二、网络安全风险管理的范围得到全面扩展

实施网络安全风险管理，原本是从保护组织资产和业务的角度出发，使其免于遭受损失。然而，《网络安全法》是从总体国家安全观出发，将网络空间主权和国家安全、社会公共利益，公民、法人和其他组织的合法权益均纳入保护对象，大大扩展了网络安全风险管理的适用范围。首先，《网络安全法》进一步强化了关键信息基础设施保护的内容，在第三十一条中明确列出关键信息基础设施的范围。关键信息基础设施保护，因其影响重大，是在网络安全等级保护基础上的进一步重点保护，充分体现了安全风险管理的思想。其次，第三十五条提出，关键信息基础设施运营者采购网络产品和服务，可能影响国家安全的，应通过安全审查，该措施即是针对国家安全层面实施安全风险管理的有效举措。

此外，《网络安全法》针对公民个人信息保护，提出了大量具体要求，一方面弥补了国内在此方面立法的不足，另一方面将个人信息保护纳入到网络产品提供者和服务运营者实施网络安全风险管理的必要内容。由上述可见，《网络安全法》所阐述的网络安全风险管理范围，是在传统网络信息系统基础上，进一步扩展到国家关键信息基础设施、公民个人信息等方面，同时提出了安全审查等国家层面的治理手段，其内容大大丰富，效应更加广泛。

三、网络安全风险管理的落地将会更加扎实

从以往网络安全风险管理经验来看，有些时候所取得的效果欠佳。首先，由于以前国家在网络安全方面立法尚不完善，有不少企业实施的信息安全管理体系、PDCA（即计划、执行、检查、纠正程序）等管理方式往往只是流于形式，没有在效果上形成真正的“闭环”。《网络安全法》可谓“一锤定音”，将网络产品提供者和服务运营者的法律责任予以明确，使用执法手段倒逼其强化自身安全管理。其次，以往的网络安全风险管理中，我们一直关心的是发现脆弱性，改进安全措施，而对威胁的控制无计可施，此种方式非常被动且成本很高。《网络安全法》在第六章法律责任中提出了对各类违法行为的制裁措施，由被动转主动，有效震慑威胁源行为，将更多的成本转移到威胁源，打通了安全风险处置的“最后一公里”，形成真正的风险管理闭环。由上述可见，实施《网络安全法》，定会大幅度提升网络安全风险管理的效果。

出台《网络安全法》是我国网络安全领域立法工作跨出的最为关键的一步，意义非凡。围绕《网络安全法》展开工作，将是今后网络安全标准制定、安全检测和认证、风险评估、安全审查等网络安全风险管理工作的重中之重。