本文目录导读:

关基安全CISP-LP法律行为准则”,这涉及到关键信息基础设施安全(关基安全)和CISP-LP(注册信息安全专业人员-法律专业人员) 认证体系中的职业道德与法律行为规范。
需要明确的是,CISP-LP(注册信息安全专业人员-法律专业人员)是中国信息安全测评中心(CNITSEC)推出的针对法律背景人员的信息安全认证,其核心在于培养既懂法律又懂网络安全的复合型人才。
虽然没有一份名为“法律行为准则”的单一标准文件在公共领域广泛流传(该准则通常包含在培训教材和考试大纲中),但基于《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规,以及CISP-LP的认证要求,我们可以总结出关基安全领域中法律专业人员应遵循的核心法律行为准则:
核心法律行为准则(基于CISP-LP背景)
作为处理关键信息基础设施(CII)法律事务的专业人员,必须遵循以下行为准则:
合规底线原则
- 完全遵循上位法:所有行为必须严格符合《网络安全法》、《数据安全法》、《个人信息保护法》及《关键信息基础设施安全保护条例》。
- 等级保护要求:确保关基系统符合国家网络安全等级保护制度(如等保2.0)的要求,不擅自降低安全保护等级。
- 境内存储原则:严格遵守关键信息基础设施运营者在境内存储个人数据和重要数据的规定,确需出境的,必须通过安全评估。
风险导向与主动预防
- 法律风险前置:在系统规划、建设、运营、退役的全生命周期中,前置法律合规审查,识别并规避法律风险(如数据跨境、供应链安全、个人信息泄露等)。
- 应急预案参与:参与制定并审核网络安全事件的应急预案,确保法律措施(如通知义务、报告义务、证据保全)在事件发生时能合规执行。
保密与廉洁义务
- 严格保密:对在履行职责中知悉的关键信息基础设施的结构、缺陷、漏洞、安全策略、应急预案及敏感数据等信息,负有终身保密义务,不得非法泄露、出售或用于任何非授权目的。
- 利益冲突回避:不得利用职务之便或其掌握的安全与法律信息,为自己或他人谋取不正当利益,不得参与任何可能损害关基安全或国家网络安全的商业活动。
专业客观与独立判断
- 专业胜任:持续学习最新的网络安全技术、国际趋势(如美国NIST框架、欧盟GDPR)及国内法规更新,确保持续具备处理复杂关基法律问题的能力。
- 客观公正:在法律意见书中,如实、客观地分析安全事件或协议中的法律风险,不因商业利益或外部压力而隐瞒重大风险或做出误导性判断。
证据保全与法律责任
- 电子证据合法:在处理网络安全事件或合规审查时,严格遵循电子证据的取证、固定、展示的法律要求,确保证据的合法性、真实性和关联性。
- 法律责任意识:明确个人及所在组织违反上述准则可能面临的行政处罚、民事赔偿乃至刑事责任(如拒不履行信息网络安全管理义务罪、非法获取计算机信息系统数据罪等)。
法律行为准则的“三不”与“三要”
-
不踩红线:不触碰数据非法出境、不进行关键数据违规收集、不泄露国家级安全漏洞。
-
不留隐患:在合同中、协议中、预案中不留法律空白,尤其是供应链安全和第三方责任。
-
不徇私情:不因人情关系或商业利益而放松合规标准。
-
要全周期合规:从系统设计之初就引入法律思维。
-
要主动报告:发现重大漏洞或数据泄露风险时,依法及时向主管部门报告。
-
要持续学习:紧跟法律政策变化,如《网络数据安全管理条例(征求意见稿)》等后续立法动态。
建议操作
如果您是在备考CISP-LP,建议仔细阅读官方教材中关于“信息安全法律实务”和“职业道德规范”的章节,如果是作为关基运营者(CIIO)的法务人员,建议结合《关键信息基础设施安全保护要求》(GB/T 39204-2020)等国家标准,制定内部的《关基安全法律行为手册》。
特别提示:由于法律法规(特别是关基安全领域的细则)会持续更新,建议关注中国信息安全测评中心的官方通知,或查阅最新的《关键信息基础设施安全保护条例》及配套规定。