10个问题,带你读懂《关于加强国家网络安全标准化工作的若干意见》

近日,中央网信办、国家质检总局、国家标准委联合印发了《关于加强国家网络安全标准化工作的若干意见》(以下简称《若干意见》)。这份经中央网络安全和信息化领导小组批准的文件,面向建设网络强国的宏伟目标,部署了当前和今后一个时期国家网络安全标准化工作的重点任务。文件内容丰富、措施有力、针对性强,将构建统一权威、科学高效的网络安全标准体系和标准化工作机制。

笔者认为,《若干意见》在以下十个方面进行了深入考虑,值得关注。

一、如何理解“统一权威”的国家标准工作机制?

全国信息安全标准化技术委员会(TC260,以下简称信安标委)于2002年4月15日在北京正式成立。信安标委成立不久,国标委曾正式发文,授权信安标委对网络安全(当时称信息安全,本文不作区别)国家标准进行统一技术归口,统一组织申报、送审和报批。

网络安全主管部门较多,统筹协调机制必不可少,包括对网络安全标准的协调。因此,当时这一规定十分必要。但随着信息化的发展,信息技术与传统行业深度融合,“老革命”遇到了“新问题”。例如,工业控制系统安全标准,既是信安标委的重点工作,也与全国工业过程测量控制和自动化标准化技术委员会(TC124)密切相关;汽车电子网络安全标准,既在信安标委的物联网安全标准体系中占有一席之地,也是全国汽车标准化技术委员会(TC114)需要重点关注的标准。这些标委会将特定领域网络安全标准纳入工作范围有其充分的道理,因为安全与发展本身不能分开,但这也带来了新的协调需求。

可以预见,在互联网+行动计划深入推进的背景下,今后此类问题必将越来越多。为此,《若干意见》除重申了对网络安全国家标准进行统一归口的规定外,还指出,其他涉及网络安全内容的国家标准,应征求中央网信办和有关网络安全主管部门的意见,这是确保相关国家标准与网络安全标准体系协调一致的重要手段。

二、为什么要强调产业应用与标准化的紧密互动?

俗话说,一流企业做标准。标准是一种重要的智力成果,对提升产业竞争力具有不可替代的作用。近年来,一些国家重大工程、重点科研项目开始将标准作为验收考核指标,这无疑具有积极意义。但这些措施还没有与国家标准化工作建立紧密衔接和互动关系。例如,重大工程和科研项目产生了哪些可以上升为标准的技术成果?标准化管理部门无从获得这些信息,也就难以在规划标准体系时为之提前做出安排。项目成果能不能产生标准?是否合格?这本身也不是由立项单位和项目承担单位能够自行决定的。一般而言,在项目验收时,一些产业化指标、论文指标等都可以获得并定量考核,但标准的制定要经历特定程序和相对长的时间,项目验收与标准制定难以同步。最终,项目承担单位只能拿出一些草稿来应对,验收往往流于形式。

为了解决这个问题,《若干意见》要求建立重大工程、重大科技项目标准信息共享机制,这实际上是建立项目主管部门与标准化管理部门之间的工作联系,有利于推动项目成果真正转化为国家标准。

三、如何看待我国在世贸组织承诺的国际义务?

标准产生于社会化大生产中分工合作的需求,是经济活动的产物。反过来,标准也对贸易、经济产生直接的重大影响,标准及建立在标准之上的合格评定制度构成了国际贸易中的技术性壁垒(TBT)。为此,WTO等国际贸易组织对成员制定标准有一些原则性要求,集中体现在WTO的《技术性贸易壁垒协定》(《TBT协定》)中,核心内容是要求成员采用国际标准以实现便利贸易的目的。2000年,WTO的TBT委员会通过决议,确定了“国际标准”的六原则:透明、开放、公正与协商一致、有效与相关、一致、发展内涵。

对国内制标而言,采用国际标准的要求主要适用于技术性法规的制定,即强制性国家标准和有明确技术指标的某些法规和政策。WTO还规定,各成员在制定或修订现行技术法规、合格评定程序及措施时,如缺乏国际标准或与有关国际标准不一致,并且可能对其他成员的贸易有明显影响时,必须在法规批准前60天向WTO秘书处通报,给予其他成员一定的评议时间并尽可能考虑其合理意见。根据我们承诺的国际义务,自主制定的网络安全强制性标准应该通报。

值得注意的是,西方一些国家有意模糊“技术性法规”这一限定词,一味要求各国制定任何网络安全标准都应以国际标准为基础,其真实意图是规避他国的网络安全监管要求。围绕网络安全推荐性标准的国际竞争已经成为当前的热点。

2015年12月,第26届中美商贸联委会联合成果清单上,美方确认,中国企业可无歧视地、依有关标准制定组织的规则和程序,参与美国自愿性标准制定;中方欢迎在华美资企业无歧视地参与中国推荐性国家标准和团体标准制定。今年信安标委换届时,增加了4名来自美国企业的委员。当然,此事与中美商贸联委会的成果清单没有直接关系,但中方如何参与美国网络安全标准的制定,这方面还没有建立机制,我们应该追问美国,在网络安全标准领域什么时候落实其承诺?

四、如何把握强制性标准的定位?

很多人对强制性标准的认识有误区,认为某项工作重要,相关要求必须得到遵循,所以要制定强制性标准。事实上,标准本身并不具备强制性,其强制性要通过相关机制来保证。当法律法规引用某标准时,这个标准对所调整的社会关系而言是强制的;当政策引用某项标准时,这个标准对政策规范范围内的事项而言是强制的;当合同引用某项标准时,这个标准对合同当事方而言是强制的。正因为如此,国外很少有“强制性标准”的概念,而是称“技术性法规”,即这些技术文件的强制性通过法律机制来保证。入世谈判时,外方认同我国的“强制性标准”就是WTO所称的“技术性法规”,因此我国才保留了“强制性标准”这一特殊的标准形式。

那么,什么时候要制定强制性标准?我国《标准化法》明确规定,强制性标准应严格限定在保障人身健康和生命财产安全、国家安全、生态环境安全和满足社会经济管理基本要求的范围内。这与WTO的“一般安全例外”、“国家安全例外”基本一致。而在这些领域实施强制性标准,正是通过立法执法、行政许可或强制性认证(3C)来保证的。换言之,一个标准是否强制,与这项标准所支持的工作是否重要,没有必然联系。

那么,既然“没有网络安全就没有国家安全”,网络安全是否属于WTO的“国家安全例外”呢?这不能一概而论。网络安全肯定包含国家安全的内容,但也有一部分属于商业领域(即非国家安全领域)的安全。在真正属于国家安全的领域,我们可以制定强制性标准,例如《若干意见》指出的“国家关键信息基础设施保护、涉密网络”等领域。

由于历史的原因,我国现行强制性国家标准、行业标准、地方标准达1.1万余项,数量庞大,制定发布主体多,各级强制性标准之间缺乏有力的组织协调,亟须强化强制性标准统一管理。为此,今年2月,国务院办公厅印发了《关于印发强制性标准整合精简工作方案的通知》,直指现行强制性标准存在的交叉重复矛盾、超范围制定等主要问题,要求通过废止一批、转化一批、整合一批、修订一批,实现“一个市场、一条底线、一个标准”。方案指出,要将现行强制性国家标准、行业标准、地方标准整合形成强制性国家标准一级。在网络安全标准领域,强制性国家标准清理工作正在有条不紊地推进。

根据上述精神,《若干意见》指出,视情况在行业特殊需求的领域制定推荐性行业标准。这透露出两个信息:不再制定强制性网络安全行业标准,谨慎制定推荐性网络安全行业标准。

五、为什么原则上不制定网络安全地方标准?

《若干意见》指出,原则上不制定网络安全地方标准。这一规定符合国务院标准化工作改革精神,也反映了网络安全的内在规律。2015年2月,国务院文件《深化标准化工作改革方案》对推荐性地方标准的定位作了明确:制定满足地方自然条件、民族风俗习惯的特殊技术要求。显然,网络安全与地方自然条件、民族风俗习惯不搭界。换言之,“网络安全”并无“地方特色”。

据统计,现行国家标准、行业标准、地方标准中仅名称相同的就有近2000项。如果在缺乏地方特色的通用领域制定地方性标准,显然会带来标准技术指标不一致甚至冲突等问题,这就人为制造了“不标准”,对市场主体执行标准和政府部门行政执法带来很多困难。一些地方可能提出,我这里工业发达,工控安全是我的地方特色;还有的地方认为,我在搞大数据,大数据安全是我的地方特色。只能说,这些地方急需某些方面的网络安全标准。地方可以积极采用已有国家标准或提出国家标准立项申请,但不能通过制定地方标准解决其缺少网络安全标准的问题。

六、如何提高标准先进性?

先进性是对标准的基本要求。但无论是标准还是法律法规,都天然带有滞后性,这与先进性是相悖的。特别是,标准制定程序较为复杂和繁琐,没几年下不来,这已经成为制约标准先进性的突出因素。为此,除了提高标准的科技含量和技术水平外,缩短标准制定周期成为提升标准先进性的重要手段。《若干意见》明确提出,必须缩短标准制定周期,原则上不超过2年。

目前,信安标委归口管理、正式发布的网络安全国家标准有166项,但已立项但尚未发布的标准项目居然达到了192项(含部分研究项目),其中很多项目立项于10年以前(2006年)。浪费财政资金不说,这样的标准制定出来还有什么用?据了解,信安标委已经开始对已发布的网络安全国家标准进行先进性、适用性复审,并逐项梳理超期未结题项目,该停止的果断停止。

七、如何认识公开发布网络安全国家标准的意义?

《若干意见》要求,通过传统媒体和互联网等多种渠道公开发布网络安全国家标准。这看似是一句套话,实则是在国标委支持下我国网络安全标准化工作改革迈出的重要一步。一直以来,国家标准的电子版严禁上网公开,获得国家标准的渠道只有一个:到标准出版社购买。有专家指出,在整个标准化工作中,制定标准只占到了5%,剩下的95%在于宣传、贯彻、实施。而在互联网如此发达的今天,社会大众居然不能轻松获得标准文本,这与标准化工作的宗旨背道而驰。标准这种由财政资金支持制定的,指导经济社会运行的基础性、公开技术性文件,成为了一些单位赢利的工具。

为此,国务院文件《深化标准化工作改革方案》指出,要将强制性标准免费向社会公开。《若干意见》则更向前一步,要求全面上网公开网络安全国家标准。根据这一要求,2016年8月5日,信安标委将网络安全国家标准正式上网,这对广大网络安全工作者而言是福音,也体现了国标委对网络安全标准化工作的支持和重视。

八、“加大标准实施力度”的关键环节在哪里?

生产电源的企业不敢低于国家标准,生产轮胎的企业也不敢低于国家标准,因为这些企业的产品要经过3C认证才可上市。道理显而易见,标准不会自然实施,强制性标准不会自然强制,必须被法律法规、政策、合同、合格评定制度所引用。加大标准实施力度的关键环节是,政府部门在政策制定、相关工作部署时要积极采用国家标准。

但一些部门在制定政策文件时,往往走向另一个极端,即简单地规定“按照有关国家标准”。殊不知,这漫不经意的一句套话,对标准化工作造成了伤害。首先,这本身就是无的放矢,没有实际意义。其次,这种写法本来是将标准中的条款在政策文件实施范围内变成了强制,但由于没有明确指向,实际上是把所有“有关标准”都变成了强制,这根本做不到,而且也不是政策文件的本意。今后,国家政策文件中应尽量少出现“按照有关标准”这类话。如果写,就应当指明是哪个标准,或标准中的哪个条款。

九、如何推动国际标准化工作的常态化、持续化?

标准是话语权、影响力,标准是网络空间国际博弈的焦点,是维护国家利益的前沿阵地。《若干意见》要求,实质性参与国际标准化活动,推动国际标准化工作常态化、持续化。这其中的关键是人。国外一些专家几十年如一日,在ISO等国际标准化机构精耕细作,早已形成“势力范围”。对新来者而言,非十年之功难窥门径。我国专家参加ISO等国际组织的会议,很多时候还处在“看西洋景”阶段。目前,中国国家标准对国际标准的贡献率只有区区0.5%,与中国作为大国的身份严重不符。具体到网络安全标准领域,情况更是不容乐观。

在国标委的大力支持和信安标委的不懈努力下,目前我国在ISO注册的网络安全专家达到了近40人,国际标准制定也多次取得突破,这都是可喜的成绩。下一步要重点培养专业精、外语强的复合型国际标准化专家队伍,尤其要保证我国专家参与国际标准化工作的持续性和稳定性。

必须指出,目前制约这项工作的恰恰是我们自己,是一些单位曲解了中央精神。例如,某些中央部委、地方政府、高校院所、国有企业的外事审批部门将参加ISO网络安全标准化会议当做“出访”对待,每次10多天的会期只能批准5天;一些单位的负责人单纯以节省了多少出国经费、砍掉了多少出国团组为业绩;一些单位抱怨,为什么每次出国都是某个人去,为什么他去年去了今年还去,能不能每次轮换着大家都能雨露均沾……。这些问题,希望能够在《若干意见》印发后引起一些单位的重视。

十、如何做好资金保障?

资金问题虽然老生常谈,但对网络安全标准化工作而言是个涉及观念和认识的问题。在传统工业领域,企业参与标准制定的积极性很高。有时,即使国家财政对一个标准仅支持几千、几万元,甚至不投入,企业也热情不减。个中原因不言自明,如近来出现了某企业在国家电视台以“国家标准的制定者”作为广告语的现象。

但网络安全有其特殊性。维护网络安全不是简单的市场活动,某些标准针对的不是企业所推崇的技术或产品,而是用于加强网络安全管理的基础性规范,反映的是政府意志,企业对此缺少动力。虽然信安标委近年来努力提高标准制定的参与度和广泛性(目前信安标委81名委员中,来自企业的委员占了多数,这比上届有了根本性改变),大力发挥企业的主体作用,但至少到目前,企业不能作为制定国家网络安全标准的主要资金渠道,国家财政应加大投入。

在保证国家投入的基础上,《若干意见》鼓励社会资金支持。文件提出,设立网络安全标准优秀奖,这具有很好的导向意义。今年2月,全国政协常委、香港新世界发展有限公司主席郑家纯先生捐资3亿元设立了首个网络安全专项基金,目前该基金已经发起了网络安全人才奖、优秀教师奖、优秀教材奖、奖学金、网络安全标准优秀奖的评选。其中,每个优秀标准奖励50万元。相信这会在社会上掀起新一轮关注标准、使用标准、更好制定标准的热潮。