李新發(fā) 楊祎

摘? 要：網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)運(yùn)營者的基本法律義務(wù)，但在該制度建設(shè)實施方面還存在網(wǎng)絡(luò)安全管理制度的法律規(guī)定及國家標(biāo)準(zhǔn)不清楚、重技術(shù)輕管理和既有管理制度未能得到有效執(zhí)行等問題。因而網(wǎng)絡(luò)運(yùn)營者應(yīng)建構(gòu)網(wǎng)絡(luò)安全管理制度體系，同時加大內(nèi)部、主管、外部監(jiān)督力度，不斷提升網(wǎng)絡(luò)安全防范能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全;法治

中圖分類號：D902 ???????? 文獻(xiàn)標(biāo)識碼：A?????? ????? 文章編號：1003-1332（2019）05-0082-05

當(dāng)前，我國面臨的政治安全威脅、軍事威脅和恐怖威脅都以網(wǎng)絡(luò)為紐帶，互相交織、互相關(guān)聯(lián)，使網(wǎng)絡(luò)安全威脅成為我國當(dāng)今面臨的最復(fù)雜、最重大的非傳統(tǒng)安全威脅，是最嚴(yán)峻的安全挑戰(zhàn)。同時，隨時互聯(lián)網(wǎng)產(chǎn)業(yè)不斷發(fā)展，網(wǎng)絡(luò)攻擊、網(wǎng)上違法犯罪活動不斷增多，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻。例如，2017年5月的WannaCry病毒是針對企業(yè)網(wǎng)絡(luò)的一個著名案例，在此基礎(chǔ)上，將來的網(wǎng)絡(luò)攻擊很可能更加兇猛，對我國信息系統(tǒng)造成的影響也將更大。針對網(wǎng)絡(luò)安全日趨復(fù)雜而嚴(yán)峻的形勢，國家先后出臺了多部有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)、部門規(guī)章及國家標(biāo)準(zhǔn)， 2014年2月成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（2018年3月根據(jù)《深化黨和國家機(jī)構(gòu)改革方案》將中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組改為中央網(wǎng)絡(luò)安全和信息化委員會），全面統(tǒng)籌網(wǎng)絡(luò)安全方面的工作。國家層面已高度重視網(wǎng)絡(luò)安全工作，針對網(wǎng)絡(luò)安全方面的制度和機(jī)制建設(shè)已日益完善，但相比之下各網(wǎng)絡(luò)運(yùn)營者（即指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者）網(wǎng)絡(luò)安全管理制度的建設(shè)和實施情況卻參差不齊。

在人與人之間的社會生活中，人類主體寧可容忍有缺陷的、不符合預(yù)期價值的或者本身就是“不公正”的成文規(guī)則的存在，也不愿看到?jīng)]有成文規(guī)則、全然得不到法律控制的狀態(tài)。道路交通既是如此，網(wǎng)絡(luò)安全更應(yīng)如此。網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全管理制度就是其內(nèi)部的“法律規(guī)則”。目前，學(xué)界對網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理制度的討論很有限。有的專家只對網(wǎng)絡(luò)安全管理制度中某一方面（比如要害崗位管理）進(jìn)行討論，有的專家結(jié)合高校網(wǎng)絡(luò)安全對建立并完善網(wǎng)絡(luò)安全管理制度只進(jìn)行了一個淺析，還有文章討論的背景是2008年之前出臺的相關(guān)法律法規(guī)。這些討論不能很好結(jié)合新形勢要求來揭示網(wǎng)絡(luò)安全管理制度的價值及其在建設(shè)實施過程中存在的問題。本文試圖以新出臺的有關(guān)法律規(guī)定為背景，對法治維度下網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全管理制度進(jìn)行研究，以期有益于提升該制度的法律實施效果。

一、網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理制度的法治價值

在互聯(lián)網(wǎng)高速發(fā)展的今天，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入方式層出不窮，手段多種多樣，技術(shù)水平也在不斷提高，使得很多網(wǎng)絡(luò)運(yùn)營者的信息系統(tǒng)處于被動防御狀態(tài)。僅靠網(wǎng)絡(luò)運(yùn)營者內(nèi)部搞計算機(jī)技術(shù)的某一個人或者幾個人是無法從根本上保障信息系統(tǒng)安全的，而且還有很多的網(wǎng)絡(luò)安全事件發(fā)生的根源來自內(nèi)部人員，因此為了保障信息系統(tǒng)的安全，就必須通過制定和實施安全管理制度來明確網(wǎng)絡(luò)安全管理活動中各參與者的權(quán)利義務(wù)，做到人人有責(zé)，職責(zé)分工具體。

在國家層面上，已對網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全管理制度提出了明確法律要求。比如《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》第13條規(guī)定，計算機(jī)信息系統(tǒng)的使用單位應(yīng)當(dāng)建立并健全安全管理制度，對本單位計算機(jī)信息系統(tǒng)的安全保護(hù)工作負(fù)責(zé);《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字（2004）66號）第5條規(guī)定，信息和信息系統(tǒng)的運(yùn)營、使用單位，根據(jù)與本系統(tǒng)安全保護(hù)等級相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，除了定期開展安全狀況檢測評估、及時消除安全問題隱患和漏洞外，還應(yīng)建立安全制度，根據(jù)信息安全事件不同等級制定相應(yīng)的響應(yīng)、處置預(yù)案，強(qiáng)化對本單位信息系統(tǒng)的安全管理;《信息安全等級保護(hù)管理辦法》（公通字（2007）43號文）第13條規(guī)定，運(yùn)營、使用單位應(yīng)當(dāng)按照有關(guān)國家標(biāo)準(zhǔn)制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度;《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第21條第1款規(guī)定，網(wǎng)絡(luò)運(yùn)營者履行制定網(wǎng)絡(luò)安全管理制度等安全保護(hù)義務(wù)。特別是《網(wǎng)絡(luò)安全法》已將安全管理制度作為網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)履行的首要安全保護(hù)義務(wù)加以規(guī)定。從法律規(guī)定來看，網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)運(yùn)營者的基本法律義務(wù)和要求。從法治維度來說，網(wǎng)絡(luò)安全管理制度也具有重要的價值。

（一）是網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理活動的一種預(yù)期

蘇力認(rèn)為，只有在預(yù)期比較確定的情況下，我們才能開展一切社會交往和社會活動，所以大致確定的預(yù)期就顯得很重要。比如，人們知道銀行明天不會關(guān)閉，知道我下次在銀行取款時現(xiàn)金是可以取出來的，知道這些金錢不會被作廢、不會很快被貶值等等，這些預(yù)期是很確定，所以他們會選擇在銀行存款。人們的所有社會活動都是在有了很多人們自認(rèn)為比較確定的預(yù)期之后而開展的。從這一點來說，雖然人們對新鮮感會時而也喜歡，但是事實上人們同時需要、也可以說是更需要一種確定和穩(wěn)定。網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全管理活動關(guān)系著是否會發(fā)生網(wǎng)絡(luò)安全事件的問題，如果行為人對于活動過程中的具體行為、行為效果等沒有一種預(yù)期，會增加管理失敗的幾率，使活動偏離預(yù)期的安全效果，產(chǎn)生網(wǎng)絡(luò)安全隱患或者事件，使國家、社會及公民個人的合法利益面臨遭受損失的的風(fēng)險。為此，網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全管理活動就更需要一種確定的預(yù)期。這就需要通過制度建設(shè)，來建立健全網(wǎng)絡(luò)安全管理制度，明確在內(nèi)部網(wǎng)絡(luò)安全管理活動中參與人員的權(quán)利和義務(wù)邊界，讓整個活動參與人對于其參與行為及其效果等有一種明確預(yù)期。比如，通過制定《密碼管理制度》來規(guī)定網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)終端必須使用“字母+數(shù)字+符號”復(fù)雜口令，避免弱口令的出現(xiàn)，更換周期為每三個月。這個制度從網(wǎng)絡(luò)設(shè)備使用者的視野來說，就是一種明確的預(yù)期，使其明白設(shè)置密碼的規(guī)則;從實施密碼檢查人員的視野來說，對于檢查內(nèi)容也是一種明確的預(yù)期。

（二）是網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理活動中權(quán)利和責(zé)任的一種配置

蘇力認(rèn)為，人們對社會權(quán)利有兩個基本的配置方式，一個是成文規(guī)則的方式或者制度化的方式，另一個是個案的方式，或橫平的方式。這個橫平的方式是在具體時間里對發(fā)生的具體情況進(jìn)行合乎情理的處置，可能有也可能沒有一般的制度或者規(guī)則。內(nèi)部網(wǎng)絡(luò)安全管理活動涉及到使用、管理、審批、授權(quán)、審計、檢查等權(quán)利和責(zé)任，如何來對這些權(quán)利和責(zé)任進(jìn)行配置？我們認(rèn)為肯定需要通過制度或者規(guī)則的方式進(jìn)行配置，而不能通過橫平方式進(jìn)行配置。制度一般指要求大家共同遵守的辦事規(guī)程或行動準(zhǔn)則，是整個活動的游戲規(guī)定，更確切的講，是為主體之間的相互關(guān)系而人為設(shè)置的一些制約。網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全管理制度，能夠規(guī)范內(nèi)部網(wǎng)絡(luò)安全管理的各項活動，對活動中各種權(quán)利和責(zé)任進(jìn)行很好的配置，使各個環(huán)節(jié)、程序得到制約，做到有章可循。如果沒有這方面的制度加以約束，網(wǎng)絡(luò)運(yùn)營者的內(nèi)部網(wǎng)絡(luò)安全管理活動就會發(fā)生隨意而行的現(xiàn)象，權(quán)利不會很好地得到配置，甚至亂用權(quán)利;沒有責(zé)任，或者責(zé)任只是停留在嘴上，隨時可能被更改。

（三）是網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理工作的一種權(quán)威

馬丁·洛克林認(rèn)為，作為思想形式的保守主義和自由主義是很有意思的一對理論，保守主義是關(guān)注過去的一種理論，它對權(quán)威的問題非常關(guān)注和重視，而且把個體為整個社會秩序里不可分割的有機(jī)組成部分;自由主義是不大會關(guān)注傳統(tǒng)的一種理性主義理論，它把自由權(quán)作為其關(guān)注的主要問題，并且把個人自治作為其賴以為基礎(chǔ)的理論預(yù)設(shè)。網(wǎng)絡(luò)安全作為一種非傳統(tǒng)安全已顯得日益重要，為了保障內(nèi)部信息系統(tǒng)安全，我們對于內(nèi)部網(wǎng)絡(luò)安全管理工作在思想上是堅持保守主義還是自由主義？我們認(rèn)為是堅持保守主義，而不能堅持自由主義、實行個人自治。在內(nèi)部網(wǎng)絡(luò)安全管理工作中，必須關(guān)注權(quán)威性，并通過制度建設(shè)來樹立網(wǎng)絡(luò)安全的權(quán)威。“俗話說沒有規(guī)矩，不成方圓”。規(guī)矩也就是規(guī)章制度，是應(yīng)該遵守的和用來規(guī)范行為的規(guī)則、條文，它保證良好的秩序，是工作成功的重要保證。通過建立科學(xué)的、積極的網(wǎng)絡(luò)安全管理制度，能夠樹立內(nèi)部網(wǎng)絡(luò)安全管理工作的權(quán)威，并形成一種良性秩序，降低網(wǎng)絡(luò)安全風(fēng)險、促進(jìn)網(wǎng)絡(luò)安全管理工作發(fā)展。制度建設(shè)是一個制定制度、執(zhí)行制度并在實踐中檢驗的沒有終點的動態(tài)過程，是一個不斷完善的過程，從這個價值作用上講，網(wǎng)絡(luò)安全管理制度建設(shè)就是不斷對網(wǎng)絡(luò)安全管理權(quán)威進(jìn)行強(qiáng)化。

二、網(wǎng)絡(luò)運(yùn)營者在網(wǎng)絡(luò)安全管理制度建設(shè)實施方面存在的主要問題

目前網(wǎng)絡(luò)運(yùn)營者在網(wǎng)絡(luò)安全管理制度建設(shè)實施方面比以前提高很多，特別是2017年《網(wǎng)絡(luò)安全法》實施后，大多數(shù)的網(wǎng)絡(luò)運(yùn)營者成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組、設(shè)置了相關(guān)機(jī)構(gòu)和人員、建立了相應(yīng)的管理制度。但是，我們還是看到存在一些問題。

（一）對有關(guān)網(wǎng)絡(luò)安全管理制度的法律規(guī)定及國家標(biāo)準(zhǔn)不清楚

少數(shù)網(wǎng)絡(luò)運(yùn)營者主管網(wǎng)絡(luò)安全的內(nèi)設(shè)機(jī)構(gòu)，甚至主管網(wǎng)絡(luò)安全的負(fù)責(zé)人對于網(wǎng)絡(luò)安全管理制度的法律法規(guī)以及相關(guān)國家標(biāo)準(zhǔn)不清楚，缺乏法律意識。對于檢查人員提出的整改意見，還認(rèn)為只是檢查人員的要求，敷衍而過，不能引起重視。有的網(wǎng)絡(luò)運(yùn)營者以為制定了《機(jī)房安全管理制度》就算達(dá)到法律要求，其實法律法規(guī)及相關(guān)國家標(biāo)準(zhǔn)就管理制度的建設(shè)有明確規(guī)定，但這些網(wǎng)絡(luò)運(yùn)營者沒有按照法律法規(guī)要求來落實。比如某大型企業(yè)在網(wǎng)絡(luò)安全管理中比較重視人員錄用，而輕視人員離崗安全，在人員錄用前能夠做到嚴(yán)格人員錄用過程、嚴(yán)格背景與資質(zhì)等審查、簽訂保密協(xié)議，但在人員離崗問題上未制定管理制度。規(guī)范人員離崗制度是防止信息系統(tǒng)遭受破壞和防止信息泄漏的重要管理手段。人員離崗交接過程涉及信息系統(tǒng)管理權(quán)限、電子門禁權(quán)限、電子證書等權(quán)限與載體的回收，同時需要回收、清理離崗人員所保存的信息系統(tǒng)機(jī)密資料，如管理軟件、服務(wù)器、網(wǎng)絡(luò)設(shè)備的配置參數(shù)和賬號密碼。否則作為熟悉信息系統(tǒng)的管理人員，離職后仍然保留訪問系統(tǒng)的能力，如果這類人員蓄意攻擊系統(tǒng)，將對信息系統(tǒng)造成難以挽回的破壞和損失。

（二）重技術(shù)輕管理

有的網(wǎng)絡(luò)運(yùn)營者對于技術(shù)建設(shè)很重視，認(rèn)為網(wǎng)絡(luò)安全主要是在網(wǎng)絡(luò)層面、主機(jī)層面、應(yīng)用層面等加大技術(shù)投入，就能確保安全了。而對于網(wǎng)絡(luò)安全管理，他們認(rèn)為沒有技術(shù)重要，對于整體網(wǎng)絡(luò)安全不起大作用。所以這些網(wǎng)絡(luò)運(yùn)營者對于添置網(wǎng)絡(luò)安全設(shè)備、技術(shù)上的措施比較重視，但在崗位設(shè)置、制度建設(shè)等管理方面比較輕視。比如某醫(yī)藥企業(yè)在主機(jī)安全、應(yīng)用安全等添置了相應(yīng)網(wǎng)絡(luò)安全設(shè)備，但未在管理制度上實現(xiàn)管理人員的權(quán)限分離及最小權(quán)限，存在超級管理員等特權(quán)用戶。在信息系統(tǒng)安全管理中權(quán)限分離、權(quán)限相互制衡的作用非常重要，管理員的設(shè)置、崗位職責(zé)設(shè)定和權(quán)限分配必須遵守權(quán)限分離、最小權(quán)限及權(quán)限之間相互制衡的原則。對信息系統(tǒng)的權(quán)限管理，特別是在具有業(yè)務(wù)邏輯的應(yīng)用系統(tǒng)中應(yīng)借鑒政治體系“三權(quán)分立”的設(shè)計，通過過程權(quán)利分割、權(quán)限制約和獨立審計從而達(dá)到保證信息系統(tǒng)的安全目標(biāo)?！叭龣?quán)分立”安全管理有效地制衡、隔離了用戶對數(shù)據(jù)資源進(jìn)行訪問的權(quán)限，減小了非法用戶或非法操作可能給系統(tǒng)及數(shù)據(jù)帶來的風(fēng)險，對于系統(tǒng)安全具有至關(guān)重要的作用。再如某上市公司一個網(wǎng)絡(luò)管理員同時代理了上級領(lǐng)導(dǎo)的全部權(quán)限，上級領(lǐng)導(dǎo)調(diào)離時沒有清理該權(quán)限，導(dǎo)致該操作員可以獨立完成從建立業(yè)務(wù)賬戶、審核業(yè)務(wù)賬戶、批準(zhǔn)業(yè)務(wù)賬戶、完成業(yè)務(wù)操作、審核業(yè)務(wù)操作到提取業(yè)務(wù)資金和修改日志記錄等全部操作與審核，該管理員的蓄意破壞操作就會造成單位和社會的經(jīng)濟(jì)損失，而至此在日常運(yùn)維檢查和審計中無法從信息系統(tǒng)記錄上發(fā)現(xiàn)存在的問題。因此，管理員權(quán)限過大，無權(quán)限相互制衡將使信息系統(tǒng)的管理上存在較嚴(yán)重的安全隱患。

（三）制度的制定程序未能完全得到遵循

一個制度要有普遍約束力，必須經(jīng)過起草、評審、審批、發(fā)布等制定程序。在網(wǎng)絡(luò)安全執(zhí)法檢查中，發(fā)現(xiàn)有的網(wǎng)絡(luò)運(yùn)營者存在相應(yīng)的安全管理制度，但沒有以相關(guān)文件或其他形式進(jìn)行發(fā)布。這就造成一些網(wǎng)絡(luò)安全管理制度停留在內(nèi)設(shè)機(jī)構(gòu)（人員）手上或墻上，引起對該制度能否發(fā)揮作用、是否能得到有效執(zhí)行、能否真正保障信息系統(tǒng)安全等問題的質(zhì)疑。比如，某事業(yè)單位有兩個三級信息系統(tǒng)，也制定了應(yīng)急預(yù)案，但是流于形式，僅僅形成文字或匯編，沒有發(fā)布出去，沒有對信息系統(tǒng)相關(guān)人員進(jìn)行培訓(xùn)與演練。制定應(yīng)急預(yù)案的目的是及時處置信息系統(tǒng)的突發(fā)事件，在發(fā)生突發(fā)事件時網(wǎng)絡(luò)運(yùn)營者中各個參與方能夠及時有序地開展應(yīng)急響應(yīng)，對問題及隱患進(jìn)行有效處置。應(yīng)急預(yù)案必須確立各個應(yīng)急參與方的職責(zé)和響應(yīng)過程，而應(yīng)急預(yù)案的培訓(xùn)和演練，有利于提高風(fēng)險防范意識，有利于參與方知曉面臨的重大事件及其相應(yīng)的應(yīng)急工作要求，有利于增進(jìn)參與方協(xié)調(diào)配合，可以保證在突發(fā)事件的處置中將事件造成的經(jīng)濟(jì)損失和其他負(fù)面影響及其破壞程度降到最小。但是不遵循制度的制定程序，對應(yīng)急預(yù)案的制度不進(jìn)行發(fā)布，對參與人就沒有約束力，就會影響該制度作用的發(fā)揮。

（四）既有管理制度未能得到有效執(zhí)行

有的網(wǎng)絡(luò)運(yùn)營者制定了管理制度，但這些制度并沒有執(zhí)行到位。比如，某局就三級信息系統(tǒng)的機(jī)房管理制定了《機(jī)房安全管理制度》，明確了關(guān)于機(jī)房等受控區(qū)域的值班、登記、審批、陪同、監(jiān)督等具體措施，但是實際工作中存在執(zhí)行制度不嚴(yán)格的問題。在信息化建設(shè)中，機(jī)房是信息系統(tǒng)安全管理的核心部分，而機(jī)房內(nèi)的網(wǎng)絡(luò)設(shè)施及硬件設(shè)備是必須受到重點保護(hù)的，這些網(wǎng)絡(luò)設(shè)施和安全設(shè)備直接關(guān)系到信息系統(tǒng)的正常運(yùn)行，關(guān)系到網(wǎng)絡(luò)運(yùn)營者業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。如果機(jī)房受到侵入或破壞，將對網(wǎng)絡(luò)設(shè)施及硬件設(shè)備的安全構(gòu)成威脅;如果某一網(wǎng)絡(luò)設(shè)施或硬件設(shè)備受到破壞，將直接影響信息系統(tǒng)的正常運(yùn)行及數(shù)據(jù)安全，影響網(wǎng)絡(luò)運(yùn)營者業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。所以，必須對機(jī)房進(jìn)行嚴(yán)格管理，嚴(yán)格執(zhí)行《機(jī)房安全管理制度》，確保機(jī)房的安全管控到位。

三、強(qiáng)化網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理制度的思考

網(wǎng)絡(luò)安全管理制度屬于“軟環(huán)境”，相對于技術(shù)投入比較容易落實，不用花費大量資金，就是要重視“軟環(huán)境”的建設(shè)和實施。上述問題的存在，總得來說根源在于重視不夠，沒有認(rèn)識到網(wǎng)絡(luò)安全管理制度的法治價值，輕視制度建設(shè)，不能跟上國家和時代的步伐。網(wǎng)絡(luò)安全管理制度作為網(wǎng)絡(luò)運(yùn)營者的基本法律義務(wù)，應(yīng)引起高度重視，通過制度化管理確實提升內(nèi)部網(wǎng)絡(luò)安全的防范能力。

（一）依法建立健全網(wǎng)絡(luò)安全管理制度

國家法律法規(guī)及相關(guān)國家標(biāo)準(zhǔn)的出臺，已對網(wǎng)絡(luò)安全管理制度作出明確規(guī)定，各網(wǎng)絡(luò)運(yùn)營者要樹立依法治網(wǎng)的思想，認(rèn)真學(xué)習(xí)這些具體規(guī)定，并根據(jù)自身實際情況來建立健全網(wǎng)絡(luò)安全管理制度。涉及到信息系統(tǒng)的網(wǎng)絡(luò)運(yùn)營者還要結(jié)合網(wǎng)絡(luò)安全等級保護(hù)制度的法律要求，分等級對管理制度進(jìn)行建設(shè)和完善。

（二）設(shè)置網(wǎng)絡(luò)安全管理機(jī)構(gòu)

管理制度的制定程序由誰來完成？這就需要設(shè)置管理機(jī)構(gòu)并明確其工作職責(zé)。因此建構(gòu)一個從硬件和軟件上都完善的管理機(jī)構(gòu)是網(wǎng)絡(luò)運(yùn)營者實施好網(wǎng)絡(luò)安全管理活動的首先任務(wù)，明確機(jī)構(gòu)中從最高管理層到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營層各個成員的職責(zé)，這是網(wǎng)絡(luò)安全管理工作得以實施、推廣的基礎(chǔ)。所設(shè)置的專門管理機(jī)構(gòu)應(yīng)對本單位的網(wǎng)絡(luò)安全工作進(jìn)行有效的、有序的管理，并能夠使本單位的網(wǎng)絡(luò)安全狀況將管理工作和制度落實到位。管理機(jī)構(gòu)的工作職責(zé)主要是執(zhí)行落實好本單位網(wǎng)絡(luò)安全的具體工作和制度，但確定有關(guān)整體網(wǎng)絡(luò)安全方面的戰(zhàn)略或方針，就需要單位領(lǐng)導(dǎo)層來進(jìn)行全面研究和決策。所以網(wǎng)絡(luò)運(yùn)營者還應(yīng)根據(jù)本單位網(wǎng)絡(luò)安全工作的需求來設(shè)立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，由該領(lǐng)導(dǎo)小組對本單位網(wǎng)絡(luò)安全工作的發(fā)展戰(zhàn)略和總體原則方針具體負(fù)責(zé)。安全管理機(jī)構(gòu)規(guī)模大小與其系統(tǒng)的規(guī)模相適應(yīng)，規(guī)模大的信息系統(tǒng)設(shè)立安全領(lǐng)導(dǎo)小組，由主管領(lǐng)導(dǎo)負(fù)責(zé)，同時建立或明確一個內(nèi)設(shè)機(jī)構(gòu)具體履行網(wǎng)絡(luò)安全管理職責(zé);信息系統(tǒng)規(guī)模不大的網(wǎng)絡(luò)運(yùn)營者應(yīng)設(shè)置系統(tǒng)安全管理員來執(zhí)行網(wǎng)絡(luò)安全管理工作。

（三）建構(gòu)網(wǎng)絡(luò)安全管理方面的制度體系

網(wǎng)絡(luò)運(yùn)營者應(yīng)該根據(jù)本單位網(wǎng)絡(luò)安全保護(hù)的需要，研究出臺各項網(wǎng)絡(luò)安全管理制度，限制和規(guī)范安全管理人員或者操作人員的操作行為等，建構(gòu)整套網(wǎng)絡(luò)安全管理方面的制度體系。比如，根據(jù)本單位網(wǎng)絡(luò)安全方面的各種管理活動，出臺《人員安全管理制度》，對人員錄用、離崗、考核、教育培訓(xùn)等方面的管理活動進(jìn)行明確規(guī)定;出臺《網(wǎng)絡(luò)建設(shè)管理制度》，對信息系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等方面的管理活動進(jìn)行明確規(guī)定;出臺《網(wǎng)絡(luò)運(yùn)維管理制度》，對機(jī)房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等方面的管理活動進(jìn)行明確規(guī)定;出臺《定期檢查制度》，對檢查的人員、內(nèi)容、方式及要求等內(nèi)容進(jìn)行明確規(guī)定，對各制度和措施的執(zhí)行情況進(jìn)行檢查。制度構(gòu)建后應(yīng)報有相應(yīng)審批權(quán)限的負(fù)責(zé)人進(jìn)行審批，并經(jīng)過內(nèi)部發(fā)布方式予以正式發(fā)布，形成執(zhí)行效力，使內(nèi)部網(wǎng)絡(luò)安全管理活動的參與者都知曉并遵守執(zhí)行，這樣才能保障網(wǎng)絡(luò)安全管理活動的正常運(yùn)行。同時，網(wǎng)絡(luò)運(yùn)營者在網(wǎng)絡(luò)安全管理制度的建構(gòu)和實施方面應(yīng)遵循一定原則，其中主要原則有：領(lǐng)導(dǎo)負(fù)責(zé)原則，主要領(lǐng)導(dǎo)應(yīng)對制度的審批、發(fā)布等制定程序負(fù)責(zé)，并確保制度價值的有效發(fā)揮;完善改進(jìn)原則，應(yīng)根據(jù)信息系統(tǒng)的安全狀況和安全管理需要對網(wǎng)絡(luò)安全管理制度及時進(jìn)行修改和完善;分級保護(hù)原則，按等級保護(hù)制度的要求確立信息系統(tǒng)的安全保護(hù)等級，并根據(jù)等級及其安全管理需求來建構(gòu)相應(yīng)的制度體系;管理與技術(shù)并行實施原則，必須在思想和行動上對管理和技術(shù)要有相同的重視程度，運(yùn)用管理與技術(shù)兼容互補(bǔ)的關(guān)系，在技術(shù)投入的同時應(yīng)建立并完善相應(yīng)的管理制度，全面提高信息系統(tǒng)安全防護(hù)能力。

（四）加大對網(wǎng)絡(luò)安全管理制度的監(jiān)督力度

一是內(nèi)部監(jiān)督，網(wǎng)絡(luò)運(yùn)營者對本單位的網(wǎng)絡(luò)安全工作履行主體責(zé)任，單位負(fù)責(zé)人應(yīng)該對本單位在網(wǎng)絡(luò)安全法律規(guī)定（如制定網(wǎng)絡(luò)安全管理制度）的實施方面履行監(jiān)督責(zé)任，發(fā)現(xiàn)不完善或者不到位的，應(yīng)及時督促整改到位;二是主管部門監(jiān)督，各個行業(yè)主管部門對網(wǎng)絡(luò)安全工作負(fù)有主管責(zé)任，應(yīng)從網(wǎng)絡(luò)安全管理制度建設(shè)方面入手加大監(jiān)督力度，促使行業(yè)內(nèi)各個單位建立健全網(wǎng)絡(luò)安全管理制度;三是外部監(jiān)督，各級公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門應(yīng)根據(jù)《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》（公安部令第151號）規(guī)定，對網(wǎng)絡(luò)運(yùn)營者制定和落實網(wǎng)絡(luò)安全管理制度的情況進(jìn)行監(jiān)督檢查，對不制定和落實法律規(guī)定的，應(yīng)當(dāng)依照《網(wǎng)絡(luò)安全法》第五十九條第一款規(guī)定進(jìn)行處罰，據(jù)此來加大檢查和處罰力度，通過行政執(zhí)法來督促各個網(wǎng)絡(luò)運(yùn)營者落實相關(guān)法律要求，建立和完善內(nèi)部網(wǎng)絡(luò)安全管理制度，增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全防范能力。

當(dāng)前，網(wǎng)絡(luò)安全關(guān)系著政治安全、國家安全、公共利益、網(wǎng)絡(luò)運(yùn)營者及個人的合法利益，應(yīng)該說有網(wǎng)絡(luò)安全的地方就應(yīng)該有相應(yīng)的成文規(guī)則。為了避免在網(wǎng)絡(luò)安全方面缺乏成文規(guī)則、導(dǎo)致管理活動產(chǎn)生混亂秩序，網(wǎng)絡(luò)運(yùn)營者應(yīng)及時建構(gòu)和實施網(wǎng)絡(luò)安全管理制度，有效防止網(wǎng)絡(luò)安全隱患的發(fā)生，筑牢網(wǎng)絡(luò)安全底線。

注 釋：

[1] [德]魏德士：《法理學(xué)》，丁曉春、吳越譯，法律出版社，2013年。

[2] 黎慶嚴(yán)：《淺析醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全的要害崗位人員管理》，《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》，2018年第12期。

[3] 劉新漢：《淺談高校網(wǎng)絡(luò)安全存在的問題及對策》，《中小企業(yè)管理與科技（下旬刊）》，2016年第10期。

[4] 一清：《網(wǎng)絡(luò)安全：技術(shù)防范和制度保障并重》，《軟件工程師》，2000年第4期。

[5] 蘇力：《法治及其本土資源》（修訂版），中國政法大學(xué)出版社，2010年。

[6] [英]馬丁·洛克林著、羅豪才主編：《公法與政治理論》，商務(wù)印書館，2013年。

[7] 郭啟全等：《網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護(hù)制度培訓(xùn)教材》（2018版），電子工業(yè)出版社，2018年。

責(zé)任編輯：劉冰清

文字校對：向華武