大家好。很高興參加第二屆數(shù)據(jù)安全峰會關鍵信息基礎設施安全論壇。

關鍵信息基礎設施保護和數(shù)據(jù)安全是當前網(wǎng)絡安全工作的兩個熱點問題?！毒W(wǎng)絡安全法》用一個章節(jié)專門對關鍵信息基礎設施保護做出了明確要求，第三十七條規(guī)定關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估。前不久，國家互聯(lián)網(wǎng)信息辦又連續(xù)發(fā)布了《數(shù)據(jù)安全管理辦法（征求意見稿）》和《個人信息出境安全評估辦法（征求意見稿）》?？梢姡瑪?shù)據(jù)安全問題特別是關鍵信息基礎設施涉及的數(shù)據(jù)安全問題需要引起我們的高度重視。

當前，數(shù)據(jù)在經(jīng)濟社會發(fā)展中發(fā)揮著越來越重要的作用。從數(shù)據(jù)總量看，到2020年全球數(shù)據(jù)總量將達到44ZB，而屆時我國的數(shù)據(jù)總量將占全球數(shù)據(jù)總量的20%。從市場規(guī)?？矗?017年我國數(shù)據(jù)核心市場規(guī)模約234億元人民幣，2018年突破329億元人民幣。從影響力看，大數(shù)據(jù)戰(zhàn)略對國內(nèi)生產(chǎn)總值的拉動作用達到了2%-4%。數(shù)據(jù)不但改變著人們的生活方式，也深刻的改變著社會生產(chǎn)方式，甚至在國防軍事領域引起了巨大的變革。近年來，隨著互聯(lián)網(wǎng)技術的快速發(fā)展，我國的數(shù)據(jù)產(chǎn)業(yè)帶動數(shù)字經(jīng)濟調(diào)整發(fā)展，據(jù)統(tǒng)計全球數(shù)據(jù)經(jīng)濟發(fā)展指數(shù)排名中，中國處于僅次于美國的第二位，差距僅為0.12。

隨著數(shù)據(jù)技術和數(shù)據(jù)產(chǎn)業(yè)的極速發(fā)展，數(shù)據(jù)安全問題也越來越突顯。WannaCry勒索病毒攻擊在全球造成的損失高達15-40億美元。全球58%的企業(yè)在過去12個月里至少遭遇過一次數(shù)據(jù)泄露事件。2018年度全球企業(yè)用戶數(shù)據(jù)外泄影響了共計達10億網(wǎng)民。每天有超過2500萬條數(shù)據(jù)遭到入侵或泄露，也就是每秒291條，涵蓋醫(yī)療、信用卡、財務數(shù)據(jù)、個人身份信息等領域?？梢哉f數(shù)據(jù)安全問題直接關系到人民生命財產(chǎn)、經(jīng)濟社會健康發(fā)展，甚至國家安全。

面對嚴峻的數(shù)據(jù)安全形勢，如何做好數(shù)據(jù)安全保障工作，特別是關鍵信息基礎設施相關的數(shù)據(jù)安全保障工作，需要我們認真思考。我想從數(shù)據(jù)的生命周期看，不外乎技術和管理兩個層面；從供應鏈安全的角度看，不外乎技術發(fā)展的可持續(xù)性和產(chǎn)業(yè)生態(tài)的可持續(xù)性兩個層面。無論從哪個角度看，網(wǎng)絡安全審查和認證制度都將發(fā)揮越來越重要的作用。下面，我就數(shù)據(jù)安全審查認證制度談三點體會和大家交流。

一是要全面推進落實網(wǎng)絡安全審查認證制度。實施網(wǎng)絡安全審查和認證制度是落實《網(wǎng)絡安全法》的重要舉措。《網(wǎng)絡安全法》第二十三條規(guī)定網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。第三十五條規(guī)定關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。剛剛發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》第三十四條規(guī)定國家網(wǎng)信部門會同國務院市場監(jiān)督管理部門，指導國家網(wǎng)絡安全審查與認證機構，組織數(shù)據(jù)安全管理認證和應用程序安全認證工作。

二是要明確審查和認證的基本概念。審查和認證相輔相承又有所區(qū)別。認證是由國家認可的認證機構證明一個組織的產(chǎn)品、服務、管理體系符合相關標準、技術規(guī)范或其他強制性要求的合格評定活動。也就是說認證的目標是判斷產(chǎn)品或服務的標準符合性，實施認證的主體可以是國家機構，也可以是經(jīng)過國家認可的企業(yè)。而審查是在認證的基礎上對機構或產(chǎn)品服務的可控、可信性進行判斷，目標是發(fā)現(xiàn)風險、規(guī)范行為、保障安全，作用是建立準入和退出機制。審查的實施主體是國家網(wǎng)信部門。需要強調(diào)的是，審查不是重新造輪子，現(xiàn)有認證、測評等工作都是審查制度的重要支撐。

三是要理清數(shù)據(jù)安全審查認證體系的設計思路，盡快使審查認證制度在數(shù)據(jù)安全保障中發(fā)揮作用。根據(jù)前期的工作經(jīng)驗，我認為在數(shù)據(jù)安全審查認證體系的設計思路上應該立足以下三點。首先要聚焦數(shù)據(jù)安全風險。著眼于目前我國數(shù)據(jù)安全典型問題，如個人信息保護、數(shù)據(jù)跨境傳輸、數(shù)據(jù)安全管理等，研究制定標準規(guī)范，開展認證。對于可能影響國家安全的產(chǎn)品、服務和組織，開展數(shù)據(jù)安全審查。其次要立足現(xiàn)有工作基礎。充分利用現(xiàn)有審查認證工作基礎，發(fā)揮現(xiàn)有信息安全管理體系、信息安全服務資質、信息安全產(chǎn)品認證的基礎性作用，在認證內(nèi)容中加強對數(shù)據(jù)安全的關注。第三要重視國際合作。充分考慮國外法規(guī)數(shù)據(jù)保護法規(guī)對企業(yè)的影響，探索通過國際互認框架滿足國外法規(guī)要求的可行性，推動數(shù)據(jù)安全認證的國際互認工作。

女士們、先生們，中國網(wǎng)絡安全審查技術與認證中心自2018年更名以來，承擔了網(wǎng)絡安全審查相關技術支撐工作并負責具體組織實施，并繼續(xù)開展網(wǎng)絡安全認證工作。目前，我國的網(wǎng)絡安全審查認證制度框架已基本建立。自2008年正式開展信息安全認證認可工作、2014年推出網(wǎng)絡安全審查制度以來，審查和認證各自形成了完整的制度框架。隨著各項工作的推進，審查和認證既有共性又各有側重，既各司其職又互相配合，正在逐步實現(xiàn)融合，在國家網(wǎng)絡安全保障體系中正在發(fā)揮愈來愈大的作用。

在新形勢下，網(wǎng)絡安全審查與認證是保障國家網(wǎng)絡空間安全的重要制度安排。尤其是審查認證工作與關鍵信息基礎設施保護和數(shù)據(jù)安全密切相關，為保護關鍵信息基礎設施作貢獻義不容辭?！蛾P鍵信息基礎設施保護條例》即將發(fā)布實施，我們將在中央網(wǎng)信辦的領導下，結合工作實際加強宣傳，推動落實。近期，中國網(wǎng)絡安全審查技術與認證中心還要大力推動數(shù)據(jù)安全認證、APP認證、面向重點行業(yè)的網(wǎng)絡安全人才培養(yǎng)認證等工作，這些工作都與關鍵信息基礎設施保護有著密切的關系。希望各位嘉賓對網(wǎng)絡安全審查與認證工作給予高度的重視和積極支持，也希望加強合作、溝通，共同為關鍵信息基礎設施保護做出應有的貢獻。

謝謝大家！