2020年作為網(wǎng)絡(luò)安全等級(jí)保護(hù)制度正式實(shí)施的“開(kāi)局之年”，同時(shí)也是眾多網(wǎng)絡(luò)安全合規(guī)方向發(fā)生巨大突破的一年。從年初的《中華人民共和國(guó)密碼法》（簡(jiǎn)稱(chēng)《密碼法》）正式實(shí)施，到《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（簡(jiǎn)稱(chēng)《等級(jí)保護(hù)定級(jí)指南））的正式發(fā)布；從公網(wǎng)安【2020】1960號(hào)文的發(fā)布到《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》（簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法（草案））征求意見(jiàn)，合規(guī)工作逐漸成為網(wǎng)絡(luò)安全建設(shè)中 為重要的一部分。那么，2020年合規(guī)方面發(fā)生了哪些大事件，2021年合規(guī)建設(shè)該何去何從？

2020年1月：《密碼法》正式實(shí)施

《密碼法》作為我國(guó)密碼領(lǐng)域首部綜合性、基礎(chǔ)性法律，從密碼管理的基本原則、分類(lèi)管理、商用密碼從業(yè)單位管理，檢測(cè)認(rèn)證體系建設(shè)，網(wǎng)絡(luò)運(yùn)營(yíng)者使用等多個(gè)角度進(jìn)行了規(guī)范。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)使用者則要求必須使用商用密碼并開(kāi)展商用密碼應(yīng)用安全性評(píng)估工作，未開(kāi)展評(píng)估工作 高面臨一百萬(wàn)的罰款，未采用經(jīng)過(guò)安全審查的產(chǎn)品或服務(wù)則 高面臨采購(gòu)金額十倍的罰款?！睹艽a法》的正式實(shí)施也極大地推動(dòng)了網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)信息系統(tǒng)開(kāi)展商用密碼改造工作的積極性。

2020年4月：《等級(jí)保護(hù)定級(jí)指南》正式發(fā)布
《等級(jí)保護(hù)定級(jí)指南》作為等級(jí)保護(hù)2.0 后一個(gè)更新的標(biāo)準(zhǔn)，明確了確認(rèn)網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象保護(hù)等級(jí)的原理與流程，可用于指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展非涉及秘密的等級(jí)保護(hù)對(duì)象的定級(jí)工作。較上一版本主要有以下幾點(diǎn)變化：

定級(jí)要素與安全保護(hù)等級(jí)調(diào)整

安全保護(hù)等級(jí)矩陣表

專(zhuān)家評(píng)審的范圍明確：從原來(lái)的第三級(jí)及以上需要進(jìn)行專(zhuān)家評(píng)審調(diào)整為第二級(jí)及以上，提高了等級(jí)保護(hù)對(duì)象等級(jí)確認(rèn)的準(zhǔn)確性。

定級(jí)對(duì)象范圍的擴(kuò)大：伴隨著等級(jí)保護(hù)工作的不斷深入，保護(hù)對(duì)象的范圍需要適應(yīng)網(wǎng)絡(luò)安全發(fā)展的需要，因此在《等級(jí)保護(hù)定級(jí)指南》中新加入了“云計(jì)算平臺(tái)/系統(tǒng)”、“物聯(lián)網(wǎng)”、“工業(yè)控制系統(tǒng)”、“采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)”、“數(shù)據(jù)資源”等多種對(duì)象，也為采用新技術(shù)的系統(tǒng)開(kāi)展等級(jí)保護(hù)工作提供了依據(jù)。

2020年7月：公網(wǎng)安【2020】1960號(hào)文件發(fā)布
公網(wǎng)安【2020】1960號(hào)文件指出，《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》作為公安部用于指導(dǎo)重點(diǎn)行業(yè)、部門(mén)開(kāi)展等保、關(guān)保工作的指導(dǎo)性文件。該指導(dǎo)性文件提出了“三大基本原則”（堅(jiān)持分等級(jí)保護(hù)、突出重點(diǎn)；堅(jiān)持積極防御、綜合防護(hù)；堅(jiān)持依法防護(hù)、形成合力）與“四大工作目標(biāo)”（貫徹落實(shí)等級(jí)保護(hù)制度、建立與實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、顯著提升網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和綜合處置能力、基本形成網(wǎng)絡(luò)安全綜合防控體系）。對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者主要關(guān)注以下幾點(diǎn)：

定級(jí)備案：應(yīng)全面梳理網(wǎng)絡(luò)現(xiàn)狀，新建網(wǎng)絡(luò)需在規(guī)劃設(shè)計(jì)階段確定安全保護(hù)等級(jí)；

等級(jí)測(cè)評(píng)：新建第三級(jí)及以上系統(tǒng)必須在通過(guò)等保測(cè)評(píng)后方可投入運(yùn)行；

建設(shè)整改：落實(shí)“三同步”原則，按照“一個(gè)中心、三重防護(hù)”的要求開(kāi)展建設(shè)整改工作；

安全責(zé)任：定期開(kāi)展安全自查與檢測(cè)評(píng)估工作，及時(shí)整改安全隱患與薄弱環(huán)節(jié)；

供應(yīng)鏈管理：采購(gòu)、使用符合法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；

密碼安全防護(hù)：第三級(jí)及以上運(yùn)營(yíng)者應(yīng)在網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)中同步開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

2020年10月：《個(gè)人信息保護(hù)法（草案）》征求意見(jiàn)

《個(gè)人信息法（草案）》以保護(hù)個(gè)人信息權(quán)益、規(guī)范個(gè)人信息處理活動(dòng)、保障個(gè)人信息依法有序自由流動(dòng)、促進(jìn)個(gè)人信息合理使用為立法宗旨，規(guī)定了個(gè)人、企業(yè)、機(jī)關(guān)多主體對(duì)個(gè)人信息保護(hù)的權(quán)利/權(quán)力與義務(wù)。作為網(wǎng)絡(luò)運(yùn)營(yíng)者，應(yīng)重點(diǎn)關(guān)注以下方面：

建立個(gè)人信息安全保護(hù)制度：應(yīng)對(duì)外部用戶(hù)需要明確告知收集、使用、向第三方提供、跨境時(shí)個(gè)人信息處理的規(guī)則；對(duì)內(nèi)則需要制定個(gè)人信息安全內(nèi)部管理制度。

對(duì)外預(yù)防個(gè)人信息流通的風(fēng)險(xiǎn)：應(yīng)保證個(gè)人信息來(lái)源的合法性；應(yīng)在接收方變更原先的處理目的、處理方式時(shí)重新向個(gè)人告知并獲得同意；與第三方共享時(shí)應(yīng)明確雙方對(duì)個(gè)人信息處理的責(zé)任。

2020年11月：金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)發(fā)布
金融行業(yè)等級(jí)保護(hù)2.0標(biāo)準(zhǔn)于11月11日正式發(fā)布與實(shí)施，在國(guó)標(biāo)的基礎(chǔ)上提出了網(wǎng)絡(luò)安全保障總體框架與增強(qiáng)的要求，作為金融設(shè)施的運(yùn)營(yíng)者應(yīng)重點(diǎn)關(guān)于以下內(nèi)容：

總體原則：“技管交互、綜合保障”。遵循“技術(shù)要求”、“管理要求”互相交融的原則，實(shí)現(xiàn)“技術(shù)體系”與“管理體系”的互補(bǔ)。

技術(shù)體系：在傳統(tǒng)防護(hù)的基礎(chǔ)上增強(qiáng)了對(duì)于***持續(xù)威脅監(jiān)測(cè)的要求，增強(qiáng)了對(duì)于誘捕、欺騙攻擊者的要求；在數(shù)據(jù)備份與恢復(fù)方面進(jìn)一步強(qiáng)化，對(duì)同城數(shù)據(jù)中心、異地?cái)?shù)據(jù)中心提出了更高的要求；在云計(jì)算擴(kuò)展要求部分則增強(qiáng)了對(duì)于互聯(lián)網(wǎng)提供金融服務(wù)的云平臺(tái)安全能力的要求。

管理體系：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)基于“建立（規(guī)劃）”、“實(shí)施和執(zhí)行（實(shí)施）”、“監(jiān)控和審查（檢查）”、“保持和改進(jìn)（處置）”的原則，構(gòu)建生命周期管理體系。

結(jié)合2020年合規(guī)大事件，展望2021年合規(guī)工作：

1、合規(guī)工作的重要性逐漸提高：2021年將會(huì)有更多的條例與標(biāo)準(zhǔn)發(fā)布，合規(guī)工作的開(kāi)展也將繼續(xù)深入。從新產(chǎn)品到新方案的運(yùn)用，從經(jīng)費(fèi)與人員的保障到管理制度的落實(shí)，公網(wǎng)安【2020】1960號(hào)文也為網(wǎng)絡(luò)運(yùn)營(yíng)者指明了后續(xù)工作的方向。

2、行業(yè)合規(guī)要求日益強(qiáng)化：2020年發(fā)布了民航、金融、廣電、報(bào)業(yè)等多個(gè)領(lǐng)域的等級(jí)保護(hù)標(biāo)準(zhǔn)，多個(gè)行業(yè)等級(jí)保護(hù)及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)也在積極編制中。2021年合規(guī)工作的行業(yè)屬性將更強(qiáng)，合規(guī)要求也將更為細(xì)化。

3、被動(dòng)防御向主動(dòng)對(duì)抗轉(zhuǎn)換：在關(guān)鍵信息基礎(chǔ)設(shè)施的合規(guī)建設(shè)中，主動(dòng)防御、主動(dòng)對(duì)抗將成為重點(diǎn)，這對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者自身的安全能力提出了更高的要求，如何從海量的安全事件中篩選出有用的信息并進(jìn)行反制是網(wǎng)絡(luò)運(yùn)營(yíng)者首先要解決的問(wèn)題。

4、新技術(shù)領(lǐng)域的合規(guī)要求重視程度逐漸提升：云計(jì)算、5G、區(qū)塊鏈等新技術(shù)廣泛應(yīng)用的同時(shí)，也帶來(lái)了新的安全風(fēng)險(xiǎn)，如何更好開(kāi)展新技術(shù)領(lǐng)域合規(guī)工作是網(wǎng)絡(luò)運(yùn)營(yíng)者需要關(guān)注的重點(diǎn)。