网络安全法解读-企业应对网络安全法

释放双眼,带上耳机,听听看~!

企业应对

l中国网络安全法主要的要求

l网络运营者需合规事项清单

l关键信息基础设施的运营者需合规事项清单

l企业建设思路

中国网络安全法主要的要求

网络安全法的规定:

个人隐私信息必须被安全的保护和存储在中国大陆 应对→ 完善的客户数据与隐私保护方案

核心行业(比如:交通业)必须使用政府授权和核准的网络产品 应对→ IT战略规划和IT采购管理

政府对阻断和限制网络传输享有保留权利 应对→ 可靠的业务可持续性计划

政府对用户数据和技术方案享有保留的监察权(比如:后门程序)应对→ 有效且及时的漏洞管理方案

核心行业企业必须执行定期安全风险评估 应对→ 定期安全风险评估

网络运营者需合规事项清单

网络安全法第21条: “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务” 参考《 国家信息安全等级保护制度第三级要求》 为企业提供以下具体实施建议:

·明确收集个人信息使用目的和范围,实施对收集的个人隐私字段的发现、加密、管控和审计,建立一整套的数据泄露防护方案

·应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录,部署SIEM日志集中分析系统,有关日志不少于六个月

·应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等

·对网络和主机进行恶意代码检测,实施主机防病毒产品、防病毒网关和邮件防病毒网关等措施

·应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容

·应采用加密或其他有效措施实现系统管理数据、

·鉴别信息和重要业务数据传输和存储保密性并对数据进行分类保护

·应对安全管理活动中的各类管理内容(策略配置、补丁管理、漏洞扫描等)建立安全管理制度(信息系统、服务器上线安全管理规范等)

·应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警

·设立或委任安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责

·应对要求管理人员或操作人员执行的日常管理操作建立操作规程(信息数据销毁操作指南、备份管理手册等)

网络安全法第31条: “可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护” : 关键信息基础设施的运营者不但要符合网络运营者的义务(前页提到内容)还要采取重点保护措施。

·企业要对向境外(包括香港)外发的数据的内容与方式方法进行相应的调整,确实需要与境外机构传输的,其数据内容、传输方式等均需要实施安全评估

·进行安全意识教育、岗位技能培训和相关安全技术培训,进行安全技能及安全认知的考核

·应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权,应配备专职安全管理员

·应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查

·应识别需要定期备份的重要业务信息、系统数据库及软件系统等, 应提供异地数据备份功能 ,利用通信网络将关键数据定时批量传送至备用场地

·对网络安全风险进行全面评估,应根据结果调整和修订总体安全策略、安全技术框架、安全管理策略等相关配套文件以备报送

·系统规划和规范制定阶段:《 业务安全需求》;《 设备安全需求》 ;系统开发和测试阶段:《 系统开发安全规范》、《 安全功能测试》、 《 安全方案测试》、项目实施:《 实施安全要求》

·加强业务持续性管理,建立BCM体系,保证具有支持业务稳定,持续运行的性能

·应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期。应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行

·企业需检查采购的网络产品和服务,是否与提供者签订了安全保密协议, 明确了安全和保密义务与责任

企业建设思路

网络安全法解读-企业应对网络安全法

人已赞赏
安全工具

网络安全法解读-网络安全法条款解读

2019-10-25 16:58:36

安全工具

网络安全法解读-法规总结

2019-10-25 17:25:49

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索