1.1 网络安全评估标准设计原则

网络安全成为国家安全的重要组成部分，“没有网络安全，就没有国家安全”的理念，已经开始深入人心。2020年7月，中华人民共和国公安部研究制定并发布了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，把深入贯彻实施网络安全等级保护制度作为首要工作目标，明确要求相关单位和组织要有效落实“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”网络安全保护措施，建立、完善网络安全保护良好生态，显著提升国家网络安全综合防护能力和水平。2021年8月2日国务院办公厅正式印发《关键信息基础设施安全保护条例》，进一步明确了国家关键信息基础设施保护工作的条例要求。上述所有法律法规和条例要求，都是网络安全评估标准设计的基本依据和重要输入。

国际核能领域在开展同行评估标准设计时，一般遵循以下原则。

① 科学规范：评估标准须符合待评估领域的科学规律，客观、真实、准确地提出行业期望。

② 全面覆盖：评估标准须覆盖待评估领域各主要环节，同时兼顾业务上下游和内外部其他领域的接口需求。

③ 追求卓越：评估标准须体现行业不断追求卓越绩效的使命与愿景。

④ 聚焦管理：通过绩效与标准偏差的分析，识别影响待评估领域的潜在管理问题，促进管理绩效的持续改进。

结合以上网络安全大背景、国家顶层设计要求及国际核能领域同行评估标准设计原则，笔者提出“合法合规、系统全面、集成应用和务实有效”网络安全评估标准设计原则，在设计评估标准时，相关人员须全面考虑和落实以下设计要点。

① 贯彻落实总体国家安全观。

② 贯彻落实《中华人民共和国网络安全法》《中华人民共和国密码法》和《中华人民共和国数据安全法》等法律的相关要求。

③ 落实国家和行业主管部门相关法规条例和指导意见的相关要求。

④ 集成应用和有效落实网络安全等级保护等最新系列标准。

⑤ 充分借鉴国内金融、电力等行业在网络安全领域的良好实践。

⑥ 有效落实“三化六防”网络安全防护措施。

⑦ 与网络安全等级保护和关键信息基础设施安全保护在技术标准和评估方法方面形成动态支撑和优势互补。

⑧ 充分借鉴国际核能领域同行评估的成功实践。