大家好。很高興參加第二屆數據安全峰會(huì )關(guān)鍵信息基礎設施安全論壇。

關(guān)鍵信息基礎設施保護和數據安全是當前網(wǎng)絡(luò )安全工作的兩個(gè)熱點(diǎn)問(wèn)題?！毒W(wǎng)絡(luò )安全法》用一個(gè)章節專(zhuān)門(mén)對關(guān)鍵信息基礎設施保護做出了明確要求，第三十七條規定關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據應當在境內存儲。因業(yè)務(wù)需要，確需向境外提供的，應當按照國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評估。前不久，國家互聯(lián)網(wǎng)信息辦又連續發(fā)布了《數據安全管理辦法（征求意見(jiàn)稿）》和《個(gè)人信息出境安全評估辦法（征求意見(jiàn)稿）》?？梢?jiàn)，數據安全問(wèn)題特別是關(guān)鍵信息基礎設施涉及的數據安全問(wèn)題需要引起我們的高度重視。

當前，數據在經(jīng)濟社會(huì )發(fā)展中發(fā)揮著(zhù)越來(lái)越重要的作用。從數據總量看，到2020年全球數據總量將達到44ZB，而屆時(shí)我國的數據總量將占全球數據總量的20%。從市場(chǎng)規?？?，2017年我國數據核心市場(chǎng)規模約234億元人民幣，2018年突破329億元人民幣。從影響力看，大數據戰略對國內生產(chǎn)總值的拉動(dòng)作用達到了2%-4%。數據不但改變著(zhù)人們的生活方式，也深刻的改變著(zhù)社會(huì )生產(chǎn)方式，甚至在國防軍事領(lǐng)域引起了巨大的變革。近年來(lái)，隨著(zhù)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，我國的數據產(chǎn)業(yè)帶動(dòng)數字經(jīng)濟調整發(fā)展，據統計全球數據經(jīng)濟發(fā)展指數排名中，中國處于僅次于美國的第二位，差距僅為0.12。

隨著(zhù)數據技術(shù)和數據產(chǎn)業(yè)的極速發(fā)展，數據安全問(wèn)題也越來(lái)越突顯。WannaCry勒索病毒攻擊在全球造成的損失高達15-40億美元。全球58%的企業(yè)在過(guò)去12個(gè)月里至少遭遇過(guò)一次數據泄露事件。2018年度全球企業(yè)用戶(hù)數據外泄影響了共計達10億網(wǎng)民。每天有超過(guò)2500萬(wàn)條數據遭到入侵或泄露，也就是每秒291條，涵蓋醫療、信用卡、財務(wù)數據、個(gè)人身份信息等領(lǐng)域?？梢哉f(shuō)數據安全問(wèn)題直接關(guān)系到人民生命財產(chǎn)、經(jīng)濟社會(huì )健康發(fā)展，甚至國家安全。

面對嚴峻的數據安全形勢，如何做好數據安全保障工作，特別是關(guān)鍵信息基礎設施相關(guān)的數據安全保障工作，需要我們認真思考。我想從數據的生命周期看，不外乎技術(shù)和管理兩個(gè)層面；從供應鏈安全的角度看，不外乎技術(shù)發(fā)展的可持續性和產(chǎn)業(yè)生態(tài)的可持續性?xún)蓚€(gè)層面。無(wú)論從哪個(gè)角度看，網(wǎng)絡(luò )安全審查和認證制度都將發(fā)揮越來(lái)越重要的作用。下面，我就數據安全審查認證制度談三點(diǎn)體會(huì )和大家交流。

一是要全面推進(jìn)落實(shí)網(wǎng)絡(luò )安全審查認證制度。實(shí)施網(wǎng)絡(luò )安全審查和認證制度是落實(shí)《網(wǎng)絡(luò )安全法》的重要舉措?！毒W(wǎng)絡(luò )安全法》第二十三條規定網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品應當按照相關(guān)國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷(xiāo)售或者提供。第三十五條規定關(guān)鍵信息基礎設施的運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，可能影響國家安全的，應當通過(guò)國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)組織的國家安全審查。剛剛發(fā)布的《數據安全管理辦法（征求意見(jiàn)稿）》第三十四條規定國家網(wǎng)信部門(mén)會(huì )同國務(wù)院市場(chǎng)監督管理部門(mén)，指導國家網(wǎng)絡(luò )安全審查與認證機構，組織數據安全管理認證和應用程序安全認證工作。

二是要明確審查和認證的基本概念。審查和認證相輔相承又有所區別。認證是由國家認可的認證機構證明一個(gè)組織的產(chǎn)品、服務(wù)、管理體系符合相關(guān)標準、技術(shù)規范或其他強制性要求的合格評定活動(dòng)。也就是說(shuō)認證的目標是判斷產(chǎn)品或服務(wù)的標準符合性，實(shí)施認證的主體可以是國家機構，也可以是經(jīng)過(guò)國家認可的企業(yè)。而審查是在認證的基礎上對機構或產(chǎn)品服務(wù)的可控、可信性進(jìn)行判斷，目標是發(fā)現風(fēng)險、規范行為、保障安全，作用是建立準入和退出機制。審查的實(shí)施主體是國家網(wǎng)信部門(mén)。需要強調的是，審查不是重新造輪子，現有認證、測評等工作都是審查制度的重要支撐。

三是要理清數據安全審查認證體系的設計思路，盡快使審查認證制度在數據安全保障中發(fā)揮作用。根據前期的工作經(jīng)驗，我認為在數據安全審查認證體系的設計思路上應該立足以下三點(diǎn)。首先要聚焦數據安全風(fēng)險。著(zhù)眼于目前我國數據安全典型問(wèn)題，如個(gè)人信息保護、數據跨境傳輸、數據安全管理等，研究制定標準規范，開(kāi)展認證。對于可能影響國家安全的產(chǎn)品、服務(wù)和組織，開(kāi)展數據安全審查。其次要立足現有工作基礎。充分利用現有審查認證工作基礎，發(fā)揮現有信息安全管理體系、信息安全服務(wù)資質(zhì)、信息安全產(chǎn)品認證的基礎性作用，在認證內容中加強對數據安全的關(guān)注。第三要重視國際合作。充分考慮國外法規數據保護法規對企業(yè)的影響，探索通過(guò)國際互認框架滿(mǎn)足國外法規要求的可行性，推動(dòng)數據安全認證的國際互認工作。

女士們、先生們，中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心自2018年更名以來(lái)，承擔了網(wǎng)絡(luò )安全審查相關(guān)技術(shù)支撐工作并負責具體組織實(shí)施，并繼續開(kāi)展網(wǎng)絡(luò )安全認證工作。目前，我國的網(wǎng)絡(luò )安全審查認證制度框架已基本建立。自2008年正式開(kāi)展信息安全認證認可工作、2014年推出網(wǎng)絡(luò )安全審查制度以來(lái)，審查和認證各自形成了完整的制度框架。隨著(zhù)各項工作的推進(jìn)，審查和認證既有共性又各有側重，既各司其職又互相配合，正在逐步實(shí)現融合，在國家網(wǎng)絡(luò )安全保障體系中正在發(fā)揮愈來(lái)愈大的作用。

在新形勢下，網(wǎng)絡(luò )安全審查與認證是保障國家網(wǎng)絡(luò )空間安全的重要制度安排。尤其是審查認證工作與關(guān)鍵信息基礎設施保護和數據安全密切相關(guān)，為保護關(guān)鍵信息基礎設施作貢獻義不容辭?！蛾P(guān)鍵信息基礎設施保護條例》即將發(fā)布實(shí)施，我們將在中央網(wǎng)信辦的領(lǐng)導下，結合工作實(shí)際加強宣傳，推動(dòng)落實(shí)。近期，中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心還要大力推動(dòng)數據安全認證、APP認證、面向重點(diǎn)行業(yè)的網(wǎng)絡(luò )安全人才培養認證等工作，這些工作都與關(guān)鍵信息基礎設施保護有著(zhù)密切的關(guān)系。希望各位嘉賓對網(wǎng)絡(luò )安全審查與認證工作給予高度的重視和積極支持，也希望加強合作、溝通，共同為關(guān)鍵信息基礎設施保護做出應有的貢獻。

謝謝大家！