习近平总书记指出,没有网络安全就没有国家安全。今年6月1日,《网络安全法》将正式施行,标志着网络空间治理、网络信息传播秩序规范、网络犯罪惩治等方面即将翻开崭新的一页,国家网络安全将拥有更为完善的法律基础和保障。网络安全标准化是网络安全保障体系建设的重要组成部分,在维护网络空间安全、推动网络空间治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》对于网络安全标准化工作也提出了更明确的要求。
一、进一步加强网络安全标准体系建设。《网络安全法》第十五条规定,国家建立和完善网络安全标准体系。根据国家标准委授予的职责范围,全国信息安全标准化技术委员会(TC260)承担着组织制定标准和持续完善国家信息安全标准体系的职责,多年来推动国家网络安全保障体系建设所需标准的制修订工作,初步形成了国家网络安全标准体系。中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》指出,建立统一权威的国家标准工作机制,全国信息安全标准化技术委员会在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。因此,需要加强网络安全标准战略性、方向性、基础性的研究,既要突出重点,也要拓展覆盖面;既要统筹推进国家标准和行业标准制修订工作,也要适时引进国外有关标准,进而逐步建立起与《网络安全法》相配套的国家网络安全标准体系,以适应新形势对网络安全标准化工作的更高要求。
二、加强强制性国家标准的制定出台。《网络安全法》在多处强调了制定强制性国家标准的重要性。《网络安全法》第十条、第二十二条、第二十三条对建设、运营网络以及通过网络提供产品和服务的行为提出了遵循强制性标准的要求。当前我国已经出台的国家网络安全标准中,多数是推荐性标准,强制性国家标准很少。应根据《网络安全法》的要求和网络安全工作需要,从维护国家安全、用户利益出发,针对网络产品、服务等方面的安全底线要求制定更多的强制性国家网络安全标准,以更加有效地应对不断涌现的各种新的安全风险。
三、加快支撑《网络安全法》实施的推荐性标准制定。 国家实施“全面依法治国”战略,这就要求网络安全工作要紧紧围绕《网络安全法》明确的一系列重要制度来开展。其中,《网络安全法》要求建立信息共享、风险评估机制,对网络安全产品也提出技术要求,这些制度的落实都需要配套标准的支撑。这就要求标准制定者通过加强标准制定,使《网络安全法》的相关法律性要求具有更好的可操作性和可执行性。此外,《网络安全法》中部分未展开的内容,也需要通过标准来发挥作用。例如,《网络安全法》中对个人信息保护做了大量规定,如何实现这些要求,使用户条款真正保护个人隐私,这是标准化工作的方向。
四、进一步加强网络安全标准的国际合作。习近平总书记在第39届国际标准化组织(ISO)大会的贺信中提到,中国愿同世界各国一道,深化标准合作,加强交流互鉴,共同完善国际标准体系。与此同时,《网络安全法》第七条规定,国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作。当前,国家非常重视国际交流与合作,通过参与国际标准的制修订,举办中美、中欧等双边或多边网络安全标准化交流合作活动,吸收外国企业参加工作组等方式,有效推动建立了网络安全国际标准化常态化交流机制。今后,应更进一步加强网络安全标准的国际交流合作,充分利用好举办SC27会议等大型国际标准会议的机会,主导相关标准制定方向,不断提高我国在国际网络安全标准领域的权威和影响力。
总而言之,《网络安全法》既对新时期国家网络安全标准化工作提出了更高要求,也为今后相关工作指明了方向,必须以《网络安全法》为核心,逐步构建完善的国家网络安全标准体系,推动我国网络安全标准化工作进入新的阶段。
(中国电子技术标准化研究院 陈舒)