对安全的重视，政务大数据，不仅仅是对隐私的重视，显然正在发生变化。在2018年9月出版的《点击这里杀死所有人》（Click Here to Kill Everybody）一书中，世界级安全冠军布鲁斯•施奈尔（Bruce Schneier）认为，各国政府必须立即介入，迫使企业将安全作为一项基本设计优先事项。中国已经是这样了！2017年6月1日，标志着中国网络法治的开始。中国的立法者正在剥夺公司和企业高管优先考虑安全问题的自由。

什么是中国网络安全法？

中国网络安全法是维护国家网络安全和主权的总括性法律。CCSL对网络运营商提出了一整套要求。在该法中，网络运营商被定义为网络的所有者和管理者，以及网络服务提供商；因此，CCSL适用于任何在中国经营数字业务的人。它的生效时间比欧盟的GDPR早了近一年，并大胆地将安全作为首要任务。因此，违规行为可能会导致罚款、吊销许可证、关闭在华业务，大数据存储技术，甚至逐渐成为关键信息基础设施运营商首席执行官的个人责任。

在本博客中，我尽量回避法律细节，重点放在法律的安全角度。我概述了网络空间面临的挑战，并分享了一些最佳实践。

CCSL下的主要保护

据被认为是中国防火墙之父的方滨兴说，网络空间由载体、资源、网络活动主体和网络活动节点组成。简单的英语：设施、数据、用户和操作。这些数据要么是重要数据，要么是个人数据。新发明的术语"重要数据"具有新颖性：它包括个人、企业或任何可能危害国家安全的数据。为了保护网络空间中的这些元素，CCSL对网络运营商施加了各种安全义务。简而言之，这些义务被归类为

网络安全多级保护方案（MLPS），这是OWASP应用程序安全验证标准（ASVS）更广泛的变体，以保证"数据安全属性"，如技术和组织层面的完整性、机密性和可用性。《个人信息安全规范》在其规范中更多的是以同意为基础，对个人和敏感个人信息的收集、处理和使用、存储、纠正、删除和安全漏洞等方面仍然提出了共同的数据保护要求。跨境数据传输是一种方法，它迫使网络运营商实施最低级别的保护措施，以建立数据主体和国家对中国境外数据传输的信任。当无法建立信任时，数据需要留在中国。在中国保存数据，也就是众所周知的数据本地化，为数据主体和国家提供了更好的监管控制，尤其是在需要法医分析的情况下。消费者信任来自数据主体和网络运营商的数据的真实性，以进行从处理网络访问的服务到为用户提供信息发布或即时消息服务的各种设置。这些义务允许CSCL建立一个围绕社会平台的责任和责任框架的基础。黑客新闻网以及talosintelligence.com网站从小型企业到大型企业的数十起违规事件以及更频繁的政府违规事件机构。虽然没有明确的报告表明有多少人因直接的安全漏洞而丧生，云零售，但对于作为关键业务基础设施的系统来说，真正的恐怖场景似乎是合理的。在这些情况下，数百万个人数据的泄露可能会被滥用，用于身份盗窃，欧洲云服务器，但突然间只会造成中等程度的影响。全球各地都有CII的安全标准，但实施起来非常昂贵。因此，实现这些保护措施的系统最终会获得安全性，并经常妨碍用户体验，例如性能和可用性。鉴于百分之百的安全系统是一个神话，致力于CII定义的重要性引起了人们的注意。

在CCSL中，CII的定义仍处于起草阶段，识别CII的指南尚未达到最终版本。CII运营商的保护措施被设定为MLPS 3+级措施，重点是在中国实现生产数据本地化，特别是允许远程维护。

SAP最佳实践分享

SAP内部建立了一个跨职能的全球项目团队，负责安全、法律、业务和政府关系专家。该团队向SAP的董事会成员和高级管理人员报告，因此被授权为所有产品、服务团队、内部系统、内部流程创建CCSL内容，并帮助定期评估进度。我们建立了一种双向沟通方法，在发布新的法律和技术文件时，从政策警报开始。这些文档由SAP法律和安全专家研究，然后映射到SAP内部安全标准和解决方案。从受影响的单位收集用例和反馈，以改进分析工作。

根据需要修改内部安全和隐私政策和标准，并使用SAP安全软件开发生命周期来衡量、验证和传播结果。CCSL的复杂性要求我们像SAP一样尽早建立培训。在外部，与监管机构保持对话并提供反馈非常重要。

结论

CCSL已经通过，作为一种直接影响，即使是小企业，安全也被列为强制性的优先事项。由于CCSL的某些部分仍在逐步定义中，因此，各公司需要根据引入的要求调整其运营。