近日,Facebook因未做好个人信息保护等合规工作被美国联邦贸易委员会(FTC)罚款50亿美元,成为历史上FTC针对个人信息保护开出的最大罚单,再次为各组织单位的网络安全合规工作敲响警钟。
国内网络安全的治理和政策建设工作正持续加强,《网络安全法》、网络安全等级保护2.0国家标准、《密码法》、《网络安全审查办法》等法律法规政策的相继发布,以及后续《个人信息保护法》、《数据安全法》、《网络安全等级保护条例》、《关键信息基础设施安全保护条例》等也将陆续发布,监管单位深入开展对于各行业的重要系统及网络的安全检查工作,都使得组织单位面临更加严格的网络安全监管要求。
那么,国内的组织单位需要关注哪些网络安全相关法律法规?众多的合规性标准重点在哪里?如何有效开展合规工作?
▲「漫话安全」网络安全合规篇
安全合规是网络安全工作的重要基础。做好以下几点,合规不难: 首先,应遵循《网络安全法》等相关法律积极开展网络安全合规相关工作: 1、网络安全运营者应落实网络安全等级保护制度,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,同时制定网络安全事件应急预案,并定期组织演练以及保存相应记录。
2、关键信息基础设施应在网络安全等级保护制度基础上,实行重点保护。网络运营者应设置专门网络安全管理机构和网络安全管理负责人,定期对从业人员进行网络安全教育、技术培训和技能考核,对重要系统和数据库进行容灾备份。
3、在商用密码应用合规方面,网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。
4、在个人信息保护方面,网络运营者应仅采取业务的个人信息,在收集前向个人告知信息处理目的,并取得个人信息主体授权同意。个人信息原则上不得转让、披露,确需转让、披露时,应遵循相关要求。
5、在数据安全管理方面,网络运营者应在数据采集、存储、传输、应用、销毁的每个阶段按照相关规定做好安全防护措施。
此外,企业还应当重点关注 “跨境数据安全合规”、“安全事件应急与响应合规”、“ 信息发布合规”和“信息安全管理合规”等重要合规内容,以等级保护安全建设具体要求为基础同时结合以上重点关注内容要求,主动开展合规管理。
深信服「漫话安全」系列
用3分钟,换个简单的方式说安全 深信服让IT更简单,更安全,更有价值!
往期回顾 |