《网络安全法实施指南》发布(2)
|
《网络安全法》全文共7章79条。其中,第三章“网络运行安全”和第四章“网络信息安全”分别对网络运营者、关键信息基础设施的网络运行和个人信息管理做了详细说明。
《网络安全法》章节概览 3.2 保护对象 纵观法律全文,《网络安全法》的重点保护对象主要针对第三章第二节 “关键信息基础设施的运行安全”中的“关键信息基础设施”和第四章“网络信息安全”中的“个人信息”。 1) 关键信息基础设施 由于关键信息基础设施在国家网络安全中有着举足轻重的作用,因此,国家对重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 关键信息基础设施保护范围: 政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; 电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; 国防科工、大型装备、化工、食品药品等行业领域科研生产单位; 广播电台、电视台、通讯社等新闻单位; 其他重点单位。 * 以上关键信息关键基础设施的范围参考了网信办2017年7月发布的《关键信息基础设施安全保护条例(征求意见稿)》 2) 个人信息 个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。 *以上个人信息的定义参考了全国信息安全标准化技术委员会2016年12月发布的《个人信息安全规范(征求意见稿)》 3.3 保护方法 《网络安全法》中涉及的保护方法主要有以下几种: 1) 实施等级保护 《网络安全法》第二十一条规定“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。 2) 网络运行安全和关键信息基础设施保护 在确保网络运行安全方面,要制定安全制度,落实安全职责,部署安全技术措施,防范网络攻击(第21条);确保网络产品和服务的安全性和合规性(第22条);网络关键设备和网络安全专用产品的安全认证和安全检测(第23条);建立网络安全事件处置流程,及时启动应急预案(第25条);关键信息基础设施的网络安全与信息化应做到“三同步”(第33条);设立信息安全专门机构和负责人,定期培训考核,系统与数据容灾备份,应急预案并定期演练(第39条);采购安全产品与服务要接受主管部门的安全审查(第35条);要与安全产品与服务方签订保密协议(第36条);重要数据和个人信息跨境传输(第37条);至少每年进行一次安全评估,并向主管部门上报评估结果;主管部门对关键信息基础设施进行抽查检测与评估(第38、39条)。 3) 个人信息保护 在个人信息保护方面,组织应制定敏感信息保护制度(第21(4)、37、40、45、47、48、50条);网络运营者收集、使用个人信息时,要向用户明示并取得同意,不得超范围滥用个人信息(第22、41、44、45条);网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全(第42条);个人有权要求网络运营者删除和更改其个人信息(第43条);网络运营者要对其内部及外部用户使用网络行为进行监督(第46、47、48条);网络运营者应当建立网络信息安全投诉、举报制度,配合主管部门的调查与处置(第49、50条)。 4) 网络安全检测与预警 为保障网络安全,《网络安全法》第二十一条还规定,“网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”, 第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”;第五十一条规定,国家层面上“国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。” 5) 网络安全应急管理 (编辑:ASP站长网) |
Redis未授权检测漏洞G
严峻Web对抗环境下的W
遭黑客盗走AMD GPU 部
企业级信息防泄漏大方