政務(wù)單位網(wǎng)絡(luò)安全綜合合規(guī)及評(píng)估

榮曉燕 劉海峰 劉國偉

摘 ? 要：政務(wù)單位需要正確實(shí)施網(wǎng)絡(luò)安全控制，有效抑制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，落實(shí)到位國家各項(xiàng)網(wǎng)絡(luò)安全要求。由于電子政務(wù)領(lǐng)域無專門的法律規(guī)范，與電子政務(wù)有關(guān)的法律法規(guī)等政策文件以及安全標(biāo)準(zhǔn)等要求分散在計(jì)算機(jī)、互聯(lián)網(wǎng)、信息化建設(shè)、軟件保護(hù)、電子簽名等領(lǐng)域，為有效協(xié)助政務(wù)單位落實(shí)國家和有關(guān)部門各項(xiàng)網(wǎng)絡(luò)安全要求，文章基于《中華人民共和國網(wǎng)絡(luò)安全法》各項(xiàng)原則要求，以網(wǎng)絡(luò)安全相關(guān)法律法規(guī)等政策文件為依據(jù)，簡(jiǎn)單總結(jié)了政務(wù)網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全合規(guī)事項(xiàng)，介紹了政務(wù)單位網(wǎng)絡(luò)安全綜合合規(guī)評(píng)估流程，供政務(wù)單位參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全;政務(wù)單位;電子政務(wù);信息系統(tǒng);合規(guī)

中圖分類號(hào)： TP393.08 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： Based on e-government departments need to correctly implement cybersecurity control， effectively restrain cybersecurity risks， put in place all cybersecurity ?requirements of the state， because of the e-government field without special legal norms， laws and regulations related to the e-government policy documents are scattered in computer， internet， information construction， software protection， electronic signature， and other fields. This paper briefly summarizes the cybersecurity compliance matters of the operators of the government network and information system， and introduces the comprehensive compliance assessment process of the government cybersecurity for the reference of the e-government departments.

Key words： cybersecurity; administrative unit; E-government;information system; compliance

1 引言

國家推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”、政務(wù)信息系統(tǒng)整合共享、實(shí)施信息惠民工程等信息化發(fā)展戰(zhàn)略，使政務(wù)網(wǎng)絡(luò)及信息系統(tǒng)迎來了重要的發(fā)展機(jī)遇，與此同時(shí)遭受網(wǎng)絡(luò)攻擊的態(tài)勢(shì)也愈發(fā)明顯，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。安全風(fēng)險(xiǎn)是政務(wù)網(wǎng)絡(luò)及信息系統(tǒng)需要面對(duì)的問題，攻擊者利用系統(tǒng)存在的漏洞以及系統(tǒng)管理上的缺陷，利用APT攻擊等手段對(duì)政務(wù)網(wǎng)絡(luò)及信息系統(tǒng)實(shí)施攻擊滲透，造成政務(wù)信息系統(tǒng)頁面篡改、數(shù)據(jù)泄露和公眾服務(wù)癱瘓等問題，嚴(yán)重?fù)p害社會(huì)公眾利益，影響了政府、國家的形象。政務(wù)網(wǎng)絡(luò)安全防護(hù)工作任重道遠(yuǎn)，正確實(shí)施安全控制，有效抑制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，首先應(yīng)落實(shí)到位國家各項(xiàng)網(wǎng)絡(luò)安全要求[1～4]。

隨著《中華人民共和國網(wǎng)絡(luò)安全法》（本文簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）的實(shí)施，各級(jí)政府、各個(gè)行業(yè)逐漸細(xì)化《網(wǎng)絡(luò)安全法》的各項(xiàng)基本要求，陸續(xù)制定并發(fā)布了各項(xiàng)配套的網(wǎng)絡(luò)安全法規(guī)及標(biāo)準(zhǔn)體系。由于電子政務(wù)領(lǐng)域無專門法律規(guī)范，與電子政務(wù)有關(guān)的法律法規(guī)等政策文件以及安全標(biāo)準(zhǔn)等要求分散在計(jì)算機(jī)、互聯(lián)網(wǎng)、信息化建設(shè)、軟件保護(hù)、電子簽名等領(lǐng)域，對(duì)政務(wù)單位網(wǎng)絡(luò)安全綜合合規(guī)履職提出了挑戰(zhàn)。本文分析了國內(nèi)網(wǎng)絡(luò)安全相關(guān)的政策和標(biāo)準(zhǔn)，基于《網(wǎng)絡(luò)安全法》的各項(xiàng)原則要求，簡(jiǎn)單總結(jié)了政務(wù)網(wǎng)絡(luò)及信息系統(tǒng)運(yùn)營者網(wǎng)絡(luò)安全合規(guī)事項(xiàng)，介紹了政務(wù)單位網(wǎng)絡(luò)安全綜合合規(guī)的評(píng)估流程，供政務(wù)單位網(wǎng)絡(luò)安全履職合規(guī)參考。

2 政務(wù)網(wǎng)絡(luò)安全法律法規(guī)及標(biāo)準(zhǔn)簡(jiǎn)介

政務(wù)網(wǎng)絡(luò)安全的工作依據(jù)是國家法律體系以及相關(guān)的標(biāo)準(zhǔn)文件。

法律體系包括了法律、行政法規(guī)、地方性法規(guī)和行政規(guī)章、地方行政規(guī)章四個(gè)層次。法律是由全國人大及其常委會(huì)制定的，《網(wǎng)絡(luò)安全法》是我國網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，詳實(shí)而全面地設(shè)定了網(wǎng)絡(luò)運(yùn)營者的安全保護(hù)義務(wù)，其他幾個(gè)主要的網(wǎng)絡(luò)安全相關(guān)的法律包括《中華人民共和國密碼法》《中華人民共和國突發(fā)事件應(yīng)對(duì)法》《中華人民共和國安全生產(chǎn)法》《中華人民共和國電子簽名法》《全國人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等;行政法規(guī)是國務(wù)院制定頒布的規(guī)范性文件，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》是第一部涉及計(jì)算機(jī)信息系統(tǒng)安全的行政法規(guī)，施行安全等級(jí)保護(hù)制度。其他行政法規(guī)包括《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《電信條例》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)軟件保護(hù)條例》《商用密碼管理?xiàng)l例》等;地方性法規(guī)是由省、自治區(qū)、直轄市、省會(huì)所在地的市以及國務(wù)院批準(zhǔn)的較大的市的人大和人大常委會(huì)制定的，以北京市為例，如《北京市信息化促進(jìn)條例》;行政規(guī)章也叫部門規(guī)章，是由國務(wù)院的組成部門和直屬機(jī)構(gòu)在各自的職權(quán)范圍內(nèi)制定的規(guī)范性文件，與地方性法規(guī)處于一個(gè)級(jí)別，網(wǎng)絡(luò)安全經(jīng)常接觸到的部門規(guī)章包括《網(wǎng)絡(luò)安全審查辦法》《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《計(jì)算機(jī)病毒防治管理辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》《國際通信設(shè)施建設(shè)管理規(guī)定》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出入口信道管理辦法》《中國互聯(lián)網(wǎng)絡(luò)域名管理辦法》《互聯(lián)網(wǎng)IP地址備案管理辦法》等;地方行政規(guī)章是省、自治區(qū)和直轄市人民政府，以及省人民政府所在地的市的人民政府和國務(wù)院批準(zhǔn)的較大的市的人民政府制定的規(guī)范性文件，以北京市為例，地方行政規(guī)章包括《北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定》《北京市公共安全圖像信息系統(tǒng)管理辦法》等。

標(biāo)準(zhǔn)體系包括了國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)三個(gè)層面。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)種類多樣，層次復(fù)雜。按適用范圍分類，標(biāo)準(zhǔn)分為國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)。國家標(biāo)準(zhǔn)在全國范圍內(nèi)統(tǒng)一。行業(yè)標(biāo)準(zhǔn)是在全國范圍的某一行業(yè)內(nèi)統(tǒng)一，國務(wù)院標(biāo)準(zhǔn)化行政主管部門已批準(zhǔn)發(fā)布了60多個(gè)行業(yè)的標(biāo)準(zhǔn)代號(hào)。地方標(biāo)準(zhǔn)是指在某個(gè)省、自治區(qū)、直轄市范圍內(nèi)需要統(tǒng)一的標(biāo)準(zhǔn)。按照約束性分類，標(biāo)準(zhǔn)分為強(qiáng)制性標(biāo)準(zhǔn)和推薦性標(biāo)準(zhǔn);按照領(lǐng)域類別，信息技術(shù)類和信息安全技術(shù)類都會(huì)涉及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。被社會(huì)所熟知的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）（簡(jiǎn)稱等保2.0）為信息安全技術(shù)類國家推薦標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)雖為非強(qiáng)制性的推薦標(biāo)準(zhǔn)，但在實(shí)際工作中作為等級(jí)保護(hù)工作的標(biāo)準(zhǔn)依據(jù)。同等情況諸如《信息系統(tǒng)密碼應(yīng)用基本要求》（GM/T 0054-2018）《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）等推薦標(biāo)準(zhǔn)，在實(shí)際工作中也作為依據(jù)標(biāo)準(zhǔn)。

3 政務(wù)單位網(wǎng)絡(luò)安全合規(guī)的主要事項(xiàng)

網(wǎng)絡(luò)安全工作涉及面廣，覆蓋難度大?；凇毒W(wǎng)絡(luò)安全法》各項(xiàng)原則要求，通過分析國內(nèi)網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)，總結(jié)了政務(wù)網(wǎng)絡(luò)及信息系統(tǒng)運(yùn)營者網(wǎng)絡(luò)安全合規(guī)的要點(diǎn)及主要要求[5～11]。

3.1 實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)

按照網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求，依據(jù)重要性和遭受損壞后的危害性對(duì)網(wǎng)絡(luò)及信息系統(tǒng)進(jìn)行定級(jí)備案，設(shè)計(jì)及建設(shè)應(yīng)符合等保2.0技術(shù)要求，選擇符合國家規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)及整改。建立并逐步健全自上而下的網(wǎng)絡(luò)安全管理機(jī)構(gòu)和網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)，架構(gòu)設(shè)置盡量與行政隸屬關(guān)系一致，借助行政手段確保網(wǎng)絡(luò)安全政策的順利實(shí)施。建立人員管理、信息資產(chǎn)管理等安全制度，制定操作規(guī)程，規(guī)范設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺(tái)建設(shè)、應(yīng)用系統(tǒng)開發(fā)、運(yùn)行管理等重要環(huán)節(jié)，形成由網(wǎng)絡(luò)安全規(guī)章制度、操作規(guī)程等構(gòu)成全面、系統(tǒng)的信息安全管理制度體系，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，有效地應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。完善各方安全責(zé)任矩陣，做好網(wǎng)絡(luò)安全教育培訓(xùn)，制定并簽訂安全生產(chǎn)目標(biāo)管理責(zé)任書，促使員工重視網(wǎng)絡(luò)安全，落實(shí)網(wǎng)絡(luò)安全責(zé)任，落實(shí)網(wǎng)絡(luò)安全事件應(yīng)對(duì)，做到“預(yù)防為主、安全發(fā)展”。

3.2 對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)

強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)，應(yīng)設(shè)置專門的安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人;定期對(duì)網(wǎng)絡(luò)安全相關(guān)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)及技能考核;對(duì)重要系統(tǒng)和數(shù)據(jù)進(jìn)行容災(zāi)備份;制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并定期組織演練;對(duì)于重要領(lǐng)域采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過網(wǎng)絡(luò)安全審查。

3.3 加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和應(yīng)急處置

加強(qiáng)網(wǎng)絡(luò)安全保障能力，針對(duì)信息資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響，定期開展風(fēng)險(xiǎn)的測(cè)試和評(píng)估，為進(jìn)一步優(yōu)化安全控制、業(yè)務(wù)連續(xù)性分析、應(yīng)急恢復(fù)等工作提供風(fēng)險(xiǎn)管理的依據(jù)。建立單位網(wǎng)絡(luò)安全信息通報(bào)機(jī)制，自主監(jiān)測(cè)涉及單位管理范圍內(nèi)的信息資產(chǎn)，提高網(wǎng)絡(luò)安全保障能力?？茖W(xué)開展網(wǎng)絡(luò)安全應(yīng)急響應(yīng)，建立單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案體系，做好冗余災(zāi)備，開展應(yīng)急演練工作，做好安全日志記錄，對(duì)突發(fā)網(wǎng)絡(luò)安全事件進(jìn)行有效地處置，并按照公共互聯(lián)網(wǎng)網(wǎng)絡(luò)突發(fā)事件預(yù)案要求，對(duì)安全事件、安全預(yù)警等各類網(wǎng)絡(luò)安全信息進(jìn)行分級(jí)響應(yīng)報(bào)送。

3.4 落實(shí)數(shù)據(jù)安全保護(hù)

對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類;加強(qiáng)個(gè)人數(shù)據(jù)安全保護(hù)，收集使用個(gè)人信息必須合法正當(dāng)必要，收集使用公民個(gè)人信息目的明確知情同意等;在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。

3.5 加強(qiáng)密碼應(yīng)用安全

只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制或者境外生產(chǎn)的密碼產(chǎn)品。應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)用戶的網(wǎng)上行為進(jìn)行數(shù)字簽名安全認(rèn)證等。

3.6 建立網(wǎng)絡(luò)平臺(tái)信息內(nèi)容審查機(jī)制

主動(dòng)發(fā)現(xiàn)、停止傳輸、報(bào)告網(wǎng)絡(luò)數(shù)據(jù)中的違法信息，建立信息系統(tǒng)內(nèi)容審核與過濾制度，加強(qiáng)對(duì)信息發(fā)布的管理與審核工作;落實(shí)互聯(lián)網(wǎng)信息服務(wù)實(shí)名制，提供互聯(lián)網(wǎng)信息服務(wù)時(shí)，按照“后臺(tái)實(shí)名、前臺(tái)自愿”的原則，要求互聯(lián)網(wǎng)信息服務(wù)使用者通過真實(shí)身份信息認(rèn)證后才能注冊(cè)賬號(hào)。

3.7 遵守軟件正版化及網(wǎng)絡(luò)安全產(chǎn)品強(qiáng)制認(rèn)證要求

加強(qiáng)軟件正版化工作，規(guī)范正版軟件管理，采購密碼產(chǎn)品、計(jì)算機(jī)病毒防護(hù)產(chǎn)品、列入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的網(wǎng)絡(luò)安全產(chǎn)品和設(shè)備時(shí)，需要符合國家產(chǎn)品強(qiáng)制性要求。

3.8 加強(qiáng)終端安全管理

加強(qiáng)終端安全管理，對(duì)終端技術(shù)設(shè)備可能發(fā)生的風(fēng)險(xiǎn)各個(gè)方面有效管控，通過制度與技術(shù)有效結(jié)合的方式，減少、杜絕各類風(fēng)險(xiǎn)事件的發(fā)生。

4 政務(wù)單位網(wǎng)絡(luò)安全綜合合規(guī)評(píng)估

政務(wù)網(wǎng)絡(luò)運(yùn)營者依法履行網(wǎng)絡(luò)安全崗位職責(zé)時(shí)，應(yīng)積極采用問卷調(diào)查等自查方式，或者尋求與權(quán)威安全咨詢部門合作等方式，對(duì)本單位的網(wǎng)絡(luò)安全綜合合規(guī)風(fēng)險(xiǎn)，從管理到技術(shù)層面進(jìn)行全面、系統(tǒng)和客觀的評(píng)估和檢查。綜合合規(guī)評(píng)估應(yīng)覆蓋資產(chǎn)控制、安全組織、應(yīng)急響應(yīng)與安全事件、運(yùn)行管理、人員安全、訪問控制、終端安全等領(lǐng)域，做到“應(yīng)評(píng)盡評(píng)、綜合評(píng)估、風(fēng)險(xiǎn)可控”。

綜合合規(guī)流程可分為摸清資產(chǎn)、明確依據(jù)、確定方法、檢查評(píng)估、差距分析、問題整改六大部分閉環(huán)工作，如圖1所示。

（1）梳理政務(wù)單位信息資產(chǎn)，清理僵尸信息系統(tǒng)（網(wǎng)站），分析梳理數(shù)據(jù)，加強(qiáng)信息系統(tǒng)（網(wǎng)站）域名和IP地址的管理，通過資產(chǎn)分析，厘清工作范圍。

（2）根據(jù)工作涉及的范圍，確定網(wǎng)絡(luò)安全綜合合規(guī)評(píng)估的政策依據(jù)以及工作落實(shí)要求。

（3）確定網(wǎng)絡(luò)安全綜合合規(guī)的標(biāo)準(zhǔn)、方法及評(píng)估方式。標(biāo)準(zhǔn)、方法應(yīng)支撐各項(xiàng)合規(guī)要點(diǎn)，對(duì)于常見的信息系統(tǒng)等級(jí)保護(hù)評(píng)估，評(píng)估領(lǐng)域應(yīng)覆蓋信息資產(chǎn)的管理安全檢查、物理安全檢查、網(wǎng)絡(luò)安全檢查、應(yīng)用安全檢查、終端安全檢查等。

（4）實(shí)施檢查評(píng)估，一般采用人工訪談、文檔審核、上機(jī)核查、現(xiàn)場(chǎng)查看和滲透測(cè)試等方法。

（5）根據(jù)檢查評(píng)估情況，對(duì)合規(guī)事項(xiàng)是否有缺失以及合規(guī)落實(shí)情況進(jìn)行差距分析。

（6）根據(jù)綜合合規(guī)差距分析，對(duì)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及問題實(shí)施安全控制整改，有效組織管理和技術(shù)風(fēng)險(xiǎn)控制;開展網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)，提高安全操作和管理水平，增強(qiáng)安全意識(shí)，以查促改，以查促防。

4 結(jié)束語

網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)遠(yuǎn)復(fù)雜的問題，沒有網(wǎng)絡(luò)安全就沒有國家安全，網(wǎng)絡(luò)安全管理需要長(zhǎng)期的不懈努力。網(wǎng)絡(luò)安全合規(guī)是規(guī)定動(dòng)作和基線要求，政務(wù)網(wǎng)絡(luò)及信息系統(tǒng)運(yùn)營者應(yīng)高度重視并認(rèn)真貫徹落實(shí)，履職合規(guī)，將各項(xiàng)網(wǎng)絡(luò)安全管理工作落實(shí)到位，從而保障電子政務(wù)安全。

參考文獻(xiàn)

[1] 潘峰，劉旭，王巖，趙婉.北京市政務(wù)云運(yùn)行管理系統(tǒng)的設(shè)計(jì)[J].電子技術(shù)與軟件工程，2017，（11）：183-184.

[2] 王健錚，李宗建.網(wǎng)絡(luò)法治下《網(wǎng)絡(luò)安全法》的法律實(shí)踐研究[J].現(xiàn)代農(nóng)業(yè)研究，2019（07）：119-120.

[3] 張寶增.企業(yè)合規(guī)管理體系的建設(shè)探究[J].中外企業(yè)家， 2020（10）：41-42.

[4] 杜國功.加強(qiáng)合規(guī)管理推動(dòng)法治央企建設(shè)[N].經(jīng)濟(jì)參考報(bào)， 2020-03-30（006）.

[5] 曹興.《網(wǎng)絡(luò)安全法》監(jiān)管下的網(wǎng)絡(luò)安全管理合規(guī)及法律對(duì)策研究[J].法制博覽，2018（06）：93-94.

[6] 許可.數(shù)據(jù)安全法：定位、立場(chǎng)與制度構(gòu)造[J].經(jīng)貿(mào)法律評(píng)論， 2019（03）：52-66.

[7] 劉春泉.網(wǎng)絡(luò)安全法的合規(guī)投入是一種投資[J].中國外資， 2017（13）：26-27.

[8] 趙赤，王力.全球視野下我國企業(yè)合規(guī)的完善研究[J].湖南廣播電視大學(xué)學(xué)報(bào)，2020（02）：55-62.

[9] 劉玉琴.國有企業(yè)合規(guī)體系建設(shè)的思考[J].中外企業(yè)家， 2020（09）：26.

[10] 李媛.政府門戶網(wǎng)站安全政策標(biāo)準(zhǔn)研究及建議[J].網(wǎng)絡(luò)空間安全，2018，9（10）：39-44.

[11] 張志偉，張賀勛，吳澤江，陳遠(yuǎn)平，袁峭.基于云計(jì)算的數(shù)據(jù)安全與隱私保護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（07）：63-64.