当前,佛山正处于数字化转型的关键期,企业对数据分类分级、商用密码应用、等级保护测评等合规要求的理解与落地需求日益迫切。今年2月,佛山召开全市网信办主任会议,提出要“强赋能,以更高质量网信效能助力城市发展”。 在此背景下,5月22日,由中共佛山市委网信办、佛山市密码管理局主办,佛山市网络安全和信息化协会承办,佛山市数据开发有限公司协办的第四十一期“网安大讲堂”在国家火炬创新产业园开讲。 本次活动邀请我会会员单位——广东中科实数科技有限公司董事长丁丽萍作题为《网络安全和数据安全的法规标准》的分享,并同步开启全网直播,吸引佛山市及五区相关单位、重点企业技术骨干、从业者近6000人次参与学习,为广大从业者厘清合规边界、筑牢安全防线。
合规监管变化
从“基础约束”走向“精准管控”
丁丽萍博士是中国科学院研究员,现任广州中国科学院软件应用技术研究所(原中国科学院软件研究所广州分部)电子数据取证实验室主任,广东中科实数科技有限公司董事长,广东中科司法鉴定所所长。
现场,她聚焦当前网络安全与数据安全的宏观态势,分析了国内外安全威胁演变特征与国内法规体系建设逻辑。她指出,当前全球科技博弈加剧,网络攻击呈现手段多样化、目标精准化、AI 驱动化特征,数据泄露、勒索软件攻击等事件频发;国内已形成以《网络安全法》《数据安全法》《密码法》为核心,覆盖AI安全、未成年人保护、数据跨境等领域的法规政策体系,合规监管从 “基础约束” 向 “精准管控” 升级。
丁博士指出,政企机构仅将合规建设视为“避罚工具”已远远不够,它不仅是规避法律风险、履行社会责任的必然要求,更是保护核心数据资产、保障业务连续性、支撑技术创新的重要支撑。针对佛山制造业数字化、智慧城市等本地场景,她提出应构建“技术防护+管理规范+合规落地”三位一体的治理框架,将安全能力内嵌到研发、生产、运营全链条,而非当作附加项。
核心合规要点
密评与等保的实操“硬门槛”
商用密码应用安全性评估(密评)、网络安全等级保护(等保)是本次大讲堂的核心内容,也是当前政企合规的两大核心抓手。
在密评层面,丁博士系统梳理了商用密码法规的演进脉络,明确密评作为法定要求的强制性与必要性。她指出,密评核心是评估密码应用的合规性、正确性与有效性,覆盖机密性、完整性、真实性、不可否认性四大技术维度,以及管理制度、人员管理、应急处置等管理维度。值得注意的是,密评工作强调“三同步”原则——信息系统规划、建设、运行阶段必须同步规划、同步建设、同步运行商用密码保障系统,且立项与验收环节具备“一票否决权”。
如果说密评解决的是“密码用没用对”的问题,那么等级保护测评解决的是“系统安全基线够不够高”的问题。现场,丁博士回顾了我国等保制度近30年的发展历程,指出《网络安全法》明确国家实行网络安全等级保护制度,关键信息基础设施在等保基础上实行重点保护。针对部分企业“不知道自己有哪些数据信息”的问题,她建议应从国标、行标到企标逐层落地,只有建立动态的分类分级机制,才能真正实现精准防护。
此外,还需关注测评结论已从传统分级优化为“符合、基本符合、不符合”三类,并引入动态抽查机制。企业常见误区是将等保视为一次性“拿证”行为,实际上年度测评后的整改复测、安全配置持续核查、日志审计留存才是监管关注的重点。等保三级及以上系统,须落实“每年一测、整改闭环、报告备查”的常态化机制,特别是安全计算环境中的漏洞扫描与渗透测试,需与业务变更同步进行,避免“测时合规、用时失效”。
全闭环建设
事前事中事后的“实战链”
针对当前网络安全威胁的隐蔽性与突发性,丁博士提出构建 “事前防护、事中应急、事后追责” 的全闭环安全管理体系,为佛山政企应对安全事件提供实操指引。
事前防护是基础,需以密评、等保为核心抓手,落实技术防护措施,完善安全管理制度,常态化开展安全意识培训,从被动应对转向主动预防,降低安全事件发生概率。
当攻击突破防线,“防不住”时如何“稳得住”?丁博士认为,事中阶段的核心目的只有一个——止损。她引入 NIST 网络安全框架,解析 “识别、保护、检测、响应、恢复” 五大核心能力,结合勒索攻击等典型场景,明确应急响应的核心流程,强调需组建专业应急团队、制定专项应急预案并定期演练,提升威胁识别与处置效率,“至少需配备终端工程师、网络工程师及应用工程师的联动配合。”
那么,事后如何从技术维度追溯过程、从法律维度追究责任?结合多年司法鉴定实践经验,丁博士系统解读了电子数据取证的相关法规与公安、司法部门的标准体系,并以“快播案”为例,明确取证需遵循法定程序与技术规范,保障证据的合法性与有效性。
丁博士还现场分析了多起典型违规案例,剖析监管缺失引发的多重风险,敲响合规警钟。她强调,政企需高度重视网络安全与数据安全合规建设,摒弃 “重业务、轻安全” 的认知,将合规要求嵌入业务全流程。
