Pages Navigation Menu

浅谈喜科如何落实中国网络安全合规性

发表 于 2020-10-20

  本文将着重介绍喜科落实中国与欧盟分别发布的关于网络安全和个人信息保护的法规条例的实践情况。境外客户也可在本文中了解相关信息。

 

  在今年9月14日至20日的“国家网络安全宣传周”期间,除了与往常一样的忙碌工作,喜科团队共同回顾了公司一直以来落实网络安全条例的实践情况,并组织了一场面向全体员工的专门培训。

 

 

  自2012年中国共产党第十八次全国代表大会以来,政府不断加大力度强化对网络安全的管理。2017年6月,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行,这是中国首部与网络安全相关的法律。随后在2018年至2019年期间众多相关法规和实施细则陆续颁布。与此同时,欧盟于2018年通过了《通用数据保护条例》(即GDPR)。尽管当前的中国法规更为严苛,但GDPR条例依旧被公认为世界上最为严格的隐私安全保护条例。

 

  确保网络安全一直是喜科作为IT解决方案供应商和工业风险管理专家的重中之重

 

  喜科作为一家为工业风险管理及维护管理提供数字化解决方案的供应商,服务的企业多为24小时全天候不间断运营的工厂或基础设施。因此,作为日常工作的一部分,喜科始终对网络安全与风险保持着警惕性,并通过完善的安全管理流程和强大的工具来保护使用喜科软件的客户及喜科自身的资产和数据。

 

  由于喜科的业务需要使用IT类工具并处理客户数据,且客户本身也需遵守相关法律法规,所以喜科严格遵守《网络安全法》和《个人信息保护法》的规定。不仅针对中国地区,喜科在客户所在的各个司法管辖区都需开展相关业务。因此,喜科必须遵守所有适用的相关法律法规。

 

  作为公司风险管理体系的一部分,喜科多年来始终遵守基于欧洲标准的网络安全条例,并在公司的质量管理体系下进行管理(喜科于2015年3月通过必维ISO 9001质量体系认证)。

 

  喜科为落实新版《中华人民共和国网络安全法》和《个人信息保护法》而采取的行动

 

  2016年,新版法律条例出台。在具体实施准则发布之前,喜科管理团队就在第三方技术专家和律师的帮助下展开了调研。在此期间,得益于同有着严格网络安全实践要求的大型跨国公司的合作经验,喜科的解决方案和服务成功通过了阿科玛、家乐福中国、法国外交部(位于北京的法国驻华大使馆)、圣戈班和新加坡电力公司等企业及组织的严格安全审核和渗透测试。

 

  在准备阶段,喜科于2019年10月将更新版《网络安全法》和《个人信息保护法》的相关流程引入质量管理体系中。此外,尽管喜科的业务范围不涉及欧洲地区,但在确保遵守中国法律的同时喜科也自愿遵守欧盟的《通用数据保护条例》。

 

  按中国法律规定,喜科内部采取了一套积极全面的措施,其中包括委任一名网络安全员并进行年度自查。根据公司的业务性质,喜科基于员工熟知的ISO 31000风险管理体系和ISO 55000资产管理体系定义了严格的自查标准。我们的自查自评涵盖公司的内部系统、交付客户的系统、软件开发(包括网络安全和个人数据保护准则以及软件产品的相关文档),并且涉及公司的所有部门。此外,喜科对所有员工进行了相关培训并更新了新员工入职培训手册。同时喜科建立起持续改进体系,以确保所有行动的可追溯性。

 

  首次内部自查自评于2019年11月完成。根据评估结果,喜科决定立即采取行动并在每月管理层会议上进行复核。同时根据质量管理体系的定义,我们在2020年7月进行的年中管理层会议中对自查自评体系进行了审核和更新。日后,喜科每年都将开展新一轮的自查自评工作。

 

  新的信息安全管理流程很快受到了新冠疫情的检验……紧随其后的是2020年3月进行的年度ISO 9001外部审计。在此期间,必维国际的审计人员对喜科网络安全合规性进行了特别审查,尤其关注疫情最为严重的2月,在员工大部分时间居家办公,与客户只能进行远程交流的情况下,喜科如何严格遵守网络安全流程。最终喜科成功通过审计,这让当时身处疫情时期的我们倍受鼓舞!

 

  喜科为协助客户落实合规性而采取的行动

 

  与此同时,我们针对客户(尤其是高度关注安全和风险的客户)开展了具体的沟通,借此机会帮助他们了解新版法律及喜科将如何提供帮助。

 

  在过去的两年中,我们开展了许多网络和软件应用安全相关的实践活动,例如有关服务器可靠性、系统备份以及使用存在安全漏洞且不再受微软支持的Windows过时版本所带来的风险等。我们还和少数选择在中国境外托管服务器的国内客户进行了联系,并向其解释在中国法律条例下涉及到的主要风险,以及由于中国国际网络连接的设置而导致的速度和可靠性问题。

 

  我们发现,许多中型跨国公司并不了解中国法律,或是集团的IT团队认为该法律不适用于他们。这预示着企业将面对巨大的风险。喜科再次郑重建议这类企业的法务和IT部门应开展正式的风险评估,并将当地的法律条款向总部进行汇报。另一方面,中国客户(大部分为公共基础设施客户)及大型跨国公司都对相应法律条款非常熟悉,并且会通过专门的IT预算来确保企业运营的合规性。喜科在内部经历了针对安全方面的自查自评后深刻认识到,确保合规性是需要公司集体重视并为之付出努力、时间、和资金的。

 

  欢迎所有使用喜科智慧运维解决方案的客户在进行网络安全评估时,与我们的售后团队进行联系。喜科将为客户提供专门的服务,以帮助客户评估自身合规性、及时发现漏洞并提供系统的支持文档。此外,喜科同样欢迎想要对供应商进行深入调研的客户审查我们的网络安全流程以及质量管理体系。虽然合规责任取决于客户本身如何使用和操作系统,但作为解决方案供应商,喜科愿意也应当协助用户落实网络安全的合规性!

 

  对于现有客户,我们建议:

 

告知公司管理层、IT和法务部门开始了解中国的《网络安全法》,以及该法律条款将如何影响您的IT系统、流程、数据和用户。尤其当它涉及到正在使用的智慧运维解决方案时,企业更需花时间去研究。

 

如有任何问题,欢迎联系喜科售后团队,或拨打喜科热线电话为您进行初步解答。喜科可针对合规性提供专门的服务,帮助企业为内外部审计做准备。

 

  对于正在寻求智慧运维解决方案的潜在客户,喜科建议您在选型过程中评估供应商对网络安全方面的了解程度及相应准备。

 


标签:
扫一扫
关注喜科微信