部行政法规,《CII条例》在推进关键信息基础设施保障、完善我国网络安全体系、保障国家安全、国计民生与公共利益等诸多方面都有着十分重要的作用。
《CII条例》从关键信息基础设施的认定、完善监督管理体系、运营者责任义务、保障和促进措施与法律责任等多个方面提出总体监管要求,在关键信息基础设施保护法律体系建设中起到提纲挈领的作用。本文将从《网络安全法》(以下简称《网安法》)体系构建的角度出发,对《CII条例》规定的重点内容进行梳理和解读。
一、关键信息基础设施的认定与识别
1. CII的定义
《CII条例》第二条与《网安法》第三十一条采取了类似定义,强调相关网络设备与信息系统被破坏、丧失功能或者数据泄露后的严重危害性。较之于《征求意见稿》围绕行业和领域分别进行细化说明的定义方式,《CII条例》沿用了《网安法》对于CII所涉行业的开放式列举方式,并在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务基础上增加了“国防科技工业”这一类别。实际上,通过行业列举方式明确CII涉及的关键行业已成为国内外认定关键(信息)基础设施的重要且首要方法,例如英国明确了“关键国家基础设施”(Critical National Infrastructure, CNI)涉及化工、民用核能、通信、国防、应急服务、能源、金融、食品、政府、医疗、航天、交通运输和水务等十三个行业;[1]美国则于2013年以第21号总统令形式,对关键基础设施进行调整并按联邦部门进行划分,确定了十六类关键基础设施部门,包括化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、交通运输系统、水务及污水处理系统。[2]
2. CII认定过程
相较于《征求意见稿》中将关键信息基础设施识别的组织工作交由国家行业主管或监管部门来进行,《CII条例》则进一步明确了相关监管部门在认定、识别CII工作上的主动权——基于《CII条例》第九条、第十条的规定,重要行业和领域的主管部门、监督管理部门(即保护工作部门)需要在制定本行业、本领域关键信息基础设施认定规则的基础上,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
另一方面,实践中可能出现网络设施或信息系统因业务调整、技术迭代或其他情况,导致其数据范围、数据重要性、数据量发生重大变化,从而不再被认定为CII或可能被认定为CII的情况。根据《CII条例》第十一条,在CII发生较大变化可能影响其认定结果时,运营者应及时将相关情况报告保护工作部门,保护工作部门进而进行重新认定。
上述规定使得CII认定工作的职权分工更加明确,也向可能处于关键领域和重点行业的企业主体释放了明确的信号,在未来自身CII认定与保护工作中,有必要紧跟主管、监管部门步伐,密切跟踪所述行业、领域CII认定与保护规则的最新动向,并适时根据与主管、监管部门的沟通情况审慎把控自身网络设施、信息系统落入CII的可能性。
3. CII边界识别
诚然,仅凭对于CII所涉行业及对象的规定,实践中可能仍较难准确界定处于“模糊地带”的网络设施与信息系统是否落入CII的范畴。这一问题自《网安法》生效及《征求意见稿》颁布以来,就始终是全国各地有关部门广为研究和探索的话题。例如,云南省互联网信息办公室曾发布研究报告,认为CII的最大可能边界为关键业务正常运行所需的信息流从初始到终止所流经的网络设施、信息系统;如果上述网络设施、信息系统对保障关键业务正常运行至关重要,就应当纳入CII保护范围。[3]可见,报告认为在识别CII边界时,首先应当明晰企业关键业务类型及其对应的信息流,再依据该信息流即可确定有关的网络设施与信息系统,从而一一判断其是否落入CII保护范围。该文件同时为识别者设置了CII边界识别流程,从业务分析到CII元素识别、关键性评估,最后进行CII边界确定,如属于CII则按照规定进行信息备案。
除地方相关工作部门对于CII边界识别进行研究确认外,2020年8月,全国信息安全标准化技术委员会(以下简称“信安标委”)发布了《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》(以下简称《CII边界确定方法(草案)》),明确提出一种基于信息流的CII边界确定方法。《CII边界确定方法(草案)》提出了CII边界识别模型所涵盖的六个方面,包括关键业务、网络设施、信息系统、CBI(关键业务信息)、CBIF(关键业务信息流),以及基础运行环境。其中关键业务为核心要求,由行业主管部门进行认定,是开展CII边界识别的基础,其他要素都围绕关键业务产生。
对比分析可以看出,《CII边界确定方法(草案)》所提出的CII边界识别方法与上述云南网信办研究确定方法理念相似,可见确认CII边界的关键要素仍在于关键业务及其相关信息流。网络设施及信息系统运营者可针对行业主管部门认定的关键业务进一步梳理分析,从而明确关键业务信息种类和作用等关键业务基础情况信息,方可辅助各行业各领域保护工作部门对CII的识别与认定。
此外,根据《CII边界确定方法(草案)》,CII边界具体的识别流程如下图所示:[4]
具体而言,当行业主管部门认定关键业务后,在关键业务基础情况梳理阶段,需要对基本信息、业务特征、业务架构、业务范围进行梳理,并基于此输出关键业务基础情况描述文件;随后,在关键业务信息化情况梳理阶段,则需要就信息化范围、CBI等进行细致梳理;在CII元素梳理阶段,需要根据关键业务信息化情况描述文件,识别并分析关键业务信息(CBI)在整个生存周期内的流动轨迹,即CBIF,并对其中的网络设施、信息系统进行去重处理,得到CII候选元素清单;而后,在CII元素关键性评估阶段,需要考察CII候选元素对关键业务持续、稳定运行的重要性,如评估结果为“关键”,则列入CII元素清单;最终,通过对上述关键业务基础情况梳理、信息化情况梳理、CII元素梳理、CII元素关键性评估的结果进行整合,即可形成CII边界信息文件,作为保护、审查、应急处置等工作的参考依据。
虽然《CII条例》将关键信息基础设施的认定规则交由各行业、各领域的保护工作部门来具体制定,考虑到《CII条例》适才颁布,各行业、各领域的配套规则仍有待未来一段时间成熟定型。因此对于企业而言,现阶段上述地方及标准层面对于CII边界识别的探索研究仍具有重要的参考价值,特别是在国家大力推动CII安全标准体系建设的背景下,关于CII边界识别的各类标准指导文件仍具有十分重要的实践意义。
二、关键信息基础设施运营者的基本义务
1. CII运营者义务概述
《CII条例》第四条规定:关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(“运营者”)主体责任。为此,《CII条例》第三章专章规定了运营者的具体义务,并在《网安法》的基础上,进行了更为具体、全面且深入的规定。据报道,《CII条例》带来的安全投入规模预计将达到百亿元级。[5]因此,运营者应当严格依照《CII条例》以及其他法律法规的要求,严格落实针对CII的网络安全保护义务。
我们总结了《CII条例》中规定的运营者的九大基本义务,以及其下设的专门安全管理机构的八大义务,如下图所示:
(点击查看大图)
2. 与《网安法》的衔接
四部门在就《CII条例》答记者问时曾强调,《CII条例》的一个重要的总体思路就是做好与相关法律、行政法规的衔接,即在《网安法》确立的制度框架下,细化相关制度措施,同时处理好与相关法律、行政法规的关系。[6]《网安法》第三章第二节对CII的运行安全作出了明确规定,相关要求在《CII条例》中进一步得到重申与细化。例如,《网安法》第三十三条规定了CII安全保障的“三同步”原则,即“保证安全技术措施同步规划、同步建设、同步使用”,而《CII条例》在第三章开篇便再次强调了该基础原则。此外,《网安法》规定的运营者设置安全管理机构和负责人和进行安全背景审查,以及在采购网络产品和服务时进行国家安全审查和保密协议签订等义务,也分别在《CII条例》第十四条、十九条和第二十条得到重申。
值得注意的是,《CII条例》对《网安法》第三十四条第一款规定的“设置专门安全管理机构”作出进一步规定,并明确了其具体义务。具体而言,专门安全管理机构是运营者的内设机构,具体负责本单位的CII的安全保护工作,其运行经费、配备相应的人员等均有运营者保障。同时,《CII条例》要求运营者在开展与网络安全和信息化有关的决策时,应当有专门安全管理机构人员参与。此外,《网安法》第三十四条明确的运营者的部分安全保护义务,包括定期进行教育培训与考核、制定应急预案与应急演练等,也由专门安全管理机构一并承接。《网安法》第三十四条第三款规定的“对重要系统和数据库进行容灾备份”虽并未在《CII条例》中具体规定,但信息系统的容灾备份既是个人信息和数据安全保护的考察重点,理论上也是CII运维安全管理的重要组成部分,从上位法规定角度,这一要求同样构成CII运营者应当同步落实的安全保障措施。
3. 与《网络安全审查办法》的衔接
《CII条例》第十九条要求运营者优先采购安全可信的网络产品和服务,如该等产品和服务可能影响国家安全,还应当按照国家网络安全规定通过安全审查;该义务是对《网安法》第三十五条的重申。我们理解,此处“国家网络安全规定”主要指《网络安全审查办法》(以下简称《审查办法》)。近期,有关部门也在尝试就《审查办法》根据国内网络安全相关的立法与实践进行修订与更新,引起业界不小的关注,具体可见我们此前对于相关征求意见稿的分析“八问八答——《网络安全审查办法(修订草案征求意见稿)》 ”。
此处所指的“网络产品和服务”,结合《审查办法》的规定,主要包括核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对CII安全有重要影响的网络产品和服务。根据《审查办法》,运营者在采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。如影响或者可能影响国家安全,则应当向网信办下属的网络安全审查办公室申报,提交申报书、报告、采购文件等材料。同时,运营者就已申报的采购活动,还应通过采购文件、协议等要求该等产品和服务提供者配合执法者进行网络安全审查,并督促其履行其在网络安全审查中作出的承诺。
三、CII的监管落地
1. CII监管保护“各司其职”
在CII的监督管理体制方面,《CII条例》第三条明确了各个监管机构的职责分工。具体而言,国家网信部门负责CII安全保护的统筹协调,而国务院公安部门则负责具体指导监督CII的安全保护工作。国务院电信主管部门和其他有关部门依照《CII条例》及其他相关法律、行政法规的规定,在各自职责范围内负责CII安全保护和监督管理工作,而省级人民政府有关部门依据各自职责对CII实施安全保护和监督管理。
较之于此前的《征求意见稿》第四条,《CII条例》有明显的变更:首先,《CII条例》再次强调了网信部门在CII的安全保护工作中“统筹协调”的地位,但删除了“相关监督管理工作”的表述。其次,《CII条例》明确了公安部门对CII指导监督的基本职能,该规定进一步明确了监管机构的职权划分,能够有效预防不同机构之间职权交叉与冲突的情况。再次,《CII条例》将此前《征求意见稿》中“国家安全、国家保密行政管理、国家密码管理等部门”这一列举式表述改为了“国务院电信主管部门和其他有关部门”的定性式表述,这一改动强调了国务院电信主管部门在CII保护和监管中的作用,有效防止定义过宽或是过窄,同时还规避了“泄露关键信息基础设施清单”的情况。[7]最后,地方层面的管理机构由县级以上提升至省级,从监管级别层面进一步提升了CII安全保护和监督管理的重要程度。
具体到上述机构的职权方面,《CII条例》着重规定了网信部门、公安机关、电信部门、负责关键信息基础设施安全保护工作的部门(“保护工作部门”)等机构的职权。具体而言,上述机构的职权如下图所示:
(点击查看大图)
不难看出,《CII条例》强调了本行业、本领域的保护工作部门在CII的认定与保护工作中的重要性。我们理解,考虑到行业主管部门在各自领域、行业长期的执法实践,在准确识别、认定、保护和管理CII上拥有更多经验。当出现网络安全问题时,行业主管部门也可以结合行业实践,寻求更符合行业特征的解决方式。但是,考虑到网络安全作为一种不断变化、不断演进的非传统风险,行业主管部门在统筹传统安全和非传统安全的过程中也可能出现无法及时应对新型安全威胁因素、不同行业安全保障措施标准不一等问题。因此,《CII条例》着重强调了国家网信办在CII保护与监督执法中的统筹地位,以及公安部的指导监督作用。通过网信办与公安部的统一指导监督,能够有效统筹各个行业、各个领域在CII安全保障层面的基本要求,保障《CII条例》在各个行业的适用性。
2. CII保护细则形成“纵横体系”
《CII条例》作为我国CII安全保障方面的首部行政法规,为保障CII的各项监督管理制度能够有效实施,通过一个更为完备、全面、精细的法规体系支持其进一步落地,从行业、地方、标准化等多个方面对CII的安全保障实现多方位、立体化的规则设定,同样构成《CII条例》发挥其提纲挈领地位的重要内容。
首先,在行业层面,《CII条例》对保护工作部门提出了制定本行业、本领域CII安全规划,建立网络安全监测预警制度,健全网络安全事件预案等要求。基于此,建立、健全本行业、本领域CII配套安全管理体系将成为相关重要行业和领域的主管、监管部门的重要职责。这将为《CII条例》及运营者的CII安全保障义务在具体行业的横向落地提供便利与保障。
其次,在地方层面,《CII条例》第三条规定省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理,使得CII在横向的行业保护的基础上,能够有效的通过地方政府有关部门的安全保障和监管措施得以纵向践行。
再次,在标准化建设层面,《CII条例》第三十四条同步要求国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作,表明国家在推动CII安全保护标准化体系方面的决心。与网络安全、个人信息保护类似,标准化工作也将为CII领域在行业和地方安全保护细则的基础上提供有益补充,为包括主管、监管部门和企业在内的各类主体在CII的认定与保护工作中提供更具有实践意义的深化指引。此前,信安标委制定了《信息安全技术 网络安全等级保护基本要求》等多部网络安全等级保护相关的行业标准,对包括CII运营者在内的所有网络运营者均具有重要的参考意义,涉及的维度包括但不限于基本保护要求、安全保护要求、安全控制措施、防护能力评价要求、供应链安全要求。当前,针对CII安全保障体系建设,信安标委也在积极推动9项相关标准的研制工作,围绕安全保障体系建设各维度,从边界识别、保护要求、控制措施、保障指标、应急体系、检查评估以及供应链安全、数据安全、信息共享、监测预警等方面系统开展标准研制与标准试点工作。信安标委还选取金融、能源、交通等多个行业的运营者展开标准试点,验证标准的可行性、合理性与完备性。[8]通过地方与与行业规则的纵横部署,辅之以标准化体系建设,将能够有效保障《CII条例》全局性、概括性、总体性规定得以进一步细化和落地。
四、结语
从国家战略高度,关键信息基础设施的保护工作历来是国家网络安全战略部署的核心要素之一。早在2016年7月,中共中央办公厅、国务院办公厅印发的《国家信息化发展战略纲要》就明确提出要“加快构建关键信息基础设施安全保障体系,加强党政机关以及重点领域网站的安全防护,建立政府、行业与企业网络安全信息有序共享机制”[9]。特别是在近期因某些企业赴境外上市而引发国内监管部门发动网络安全审查之际,作为网络安全审查核心角色的关键信息基础设施,其具体识别和边界认定更加成为行业内争相讨论却悬而不决的热门话题。因此,对于特别是处于重要行业领域或扮演行业领域内基础设施角色的企业而言,在看待《CII条例》规则时不可忽视与之相互呼应和配套的网络安全保护规则,严格把握和评估自身业务的安全风险,审时度势,谋求业务的稳健发展:
密切关注行业主管部门在CII识别认定方面的最新动向,与主管、监管部门及地方政府部门保持持续沟通。
结合CII识别现有规则趋势,必要情况下对自身网络信息系统构成CII的可能性展开内部评估,形成事先预期,为未来可能的CII保护工作做好提前预备。
关注与CII保护相配套的具体规则制定和落地情况,特别是对于CII涉及的网络产品和服务采购引发的网络安全审查、CII个人信息和重要数据跨境等专门的制度规范,提前形成风险防范意识。
附:《CII条例》与《征求意见稿》条文对比
(点击查看大图)
向下滑动阅览
脚注:
[1] 见英国国家网络安全中心网站,https://www.ncsc.gov.uk/section/private-sector-cni/cni#section_4,最后访问日期:2021年8月22日。
[2] 见美国网络安全与基础设施安全局网站,https://www.cisa.gov/identifying-critical-infrastructure-during-covid-19,最后访问日期:2021年8月22日。
[3] 云南省互联网信息办公室,《关键信息基础设施边界识别 研究报告1.0版》,相关新闻报道见http://www.cac.gov.cn/2019-07/08/c_1124724585.htm,最后访问日期:2021年8月22日。
[4] 见《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》第八节:关键信息基础设施边界识别流程。
[5] 张蕊. 《关键信息基础设施安全保护条例》出炉 预计将带来百亿级安全投入规模[N]. 每日经济新闻,2021-08-19(002).
[6] 耀文. 四部门负责人就《关键信息基础设施安全保护条例》答记者问[N]. 中国电子报,2021-08-20(003).
[7] 南方都市报APP • 隐私护卫队课题组,《关键信息基础设施保护条例:由行业监管部门负责制定认定规则》,https://m.mp.oeeee.com/a/BAAFRD000020210817579889.html,最后访问日期:2021年8月21日。
[8] 杨建军,《标准助力关键信息基础设施安全保障体系建设》,http://www.moj.gov.cn/pub/sfbgw/zcjd/202108/t20210817_435024.html,最后访问日期:2021年8月21日。
[9] 中共中央办公厅 国务院办公厅印发《国家信息化发展战略纲要》,http://www.gov.cn/xinwen/2016-07/27/content_5095336.htm,最后访问日期:2021年8月22日。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
陈胜男
主办律师
合规业务部
屈尘
律师助理
合规业务部
感谢实习生甘雨丰对本文做出的贡献。
责任编辑:刘斯然
编辑:魏雪婷
人工智能:
算法治理系列之——智能时代的算法治理 2021-06
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
我们应该羡慕欧盟国家对个人数据的绝对保护吗?2021-08
数中有术、术中有数——数据权益理论与司法实践探析(下篇)2021-08
数中有术、术中有数——数据权益理论与司法实践探析(上篇)2021-07
利刃出鞘:《数据安全法》下中国数据保护路径解读 2021-06
个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5
数字征信时代的重要信号——征信业务新规草案解读 2021-1
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
Personal Information Protection Law (Draft): A New Data Regime 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
Innovations & New Developments of Cybersecurity Review Measures 2020-05
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
我知道你 在看 哦