明确企业角色 本次《网络安全法》根据企业用户网络的重要性分为网络运营者和关键基础设施运营者。 网络运营者是指网络的所有者、管理者和网络服务提供者,这一界定范围十分广泛,几乎将涉及网络产品服务的主体都纳入其中,只要“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”,都适用《网络安全法》。当今互联网时代,几乎每个企业都拥有对外提供服务的网站,也就意味着几乎每个企业都应关注并遵守网络安全法中网络运营者的相关法律规定。《网络安全法》首次明确了关键信息基础设施的主要涉及行业领域和判定标准,将那些公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础信息网络和重要信息系统界定为关键信息基础设施。
明确监管部门 管理归属网信部门,企业需积极配合。第八条明确规定了网信部门是负责统筹和监督网络安全工作的机构。电信主管部门、公安部门和其他机关部门在各自职责范围内负责网络安全保护和监督管理工作。第四十九条明确规定网络运营者必须对网信部门和有关部门依法实施的监督检查予以配合。如果不配合将按六十九条处以个人和单位罚款。如果不作为、抵制和违反规定后果会更严重。因此,主管部门的检查必须积极配合。
明确责任人 责任人需明确。第二十一、三十四条要求企业要明确网络责任人。出现安全事故,直接负责人需要承担责任并且接受法律处罚。建议企业的IT负责人重点关注《网络安全法》法律法规,并且推动企业网络安全建设。
1 网络安全法有哪些要求4.1 基本安全义务《网络安全法》明确网络运营者的安全义务。为符合网络安全法规,要求网络运营者:1)保障网络安全、稳定运行、维护网络数据的完整性、保密性、可用性;2)遵守法律、行政法规,履行网络安全保护义务;3)接受政府和社会的监督,承担社会责任;其中,安全保护义务包括但不限于不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失;制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;按照网络安全等级保护制度的要求,履行21条规定的安全保护义务,包括但不限于制定安全制度和操作规则,确定网络安全负责人;采取技术措施等。《网络安全法》明确规定,网络运营者不履行本法规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。2 3 4.2《网络安全法》明确关键基础设施的安全义务由于关键信息基础设施影响着国民生活、国民经济甚至国家安全。因此网络安全法对关键信息基础设施运营者提出较高的网络安全要求。关键信息基础设施的运营者不仅要承担网络运营者的法律义务和责任,同时还要承担作为关键信息基础设施运营者的特色法律义务和责任。网络安全建设将成为关键信息设施的运营者运营过程中必须完成的任务。《网络安全法》规定了关键信息基础设施运营者的特殊安全保护义务,包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;个人信息和重要数据境内备份;制定网络安全事件应急预案,并定期组织演练等。《网络安全法》对于关键信息基础设施的运营者不履行网络安全保护义务的,规定由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。此外,对于境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,规定了法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。2 实行等级保护制度5.1 《网络安全法》明确国家实行网络安全等级保护制度。条文第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务;由于《网络安全法》明确提出了实现网络安全等级保护制度,也就意味着单位不做等级保护工作就是违法。建议企业都按照等级保护相关制度做好测评工作。3 个人信息保护《网络安全法》用不少篇幅的条文来规定网络产品、服务提供商对用户信息资料的收集和使用。总结起来就是:一是网络运营者收集、使用个人信息必须符合合法、正当、必要原则。二是网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则。三是网络运营者应当对用户信息严格保密,并建立用户信息保护制度。四是公民个人信息的删除权和更正权制度,即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。4 监控预警和应急处置本次《网络安全法》确定了监测预警的风向标,并用了整个章节来体现重要性。第五十四条 网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。《网络安全法》第五章整章节均在描述监测预警和应急处置制度的作用和重要性,无论是国家层面,政府各职能机构层面,还是单独的网络运营者,都有所涉及。需要网络运营商具有问题发现和安全响应处置的能力,构建安全情报中心,第一时间预警响应。5 建议本次《网络安全法》的出台给互联网相关企业从各方面都带来不小的影响,企业今后将要在网络安全保护和管理等方面承担更多的义务和责任。提醒用户关注安全并重视安全,建议用户根据网络安全法完成以下事情:1、完善安全管理制度。采取有效技术措施和网络安全防护设备保障网络安全、稳定运行,能有效应对网络安全事件,包括:● 对系统及硬件供应商、服务商的资质审查、存档记录;● 内部电子邮箱等通讯软件的安全管理;● 系统定期升级、维护;● 加强信息数据管理,对重要数据做备份、存档、加密等处理。2、建立审核监控制度,具体而言:● 必须有较好的监控手段来有效监控网络系统,及时发现漏洞和信息泄露等风险;● 严格审核并保证网络服务提供者不会收集与其提供的服务无关的信息,尤其是涉及国家秘密、个人隐私等重要敏感信息;● 内容识别审查,能够有效发现并识别鉴别用户传输内容存在的敏感信息等,以便及时处置。3、定期进行安全检查和评估,关键基础设施运营者每年必须进行一次评估。4、建立报告制度。及时报告系统漏洞、信息泄露等风险事件。5、建立保密制度。对个人信息、重要数据进行保密,全程保证传输安全,防止中间人劫持等威胁。6、建立安全责任制度。本次新法明确规定,在企业违反网络安全保护义务情形下,可对直接负责的主管人员或责任人员进行处罚。