李新发 杨祎

摘  要：网络安全管理制度是网络运营者的基本法律义务，但在该制度建设实施方面还存在网络安全管理制度的法律规定及国家标准不清楚、重技术轻管理和既有管理制度未能得到有效执行等问题。因而网络运营者应建构网络安全管理制度体系，同时加大内部、主管、外部监督力度，不断提升网络安全防范能力。

关键词：网络安全;法治

中图分类号：D902          文献标识码：A             文章编号：1003-1332（2019）05-0082-05

当前，我国面临的政治安全威胁、军事威胁和恐怖威胁都以网络为纽带，互相交织、互相关联，使网络安全威胁成为我国当今面临的最复杂、最重大的非传统安全威胁，是最严峻的安全挑战。同时，随时互联网产业不断发展，网络攻击、网上违法犯罪活动不断增多，网络安全形势日益严峻。例如，2017年5月的WannaCry病毒是針对企业网络的一个著名案例，在此基础上，将来的网络攻击很可能更加凶猛，对我国信息系统造成的影响也将更大。针对网络安全日趋复杂而严峻的形势，国家先后出台了多部有关网络安全的法律法规、部门规章及国家标准， 2014年2月成立中央网络安全和信息化领导小组（2018年3月根据《深化党和国家机构改革方案》将中央网络安全和信息化领导小组改为中央网络安全和信息化委员会），全面统筹网络安全方面的工作。国家层面已高度重视网络安全工作，针对网络安全方面的制度和机制建设已日益完善，但相比之下各网络运营者（即指网络的所有者、管理者和网络服务提供者）网络安全管理制度的建设和实施情况却参差不齐。

在人与人之间的社会生活中，人类主体宁可容忍有缺陷的、不符合预期价值的或者本身就是“不公正”的成文规则的存在，也不愿看到没有成文规则、全然得不到法律控制的状态。道路交通既是如此，网络安全更应如此。网络运营者的网络安全管理制度就是其内部的“法律规则”。目前，学界对网络运营者网络安全管理制度的讨论很有限。有的专家只对网络安全管理制度中某一方面（比如要害岗位管理）进行讨论，有的专家结合高校网络安全对建立并完善网络安全管理制度只进行了一个浅析，还有文章讨论的背景是2008年之前出台的相关法律法规。这些讨论不能很好结合新形势要求来揭示网络安全管理制度的价值及其在建设实施过程中存在的问题。本文试图以新出台的有关法律规定为背景，对法治维度下网络运营者的网络安全管理制度进行研究，以期有益于提升该制度的法律实施效果。

一、网络运营者网络安全管理制度的法治价值

在互联网高速发展的今天，网络攻击、网络侵入方式层出不穷，手段多种多样，技术水平也在不断提高，使得很多网络运营者的信息系统处于被动防御状态。仅靠网络运营者内部搞计算机技术的某一个人或者几个人是无法从根本上保障信息系统安全的，而且还有很多的网络安全事件发生的根源来自内部人员，因此为了保障信息系统的安全，就必须通过制定和实施安全管理制度来明确网络安全管理活动中各参与者的权利义务，做到人人有责，职责分工具体。

在国家层面上，已对网络运营者的网络安全管理制度提出了明确法律要求。比如《中华人民共和国计算机信息系统安全保护条例》第13条规定，计算机信息系统的使用单位应当建立并健全安全管理制度，对本单位计算机信息系统的安全保护工作负责;《关于信息安全等级保护工作的实施意见》（公通字（2004）66号）第5条规定，信息和信息系统的运营、使用单位，根据与本系统安全保护等级相关的管理规范和技术标准的要求，除了定期开展安全状况检测评估、及时消除安全问题隐患和漏洞外，还应建立安全制度，根据信息安全事件不同等级制定相应的响应、处置预案，强化对本单位信息系统的安全管理;《信息安全等级保护管理办法》（公通字（2007）43号文）第13条规定，运营、使用单位应当按照有关国家标准制定并落实符合本系统安全保护等级要求的安全管理制度;《中华人民共和国网络安全法》（以下简称《网络安全法》）第21条第1款规定，网络运营者履行制定网络安全管理制度等安全保护义务。特别是《网络安全法》已将安全管理制度作为网络运营者应当履行的首要安全保护义务加以规定。从法律规定来看，网络安全管理制度是网络运营者的基本法律义务和要求。从法治维度来说，网络安全管理制度也具有重要的价值。

（一）是网络运营者网络安全管理活动的一种预期

苏力认为，只有在预期比较确定的情况下，我们才能开展一切社会交往和社会活动，所以大致确定的预期就显得很重要。比如，人们知道银行明天不会关闭，知道我下次在银行取款时现金是可以取出来的，知道这些金钱不会被作废、不会很快被贬值等等，这些预期是很确定，所以他们会选择在银行存款。人们的所有社会活动都是在有了很多人们自认为比较确定的预期之后而开展的。从这一点来说，虽然人们对新鲜感会时而也喜欢，但是事实上人们同时需要、也可以说是更需要一种确定和稳定。网络运营者的网络安全管理活动关系着是否会发生网络安全事件的问题，如果行为人对于活动过程中的具体行为、行为效果等没有一种预期，会增加管理失败的几率，使活动偏离预期的安全效果，产生网络安全隐患或者事件，使国家、社会及公民个人的合法利益面临遭受损失的的风险。为此，网络运营者的网络安全管理活动就更需要一种确定的预期。这就需要通过制度建设，来建立健全网络安全管理制度，明确在内部网络安全管理活动中参与人员的权利和义务边界，让整个活动参与人对于其参与行为及其效果等有一种明确预期。比如，通过制定《密码管理制度》来规定网络安全设备及网络终端必须使用“字母+数字+符号”复杂口令，避免弱口令的出现，更换周期为每三个月。这个制度从网络设备使用者的视野来说，就是一种明确的预期，使其明白设置密码的规则;从实施密码检查人员的视野来说，对于检查内容也是一种明确的预期。

（二）是网络运营者网络安全管理活动中权利和责任的一种配置

苏力认为，人们对社会权利有两个基本的配置方式，一个是成文规则的方式或者制度化的方式，另一个是个案的方式，或横平的方式。这个横平的方式是在具体时间里对发生的具体情况进行合乎情理的处置，可能有也可能没有一般的制度或者规则。内部网络安全管理活动涉及到使用、管理、审批、授权、审计、检查等权利和责任，如何来对这些权利和责任进行配置？我们认为肯定需要通过制度或者规则的方式进行配置，而不能通过横平方式进行配置。制度一般指要求大家共同遵守的办事规程或行动准则，是整个活动的游戏规定，更确切的讲，是为主体之间的相互关系而人为设置的一些制约。网络运营者的网络安全管理制度，能够规范内部网络安全管理的各项活动，对活动中各种权利和责任进行很好的配置，使各个环节、程序得到制约，做到有章可循。如果没有这方面的制度加以约束，网络运营者的内部网络安全管理活动就会发生随意而行的现象，权利不会很好地得到配置，甚至乱用权利;没有责任，或者责任只是停留在嘴上，随时可能被更改。

（三）是网络运营者网络安全管理工作的一种权威

马丁·洛克林认为，作为思想形式的保守主义和自由主义是很有意思的一对理论，保守主义是关注过去的一种理论，它对权威的问题非常关注和重视，而且把个体为整个社会秩序里不可分割的有机组成部分;自由主義是不大会关注传统的一种理性主义理论，它把自由权作为其关注的主要问题，并且把个人自治作为其赖以为基础的理论预设。网络安全作为一种非传统安全已显得日益重要，为了保障内部信息系统安全，我们对于内部网络安全管理工作在思想上是坚持保守主义还是自由主义？我们认为是坚持保守主义，而不能坚持自由主义、实行个人自治。在内部网络安全管理工作中，必须关注权威性，并通过制度建设来树立网络安全的权威。“俗话说没有规矩，不成方圆”。规矩也就是规章制度，是应该遵守的和用来规范行为的规则、条文，它保证良好的秩序，是工作成功的重要保证。通过建立科学的、积极的网络安全管理制度，能够树立内部网络安全管理工作的权威，并形成一种良性秩序，降低网络安全风险、促进网络安全管理工作发展。制度建设是一个制定制度、执行制度并在实践中检验的没有终点的动态过程，是一个不断完善的过程，从这个价值作用上讲，网络安全管理制度建设就是不断对网络安全管理权威进行强化。

二、网络运营者在网络安全管理制度建设实施方面存在的主要问题

目前网络运营者在网络安全管理制度建设实施方面比以前提高很多，特别是2017年《网络安全法》实施后，大多数的网络运营者成立了网络安全领导小组、设置了相关机构和人员、建立了相应的管理制度。但是，我们还是看到存在一些问题。

（一）对有关网络安全管理制度的法律规定及国家标准不清楚

少数网络运营者主管网络安全的内设机构，甚至主管网络安全的负责人对于网络安全管理制度的法律法规以及相关国家标准不清楚，缺乏法律意识。对于检查人员提出的整改意见，还认为只是检查人员的要求，敷衍而过，不能引起重视。有的网络运营者以为制定了《机房安全管理制度》就算达到法律要求，其实法律法规及相关国家标准就管理制度的建设有明确规定，但这些网络运营者没有按照法律法规要求来落实。比如某大型企业在网络安全管理中比较重视人员录用，而轻视人员离岗安全，在人员录用前能够做到严格人员录用过程、严格背景与资质等审查、签订保密协议，但在人员离岗问题上未制定管理制度。规范人员离岗制度是防止信息系统遭受破坏和防止信息泄漏的重要管理手段。人员离岗交接过程涉及信息系统管理权限、电子门禁权限、电子证书等权限与载体的回收，同时需要回收、清理离岗人员所保存的信息系统机密资料，如管理软件、服务器、网络设备的配置参数和账号密码。否则作为熟悉信息系统的管理人员，离职后仍然保留访问系统的能力，如果这类人员蓄意攻击系统，将对信息系统造成难以挽回的破坏和损失。

（二）重技术轻管理

有的网络运营者对于技术建设很重视，认为网络安全主要是在网络层面、主机层面、应用层面等加大技术投入，就能确保安全了。而对于网络安全管理，他们认为没有技术重要，对于整体网络安全不起大作用。所以这些网络运营者对于添置网络安全设备、技术上的措施比较重视，但在岗位设置、制度建设等管理方面比较轻视。比如某医药企业在主机安全、应用安全等添置了相应网络安全设备，但未在管理制度上实现管理人员的权限分离及最小权限，存在超级管理员等特权用户。在信息系统安全管理中权限分离、权限相互制衡的作用非常重要，管理员的设置、岗位职责设定和权限分配必须遵守权限分离、最小权限及权限之间相互制衡的原则。对信息系统的权限管理，特别是在具有业务逻辑的应用系统中应借鉴政治体系“三权分立”的设计，通过过程权利分割、权限制约和独立审计从而达到保证信息系统的安全目标。“三权分立”安全管理有效地制衡、隔离了用户对数据资源进行访问的权限，减小了非法用户或非法操作可能给系统及数据带来的风险，对于系统安全具有至关重要的作用。再如某上市公司一个网络管理员同时代理了上级领导的全部权限，上级领导调离时没有清理该权限，导致该操作员可以独立完成从建立业务账户、审核业务账户、批准业务账户、完成业务操作、审核业务操作到提取业务资金和修改日志记录等全部操作与审核，该管理员的蓄意破坏操作就会造成单位和社会的经济损失，而至此在日常运维检查和审计中无法从信息系统记录上发现存在的问题。因此，管理员权限过大，无权限相互制衡将使信息系统的管理上存在较严重的安全隐患。

（三）制度的制定程序未能完全得到遵循

一个制度要有普遍约束力，必须经过起草、评审、审批、发布等制定程序。在网络安全执法检查中，发现有的网络运营者存在相应的安全管理制度，但没有以相关文件或其他形式进行发布。这就造成一些网络安全管理制度停留在内设机构（人员）手上或墙上，引起对该制度能否发挥作用、是否能得到有效执行、能否真正保障信息系统安全等问题的质疑。比如，某事业单位有两个三级信息系统，也制定了应急预案，但是流于形式，仅仅形成文字或汇编，没有发布出去，没有对信息系统相关人员进行培训与演练。制定应急预案的目的是及时处置信息系统的突发事件，在发生突发事件时网络运营者中各个参与方能够及时有序地开展应急响应，对问题及隐患进行有效处置。应急预案必须确立各个应急参与方的职责和响应过程，而应急预案的培训和演练，有利于提高风险防范意识，有利于参与方知晓面临的重大事件及其相应的应急工作要求，有利于增进参与方协调配合，可以保证在突发事件的处置中将事件造成的经济损失和其他负面影响及其破坏程度降到最小。但是不遵循制度的制定程序，对应急预案的制度不进行发布，对参与人就没有约束力，就会影响该制度作用的发挥。

（四）既有管理制度未能得到有效执行

有的网络运营者制定了管理制度，但这些制度并没有执行到位。比如，某局就三级信息系统的机房管理制定了《机房安全管理制度》，明确了关于机房等受控区域的值班、登记、审批、陪同、监督等具体措施，但是实际工作中存在执行制度不严格的問题。在信息化建设中，机房是信息系统安全管理的核心部分，而机房内的网络设施及硬件设备是必须受到重点保护的，这些网络设施和安全设备直接关系到信息系统的正常运行，关系到网络运营者业务的正常运转。如果机房受到侵入或破坏，将对网络设施及硬件设备的安全构成威胁;如果某一网络设施或硬件设备受到破坏，将直接影响信息系统的正常运行及数据安全，影响网络运营者业务的正常运转。所以，必须对机房进行严格管理，严格执行《机房安全管理制度》，确保机房的安全管控到位。

三、强化网络运营者网络安全管理制度的思考

网络安全管理制度属于“软环境”，相对于技术投入比较容易落实，不用花费大量资金，就是要重视“软环境”的建设和实施。上述问题的存在，总得来说根源在于重视不够，没有认识到网络安全管理制度的法治价值，轻视制度建设，不能跟上国家和时代的步伐。网络安全管理制度作为网络运营者的基本法律义务，应引起高度重视，通过制度化管理确实提升内部网络安全的防范能力。

（一）依法建立健全网络安全管理制度

国家法律法规及相关国家标准的出台，已对网络安全管理制度作出明确规定，各网络运营者要树立依法治网的思想，认真学习这些具体规定，并根据自身实际情况来建立健全网络安全管理制度。涉及到信息系统的网络运营者还要结合网络安全等级保护制度的法律要求，分等级对管理制度进行建设和完善。

（二）设置网络安全管理机构

管理制度的制定程序由谁来完成？这就需要设置管理机构并明确其工作职责。因此建构一个从硬件和软件上都完善的管理机构是网络运营者实施好网络安全管理活动的首先任务，明确机构中从最高管理层到执行管理层以及业务运营层各个成员的职责，这是网络安全管理工作得以实施、推广的基础。所设置的专门管理机构应对本单位的网络安全工作进行有效的、有序的管理，并能够使本单位的网络安全状况将管理工作和制度落实到位。管理机构的工作职责主要是执行落实好本单位网络安全的具体工作和制度，但确定有关整体网络安全方面的战略或方针，就需要单位领导层来进行全面研究和决策。所以网络运营者还应根据本单位网络安全工作的需求来设立网络安全领导小组，由该领导小组对本单位网络安全工作的发展战略和总体原则方针具体负责。安全管理机构规模大小与其系统的规模相适应，规模大的信息系统设立安全领导小组，由主管领导负责，同时建立或明确一个内设机构具体履行网络安全管理职责;信息系统规模不大的网络运营者应设置系统安全管理员来执行网络安全管理工作。

（三）建构网络安全管理方面的制度体系

网络运营者应该根据本单位网络安全保护的需要，研究出台各项网络安全管理制度，限制和规范安全管理人员或者操作人员的操作行为等，建构整套网络安全管理方面的制度体系。比如，根据本单位网络安全方面的各种管理活动，出台《人员安全管理制度》，对人员录用、离岗、考核、教育培训等方面的管理活动进行明确规定;出台《网络建设管理制度》，对信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等方面的管理活动进行明确规定;出台《网络运维管理制度》，对机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等方面的管理活动进行明确规定;出台《定期检查制度》，对检查的人员、内容、方式及要求等内容进行明确规定，对各制度和措施的执行情况进行检查。制度构建后应报有相应审批权限的负责人进行审批，并经过内部发布方式予以正式发布，形成执行效力，使内部网络安全管理活动的参与者都知晓并遵守执行，这样才能保障网络安全管理活动的正常运行。同时，网络运营者在网络安全管理制度的建构和实施方面应遵循一定原则，其中主要原则有：领导负责原则，主要领导应对制度的审批、发布等制定程序负责，并确保制度价值的有效发挥;完善改进原则，应根据信息系统的安全状况和安全管理需要对网络安全管理制度及时进行修改和完善;分级保护原则，按等级保护制度的要求确立信息系统的安全保护等级，并根据等级及其安全管理需求来建构相应的制度体系;管理与技术并行实施原则，必须在思想和行动上对管理和技术要有相同的重视程度，运用管理与技术兼容互补的关系，在技术投入的同时应建立并完善相应的管理制度，全面提高信息系统安全防护能力。

（四）加大对网络安全管理制度的监督力度

一是内部监督，网络运营者对本单位的网络安全工作履行主体责任，单位负责人应该对本单位在网络安全法律规定（如制定网络安全管理制度）的实施方面履行监督责任，发现不完善或者不到位的，应及时督促整改到位;二是主管部门监督，各个行业主管部门对网络安全工作负有主管责任，应从网络安全管理制度建设方面入手加大监督力度，促使行业内各个单位建立健全网络安全管理制度;三是外部监督，各级公安机关网络安全保卫部门应根据《公安机关互联网安全监督检查规定》（公安部令第151号）规定，对网络运营者制定和落实网络安全管理制度的情况进行监督检查，对不制定和落实法律规定的，应当依照《网络安全法》第五十九条第一款规定进行处罚，据此来加大检查和处罚力度，通过行政执法来督促各个网络运营者落实相关法律要求，建立和完善内部网络安全管理制度，增强内部网络安全防范能力。

当前，网络安全关系着政治安全、国家安全、公共利益、网络运营者及个人的合法利益，应该说有网络安全的地方就应该有相应的成文规则。为了避免在网络安全方面缺乏成文规则、导致管理活动产生混乱秩序，网络运营者应及时建构和实施网络安全管理制度，有效防止网络安全隐患的发生，筑牢网络安全底线。

注 释：

[1] [德]魏德士：《法理学》，丁晓春、吴越译，法律出版社，2013年。

[2] 黎庆严：《浅析医院网络信息系统安全的要害岗位人员管理》，《网络安全技术与应用》，2018年第12期。

[3] 刘新汉：《浅谈高校网络安全存在的问题及对策》，《中小企业管理与科技（下旬刊）》，2016年第10期。

[4] 一清：《网络安全：技术防范和制度保障并重》，《软件工程师》，2000年第4期。

[5] 苏力：《法治及其本土资源》（修订版），中国政法大学出版社，2010年。

[6] [英]马丁·洛克林著、罗豪才主编：《公法与政治理论》，商务印书馆，2013年。

[7] 郭启全等：《网络安全法与网络安全等级保护制度培训教材》（2018版），电子工业出版社，2018年。

责任编辑：刘冰清

文字校对：向华武