网络安全法解读-法规总结

释放双眼,带上耳机,听听看~!

网络运行安全

个人信息收集与使用

法律流程与监管

罚款与追究法律责任

网络运行安全

网络安全技术

o 网络运营者:采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施(第二十一条、二);

o 网络产品、服务提供者:符合相关国家标准的强制性要求。发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施。( 第二十二条)

o 网络运营者:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。(第二十一条、三)

上述条目在技术层面要求企业应采取各种事前预防、事中响应、事后跟进的技术手段,应对网络攻击,降低网络安全的风险。提供网络产品、服务应及时对产品/服务中所出现的安全缺陷进行响应,并提供必要的安全维护,保障安全产品/服务的正常运行。值得注意的是,网络日志的保存期限已明确要求不低于六个月。

• 数据安全

o 网络运营者:采取数据分类、重要数据备份和加密等措施。(第二十一条、四);

o 关键信息基础设施的运营者:对重要系统和数据库进行容灾备份。(第三十四条、三)

上述条目在数据安全方面要求企业对重要数据进行分类、备份、加密,以此来保障数据的完整性、可用性、 保密性。

安全管理与教育

o 网络运营者:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任(第二十一条、一)

o 关键信息基础设施运营者:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。( 第三十四条、一)

o 关键信息基础设施运营者:定期对从业人员进行网络安全教育、技术培训和技能考核。(第三十四条、二)

上述条目要求企业需在组织内部明确网络安全的责任,并通过完善的组织架构、规章制度、操作流程、培训体系为网络安全提供管理保障。

• 应急预案

o 网络运营者:制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施。( 第二十五条)

o 关键信息基础设施的运营者:制定网络安全事件应急预案,并定期进行演练。(第三十四条、四)

上述条目要求企业建立详细的安全应急预案,在范围上涵盖病毒处理、应对网络攻击与入侵、修补基础设施安全漏洞等。在发生安全事件时还需根据应急预案进行响应,通过合理的汇报、处置、事后补救和惩戒措施、以及定期演练, 将安全事件给组织带来的负面影响降到最低。

信息建设

o 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。(第三十三条)

上述条目对企业的关键信息基础设施建设可用性水平提出了要求,并在其规划、建设、使用环节需要同步安全技术措施进行了明确。

• 保密

o 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。(第三十六条)

上述条目主要是根据实际情况明确网络安全的保密义务与责任。

• 定期风险评估

o 关键信息基础设施的运营者: 自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。 ( 第三十八条)

上述条目要求关键信息基础设施运营者,应根据要求定期对自身的网络安全风险进行全面评估。

个人信息收集

o 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意(第二十二条);

o 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者收集、使用个人信息,应当公开其收集、使用规则(第四十一条);

o 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。(第四十四条)

上述条目对个人信息的获取提出了明确的要求,强调必须在用户知晓并同意收集目的和使用范围后,方能收集个人信息。这些法律条款从源头上规范了企业及相关机构对个人信息的获取途径、获取方式,强化了“向用户明示并征得同意”的要求。从企业的角度出发,需要根据《 网络安全法》 中的要求,进一步规范获取个人信息的途径与方式方法。

个人信息使用

网络运营者应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息(第四十一条)

o 未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失(第四十二条) ;

o 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。(第四十三条)

在上述条目中,多个条款中均出现了对个人信息保护的要求,尤其是针对个人信息的泄露、损毁与丢失等情况;同时也明确了个人有权要求网络运营者对个人信息进行更正或删除的权利。

《 网络安全法》 无疑对持有个人信息的组织机构提出了更高的安全防护要求。 建议企业先应尽快盘点已搜集、使用、存储的个人信息类型、个人信息对应的容器和载体、内部访问、处理、分析、使用这些个人信息对应的人员岗位、存储这些个人信息的信息系统情况(例如系统后台数据库的物理位置等)、这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方

网络安全法解读-法规总结

举报与报告

o 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门(第十四条);

o 发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告(第二十二条);

o 在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告(第二十五条)。

• 调查与约谈

o 省级以上人民政府有关部门发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息;(第五十五条)

o 可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患(第五十六条)。

应急演练与处置

o 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练;(第五十三条)

o 网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。(第五十三条)

• 合作与鼓励

o 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力;( 第二十九条)

o 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。( 第三十条)

不履行网络安全保护义务(管理安全、技术安全、数据安全等):

o 网络运营者不履行网络安全保护义务的最大处于10万罚款; (第五十九条)

o 关键信息基础设施的运营者不履行网络安全保护义务的最大处100万罚款。 (第五十九条)

• 提供网络产品、服务有违法行为的(恶意程序、缺陷漏洞、安全维护缺失等):

o 网络产品、服务违反本法最大处于50万罚款。 (第六十条)

• 境外存储个人信息和重要数据(跨境企业):

o 关键信息基础设施的运营者违反本法相关规定,在境外存储网络数据,或者向境外提供网络数据的最大可处于100万罚款或吊销营业执照。 (第六十六条)

个人信息保护

o 网络运营者违反本法未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的最大50万罚款或吊销营业执照; (第六十一条)

o 网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的最大违法所得十倍以下罚款,没有违法所得处100万元以下罚款或吊销营业执照。 (第六十四条)

o 窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的, 处100万元以下罚款。 (第六十四条)

刑事责任

o 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 (第七十四条)



人已赞赏
安全工具

网络安全法解读-企业应对网络安全法

2019-10-25 17:12:30

安全工具

vulnhub靶场 ha-wordy

2019-10-28 11:01:07

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索