習近平總書記指出,沒有網絡安全就沒有國家安全。今年6月1日,《網絡安全法》將正式施行,標志著網絡空間治理、網絡信息傳播秩序規范、網絡犯罪懲治等方面即將翻開嶄新的一頁,國家網絡安全將擁有更為完善的法律基礎和保障。網絡安全標準化是網絡安全保障體系建設的重要組成部分,在維護網絡空間安全、推動網絡空間治理體系變革方面發揮著基礎性、規范性、引領性作用。《網絡安全法》對于網絡安全標準化工作也提出了更明確的要求。
一、進一步加強網絡安全標準體系建設。《網絡安全法》第十五條規定,國家建立和完善網絡安全標準體系。根據國家標準委授予的職責范圍,全國信息安全標準化技術委員會(TC260)承擔著組織制定標準和持續完善國家信息安全標準體系的職責,多年來推動國家網絡安全保障體系建設所需標準的制修訂工作,初步形成了國家網絡安全標準體系。中央網信辦、國家質檢總局、國家標準委聯合印發的《關于加強國家網絡安全標準化工作的若干意見》指出,建立統一權威的國家標準工作機制,全國信息安全標準化技術委員會在國家標準委的領導下,在中央網信辦的統籌協調和有關網絡安全主管部門的支持下,對網絡安全國家標準進行統一技術歸口,統一組織申報、送審和報批。因此,需要加強網絡安全標準戰略性、方向性、基礎性的研究,既要突出重點,也要拓展覆蓋面;既要統籌推進國家標準和行業標準制修訂工作,也要適時引進國外有關標準,進而逐步建立起與《網絡安全法》相配套的國家網絡安全標準體系,以適應新形勢對網絡安全標準化工作的更高要求。
二、加強強制性國家標準的制定出臺。《網絡安全法》在多處強調了制定強制性國家標準的重要性。《網絡安全法》第十條、第二十二條、第二十三條對建設、運營網絡以及通過網絡提供產品和服務的行為提出了遵循強制性標準的要求。當前我國已經出臺的國家網絡安全標準中,多數是推薦性標準,強制性國家標準很少。應根據《網絡安全法》的要求和網絡安全工作需要,從維護國家安全、用戶利益出發,針對網絡產品、服務等方面的安全底線要求制定更多的強制性國家網絡安全標準,以更加有效地應對不斷涌現的各種新的安全風險。
三、加快支撐《網絡安全法》實施的推薦性標準制定。 國家實施“全面依法治國”戰略,這就要求網絡安全工作要緊緊圍繞《網絡安全法》明確的一系列重要制度來開展。其中,《網絡安全法》要求建立信息共享、風險評估機制,對網絡安全產品也提出技術要求,這些制度的落實都需要配套標準的支撐。這就要求標準制定者通過加強標準制定,使《網絡安全法》的相關法律性要求具有更好的可操作性和可執行性。此外,《網絡安全法》中部分未展開的內容,也需要通過標準來發揮作用。例如,《網絡安全法》中對個人信息保護做了大量規定,如何實現這些要求,使用戶條款真正保護個人隱私,這是標準化工作的方向。
四、進一步加強網絡安全標準的國際合作。習近平總書記在第39屆國際標準化組織(ISO)大會的賀信中提到,中國愿同世界各國一道,深化標準合作,加強交流互鑒,共同完善國際標準體系。與此同時,《網絡安全法》第七條規定,國家積極開展網絡空間治理、網絡技術研發和標準制定、打擊網絡違法犯罪等方面的國際交流與合作。當前,國家非常重視國際交流與合作,通過參與國際標準的制修訂,舉辦中美、中歐等雙邊或多邊網絡安全標準化交流合作活動,吸收外國企業參加工作組等方式,有效推動建立了網絡安全國際標準化常態化交流機制。今后,應更進一步加強網絡安全標準的國際交流合作,充分利用好舉辦SC27會議等大型國際標準會議的機會,主導相關標準制定方向,不斷提高我國在國際網絡安全標準領域的權威和影響力。
總而言之,《網絡安全法》既對新時期國家網絡安全標準化工作提出了更高要求,也為今后相關工作指明了方向,必須以《網絡安全法》為核心,逐步構建完善的國家網絡安全標準體系,推動我國網絡安全標準化工作進入新的階段。(中國電子技術標準化研究院 陳舒)