2021年8月4日,《人民日报》头版发布《中国共产党党内法规体系》。收录其中的《党委(党组)网络安全工作责任制实施办法》(以下简称《实施办法》)揭开了党委(党组)领导下的网络安全工作责任制的神秘面纱。
党内法规具有强烈政治属性、鲜明价值导向、科学治理逻辑、统一规范功能,高度凝结党的理论创新和实践经验,是党的中央组织,中央纪律检查委员会以及党中央工作机关体现党的统一意志、规范党的领导和党的建设活动、依靠党的纪律保证实施的专门规章制度。《实施办法》作为《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规,它的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。本文将从责任主体、追责事项、考核与问责等角度切入,深入解读这份首次面世的网络安全党内法规,并从移动安全角度提出专家建议:
一、责任主体
《实施办法》规定,具有网络安全工作责任的主要有三类主体:各级党委(党组)、各地区各部门网络安全和信息化领导机构、行业主管监管部门。
1.各级党委(党组)。各地区各部门各级党政机关、关键信息基础设施运营单位、重要数据和个人信息的处理者等单位的党委(党组)是网络安全工作的责任主体。《实施办法》第二条规定:“按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。”此条规定明确了从中央到地方和基层的政府机关、企事业单位、人民团体中各级党委和党组,是网络安全工作的责任主体,并且进一步明确了领导班子主要负责人和相关领导班子成员的责任。
2.各级(各地区各部门)网络安全和信息化领导机构。《实施办法》第五条、第六条分别规定,各级(各地区各部门)网络安全和信息化领导机构具有分析研判网络安全信息、统筹协调网络安全检查、组织通报网络安全信息等职司片习泛。
3.行业主管监管部门。第四条规定:“行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。”
二、追责事项
《实施办法》第八条规定了两种追究责任的情况:
1.按行为问责,第八条第一款规定:各级党委(党组)违反或者未能正确履行本办法所列职责,按照有关规定追究其相关责任。按此规定,责任主体若未履行本办法所列职责,有违反本办法的不作为或乱作为行为,则按有关规定追究相关责任;
2.按后果问责,第八条第二款规定:“有下列情形之一的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人直至主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任。
1.党政机关门户网站、重点新闻网站、大型网络平台被攻击墓改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
2.地市级以上党政门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪 6 小时以上的;
3.发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;
4.关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;
5.封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的。
三、考核与问责
1.表彰奖励,《实施办法》第七条规定,用表彰奖励的形式促进网络安全工作的落实:“中央网络安全和信息化委员会办公室会同有关部门按照国家有关规定对网络安全先进集体予以表彰,对网络安全先进工作者予以表彰奖励”。
2.干部考核,《实施办法》第十条规定:“各级党委(党组)应当建立网络安全贵任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容“。
3.审计保障,《实施办法》第十一条规定:“各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围”。
4.问责方式,《实施办法》第九条规定:“对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。” “有关规定”,为《中国共产党问责条例》,其中第八条规定了三种针对党组织的问责方式,即检查、通报、改组;四种针对党的领导干部的问责方式,即通报、诫勉、组织调整或者组织处理、纪律处分。给予纪律处分的,依照 《中国共产党纪律处分条例》追究纪律贵任。
四、移动安全专家建议:
针对此次公开的《网络安全工作责任制实施办法》的相关规定,通付盾就移动安全建设建议:
1.党政机关运营使用的App、政务服务App、移动端关键信息基础设施相关单位一定要有保护和检测移动端安全的技术手段,保障App安全,对App进行长期加固保护和安全检测是必要的;
2.行业主管监督部门,依法开展App安全检查、及时处置App违法违规问题,制定移动端网络安全应急方案并定期进行应急演练,一旦发生了网络安全事件,能够及时开展处置,将影响和损失降到最低;
3.单位要储备移动安全技术支撑队伍,当发生相关网络安全事件时,要能够组织技术力量把问题解决处理掉,而不是发生了攻击后因没有及时组织处置、处置不力而被追责;
4. 对于主管部门如网信、公安、上级主管部门通报的问题和风险隐患要及时进行整改与反馈,同时要定期组织自查预防问题发生,对于不少单位缺乏专业技术人员的情况,可以协调整合专业的第三方技术力量,如通付盾移动安全北斗团队可辅助开展好相关工作;
5.完善健全本单位的网络安全责任制检查考核制度,把移动安全建设作为重要的考核项。
通付盾北斗团队
通付盾北斗团队于2013年成立,8年来专注于移动应用全生命周期的安全研究,积累了丰富的移动应用安全实战经验,不断保持技术研发与创新,致力于为企业提供移动应用全生命周期安全工程解决方案。自研了符号执行、动态沙箱、大数据分析、VMP虚拟机保护、iPA动态壳保护等多个核心技术。团队所研发产品已服务于上千家各行业客户,深入到政府、军工、能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业,为数十亿级移动终端提供了移动应用安全保障。通付盾北斗团队是移动安全建设强有力的技术支撑者,守护网络安全,我们一起行动!
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。