作者：中国电子技术标准化研究院刘贤刚、何延哲

    自从十二届全国人大常委会把制定网络安全方面的立法列入立法工作计划以来，社会各界对《中华人民共和国网络安全法》的制定高度关注。大家清楚地看到，网络安全问题引起社会公共利益和经济受损，公民、法人和其他组织的合法权益遭受侵害的事件屡见不鲜，通过立法手段来进一步加强网络安全管理已成众望所归。11月7日，全国人大常委会表决通过《中华人民共和国网络安全法》（以下简称《网络安全法》），网络安全领域第一部基础性、框架性法律正式出台。

    “没有绝对的安全”是网络安全从业人员的共识，实施网络安全风险管理，将安全风险控制在可接受的水平是网络安全工作的基本方法论，纵观《网络安全法》，其中就包含安全标准、安全检测和认证、安全风险评估、安全审查为代表的网络安全风险管理措施的条款多达十五条。《网络安全法》具体阐述了网络安全风险管理的哪些理念？会对今后的网络安全风险管理工作带来什么变化？本文从以下三方面予以论述。

    一、网络安全风险管理的地位得以全面提升

    仅从方法论来看网络安全风险管理，其过程涉及信息系统的全生命周期，包括规划、建设、运行、废弃等阶段的风险管理。然而，从实施角度来看，首先，网络安全风险管理需具备合法和正当的目的。《网络安全法》第二十六条明确规定，“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”目前，我国尚存在不少机构和个人未得到正式授权进行安全检测、漏洞挖掘和披露的行为，其中不乏因操作不当或对后果估计不足对被检测方造成危害的案例，其所谓的“安全风险评估”反而成为真正的风险点。其次，安全检测、认证和风险评估作为加强网络安全管理的手段，也在《网络安全法》中有多处提及，为网络安全风险管理相关工作提供了充分的法律依据。

    此外，实施网络安全风险管理，在法律的基础上，还必须依赖科学先进的网络安全标准。今年8月，中央网信办、国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》，意见明确要求，推动网络安全标准与国家相关法律法规的配套衔接。《网络安全法》即是该思想的充分体现，提及安全标准和规范的条款达七条之多，其中多处提到“国家标准的强制性要求”，安全标准的地位得到显著加强。由上述可见，《网络安全法》所阐述的网络安全风险管理理念，是以法律法规为基，以安全标准为纲，只有“立得稳，行得正”的网络安全风险管理措施才能真正发挥其效用。