×

网络安全法正式实施,你必须知道的几件事!
  

深信服安全产品研发 3522

{{ttag.title}}
本帖最后由 某公司安全产品研发 于 2017-6-5 09:35 编辑

目前《网络安全法》已在2017年6月1日起正式施行,对企业加强网络安全建设提出了要求和约束。网络安全法从首次审议到现在施行,一直备受各界关注。
明确企业角色

本次《网络安全法》根据企业用户网络的重要性分为网络运营者和关键基础设施运营者。

网络运营者是指网络的所有者、管理者和网络服务提供者,这一界定范围十分广泛,几乎将涉及网络产品服务的主体都纳入其中,只要“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”,都适用《网络安全法》。当今互联网时代,几乎每个企业都拥有对外提供服务的网站,也就意味着几乎每个企业都应关注并遵守网络安全法中网络运营者的相关法律规定。

《网络安全法》首次明确了关键信息基础设施的主要涉及行业领域和判定标准,将那些公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础信息网络和重要信息系统界定为关键信息基础设施。


明确监管部门

管理归属网信部门,企业需积极配合。第八条明确规定了网信部门是负责统筹和监督网络安全工作的机构。电信主管部门、某公司门和其他机关部门在各自职责范围内负责网络安全保护和监督管理工作。

第四十九条明确规定网络运营者必须对网信部门和有关部门依法实施的监督检查予以配合。如果不配合将按六十九条处以个人和单位罚款。如果不作为、抵制和违反规定后果会更严重。因此,主管部门的检查必须积极配合
明确责任人
责任人需明确。第二十一、三十四条要求企业要明确网络责任人。出现安全事故,直接负责人需要承担责任并且接受法律处罚。建议企业的IT负责人重点关注《网络安全法》法律法规,并且推动企业网络安全建设。


网络安全法有哪些要求

基本安全义务

《网络安全法》明确网络运营者的安全义务。为符合网络安全法规,要求网络运营者:
1)保障网络安全、稳定运行、维护网络数据的完整性、保密性、可用性;
2)遵守法律、行政法规,履行网络安全保护义务;
3)接受政府和社会的监督,承担社会责任;
其中,安全保护义务包括但不限于不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失;制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;按照网络安全等级保护制度的要求,履行21条规定的安全保护义务,包括但不限于制定安全制度和操作规则,确定网络安全负责人;采取技术措施等。

《网络安全法》明确规定,网络运营者不履行本法规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

《网络安全法》明确关键基础设施的安全义务。
由于关键信息基础设施影响着国民生活、国民经济甚至国家安全。因此网络安全法对关键信息基础设施运营者提出较高的网络安全要求。关键信息基础设施的运营者不仅要承担网络运营者的法律义务和责任,同时还要承担作为关键信息基础设施运营者的特色法律义务和责任。网络安全建设将成为关键信息设施的运营者运营过程中必须完成的任务。

《网络安全法》规定了关键信息基础设施运营者的特殊安全保护义务,包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;个人信息和重要数据境内备份;制定网络安全事件应急预案,并定期组织演练等。

《网络安全法》对于关键信息基础设施的运营者不履行网络安全保护义务的,规定由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。此外,对于境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,规定了法律责任;国务院某公司门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。



实行等级保护制度
《网络安全法》明确国家实行网络安全等级保护制度。




由于《网络安全法》明确提出了实现网络安全等级保护制度,也就意味着单位不做等级保护工作就是违法。建议企业都按照等级保护相关制度做好测评工作。

个人信息保护
《网络安全法》用不少篇幅的条文来规定网络产品、服务提供商对用户信息资料的收集和使用。总结起来就是:
一是网络运营者收集、使用个人信息必须符合合法、正当、必要原则。
二是网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则。
三是网络运营者应当对用户信息严格保密,并建立用户信息保护制度。
四是公民个人信息的删除权和更正权制度,即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。


监控预警和应急处置本次《网络安全法》确定了监测预警的风向标,并用了整个章节来体现重要性。

《网络安全法》第五章整章节均在描述监测预警和应急处置制度的作用和重要性,无论是国家层面,政府各职能机构层面,还是单独的网络运营者,都有所涉及。需要网络运营商具有问题发现和安全响应处置的能力,构建安全情报中心,第一时间预警响应。

建议
本次《网络安全法》的出台给互联网相关企业从各方面都带来不小的影响,企业今后将要在网络安全保护和管理等方面承担更多的义务和责任。信服君提醒用户关注安全并重视安全,建议用户根据网络安全法完成以下事情:
1、完善安全管理制度。采取有效技术措施和网络安全防护设备保障网络安全、稳定运行,能有效应对网络安全事件,包括:
● 对系统及硬件供应商、服务商的资质审查、存档记录;
● 内部电子邮箱等通讯软件的安全管理;
● 系统定期升级、维护;
● 加强信息数据管理,对重要数据做备份、存档、加密等处理。
2、建立审核监控制度,具体而言:
● 必须有较好的监控手段来有效监控网络系统,及时发现漏洞和信息泄露等风险;
● 严格审核并保证网络服务提供者不会收集与其提供的服务无关的信息,尤其是涉及国家秘密、个人隐私等重要敏感信息;
● 内容识别审查,能够有效发现并识别鉴别用户传输内容存在的敏感信息等,以便及时处置。
3、定期进行安全检查和评估,关键基础设施运营者每年必须进行一次评估。
4、建立报告制度。及时报告系统漏洞、信息泄露等风险事件。
5、建立保密制度。对个人信息、重要数据进行保密,全程保证传输安全,防止中间人劫持等威胁。
6、建立安全责任制度。本次新法明确规定,在企业违反网络安全保护义务情形下,可对直接负责的主管人员或责任人员进行处罚。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

哥丶珍藏版 发表于 2017-6-5 13:33
  
了解下
一帆凤顺 发表于 2017-6-5 14:51
  
信息安全
adds 发表于 2017-6-13 16:19
  
《网络安全法》今天施行,规定任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能。所以,我上不了google、youtube、facebook、twitter这些网络正常功能是谁的责任,要不要把他们抓起来……
                               ----摘自QQ空间
头像被屏蔽
云南南天 发表于 2019-5-16 19:07
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人