2020年作為網絡安全等級保護制度正式實施的“開局之年”，同時也是眾多網絡安全合規方向發生巨大突破的一年。從年初的《中華人民共和國密碼法》（簡稱《密碼法》）正式實施，到《信息安全技術 網絡安全等級保護定級指南》（簡稱《等級保護定級指南））的正式發布；從公網安【2020】1960號文的發布到《中華人民共和國個人信息保護法（草案）》（簡稱《個人信息保護法（草案））征求意見，合規工作逐漸成為網絡安全建設中 為重要的一部分。那么，2020年合規方面發生了哪些大事件，2021年合規建設該何去何從？

2020年1月：《密碼法》正式實施

《密碼法》作為我國密碼領域首部綜合性、基礎性法律，從密碼管理的基本原則、分類管理、商用密碼從業單位管理，檢測認證體系建設，網絡運營者使用等多個角度進行了規范。對于關鍵信息基礎設施網絡使用者則要求必須使用商用密碼并開展商用密碼應用安全性評估工作，未開展評估工作 高面臨一百萬的罰款，未采用經過安全審查的產品或服務則 高面臨采購金額十倍的罰款。《密碼法》的正式實施也極大地推動了網絡運營者對信息系統開展商用密碼改造工作的積極性。

2020年4月：《等級保護定級指南》正式發布
《等級保護定級指南》作為等級保護2.0 后一個更新的標準，明確了確認網絡安全等級保護對象保護等級的原理與流程，可用于指導網絡運營者開展非涉及秘密的等級保護對象的定級工作。較上一版本主要有以下幾點變化：

定級要素與安全保護等級調整

安全保護等級矩陣表

專家評審的范圍明確：從原來的第三級及以上需要進行專家評審調整為第二級及以上，提高了等級保護對象等級確認的準確性。

定級對象范圍的擴大：伴隨著等級保護工作的不斷深入，保護對象的范圍需要適應網絡安全發展的需要，因此在《等級保護定級指南》中新加入了“云計算平臺/系統”、“物聯網”、“工業控制系統”、“采用移動互聯技術的系統”、“數據資源”等多種對象，也為采用新技術的系統開展等級保護工作提供了依據。

2020年7月：公網安【2020】1960號文件發布
公網安【2020】1960號文件指出，《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》作為公安部用于指導重點行業、部門開展等保、關保工作的指導性文件。該指導性文件提出了“三大基本原則”（堅持分等級保護、突出重點；堅持積極防御、綜合防護；堅持依法防護、形成合力）與“四大工作目標”（貫徹落實等級保護制度、建立與實施關鍵信息基礎設施保護制度、顯著提升網絡安全監測預警和綜合處置能力、基本形成網絡安全綜合防控體系）。對于網絡運營者主要關注以下幾點：

定級備案：應全面梳理網絡現狀，新建網絡需在規劃設計階段確定安全保護等級；

等級測評：新建第三級及以上系統必須在通過等保測評后方可投入運行；

建設整改：落實“三同步”原則，按照“一個中心、三重防護”的要求開展建設整改工作；

安全責任：定期開展安全自查與檢測評估工作，及時整改安全隱患與薄弱環節；

供應鏈管理：采購、使用符合法律法規和有關標準規范要求的網絡產品和服務；

密碼安全防護：第三級及以上運營者應在網絡安全等級測評中同步開展商用密碼應用安全性評估。

2020年10月：《個人信息保護法（草案）》征求意見

《個人信息法（草案）》以保護個人信息權益、規范個人信息處理活動、保障個人信息依法有序自由流動、促進個人信息合理使用為立法宗旨，規定了個人、企業、機關多主體對個人信息保護的權利/權力與義務。作為網絡運營者，應重點關注以下方面：

建立個人信息安全保護制度：應對外部用戶需要明確告知收集、使用、向第三方提供、跨境時個人信息處理的規則；對內則需要制定個人信息安全內部管理制度。

對外預防個人信息流通的風險：應保證個人信息來源的合法性；應在接收方變更原先的處理目的、處理方式時重新向個人告知并獲得同意；與第三方共享時應明確雙方對個人信息處理的責任。

2020年11月：金融行業等級保護標準發布
金融行業等級保護2.0標準于11月11日正式發布與實施，在國標的基礎上提出了網絡安全保障總體框架與增強的要求，作為金融設施的運營者應重點關于以下內容：

總體原則：“技管交互、綜合保障”。遵循“技術要求”、“管理要求”互相交融的原則，實現“技術體系”與“管理體系”的互補。

技術體系：在傳統防護的基礎上增強了對于***持續威脅監測的要求，增強了對于誘捕、欺騙攻擊者的要求；在數據備份與恢復方面進一步強化，對同城數據中心、異地數據中心提出了更高的要求；在云計算擴展要求部分則增強了對于互聯網提供金融服務的云平臺安全能力的要求。

管理體系：網絡運營者應基于“建立（規劃）”、“實施和執行（實施）”、“監控和審查（檢查）”、“保持和改進（處置）”的原則，構建生命周期管理體系。

結合2020年合規大事件，展望2021年合規工作：

1、合規工作的重要性逐漸提高：2021年將會有更多的條例與標準發布，合規工作的開展也將繼續深入。從新產品到新方案的運用，從經費與人員的保障到管理制度的落實，公網安【2020】1960號文也為網絡運營者指明了后續工作的方向。

2、行業合規要求日益強化：2020年發布了民航、金融、廣電、報業等多個領域的等級保護標準，多個行業等級保護及網絡安全標準也在積極編制中。2021年合規工作的行業屬性將更強，合規要求也將更為細化。

3、被動防御向主動對抗轉換：在關鍵信息基礎設施的合規建設中，主動防御、主動對抗將成為重點，這對網絡運營者自身的安全能力提出了更高的要求，如何從海量的安全事件中篩選出有用的信息并進行反制是網絡運營者首先要解決的問題。

4、新技術領域的合規要求重視程度逐漸提升：云計算、5G、區塊鏈等新技術廣泛應用的同時，也帶來了新的安全風險，如何更好開展新技術領域合規工作是網絡運營者需要關注的重點。