网络安全法怎么个安全法?

原创 时间 2017-06-01   追风小组-muhe 神月资讯

6月1日,《中华人民共和国网络安全法》正式施行。对于多数国人来说,这部法律或许还相对陌生,但作为我国第一部全面规范网络空间安全管理的基础性法律,它与我们每个人的生活都息息相关。下面我们就一起来看看安全法,是怎么个安全法吧。

前言

61,《中华人民共和国网络安全法》正式施行。对于多数国人来说,这部法律或许还相对陌生,但作为我国第一部全面规范网络空间安全管理的基础性法律,它与我们每个人的生活都息息相关。下面我们就一起来看看安全法,是怎么个安全法吧。

                           

《网络安全法》共有七章七十九条,内容十分丰富,具有六大突出亮点:

一是明确了网络空间主权的原则;

二是明确了网络产品和服务提供者的安全义务;

三是明确了网络运营者的安全义务;

四是进一步完善了个人信息保护规则;

五是建立了关键信息基础设施安全保护制度;

六是确立了关键信息基础设施重要数据跨境传输的规则。

对企业的影响

1、明确管理制度,责任到人

根据第二十一条第(一)部分和第三十四条,对非关键和关键信息基础设置单位明确了要有网络安全负责人、要有网络安全管理机构、要有定期技能培训和考核。简单而言就是要有编制,培训投入和明确谁背责任。

相关条例:

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

      (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

第三十四条  除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

      (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

      (二)定期对从业人员进行网络安全教育、技术培训和技能考核;

      (三)对重要系统和数据库进行容灾备份;

      (四)制定网络安全事件应急预案,并定期进行演练;

      (五)法律、行政法规规定的其他义务。

 

2、对安全技术人员提出了要求

根据第二十七条和第六十三条,受过治安管理处罚或刑事处罚的人,从事网络类工作将受到限制。

相关条例:

第二十七条  任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第六十三条  违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

3、必须积极网信部门等相关部门的监督检查

根据第四十九条和第六十九条第(二)部分,拒绝、阻碍有关部门依法实施的监督检查,有关负责人受到处罚。

相关条例:

第四十九条 网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。

第六十九条  网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:

(二)拒绝、阻碍有关部门依法实施的监督检查的;

4、加强网络安全措施和应急措施建设

根据第十条,须保障网络安全、稳定运行。同时,根据第二十一条二十五条,要求加强防范能力和应急能力。可以看到,安全措施的要求,势必要很多要加购网络安全设备,而对网络日志的保留要求不得少于6个月,势必加设日志审计设备。同时,数据的加密备份也是要做的。

相关条例:

第十条  建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

      (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

      (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

      (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

      (四)采取数据分类、重要数据备份和加密等措施;

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第五十九条  网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

5、网络运营者、网络产品或者服务的提供者必须保障个人信息安全

根据第四十条到第四十四条,及第六十四条,第四十三条。非法获取的公民个人信息已经从简单的身份信息、电话号码、家庭住址等,扩展到手机通讯录和手机短信、网络账号和密码、住宿记录等,受侵害的人员涉及各行各业,立法保护个人信息已刻不容缓。个人信息被冒用有权要求网络运营者删除,同时,个人和组织有权对危害网络安全的行为进行举报。

相关条例:

第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条  网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十三条  个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第四十四条  任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

第四十三条  个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

6、等级保护、定期评估、演练

国家实行网络安全等级保护制度,重要的系统需要做等保工作,不做等保就是网络安全义务履行不到位。关键信息基础设施是建立在网络安全等级保护制度基础之上的,必须要做等保,目前主流的观点是三级及以上系统才有可能是关键信息基础设施,当然一些定级偏低实际很重要的系统也会包含在内。同时要求定期进行风险评估、安全应急演练等。

相关条例:

第三十一条  国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;

第三十八条  关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条  国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:

      (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;

      (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;

      (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;

      (四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。

<<上一篇 下一篇>>