《网络安全法实施指南》发布(上)

作者:香港葵芳IDC机房      发布时间:2017/8/14 12:29:28

  国内组织机构,特别是涉及关键信息基础设施的行业机构在践行《网络安全法》时,一方面应切实履行好自身网络安全工作的责任与义务,另一方面,还需要依据《网络安全法》的法律要求进行落地实施,有效提高自身的网络安全保护水平。

  

  


  

  前言

  

  随着我国信息化建设的不断推进和互联网应用的日趋普及,网络安全问题层出不穷:网络入侵、网络攻击等非法活动威胁了我国信息安全;非法获取、倒卖公民信息、侵犯知识产权损害了我国公民的合法利益;危害国家安全、社会稳定与公共利益的不良信息借助网络迅速传播。反观国外,包括欧盟、美国、日本在内的国家或组织纷纷制定了与网络安全相关的法律。

  

  因此,《网络安全法》的制定对我国相关立法工作的重要性、完备性和紧迫性而言非常重要也非常必要。它是落实党中央决策部署的重要举措,是维护网络安全的客观需要,是维护大众切身利益的必然要求,也是我国参与互联网国际竞争和国际治理的必然选择。

  

  《网络安全法》的颁布实施,最重要的意义在于它把网络安全工作以法律形式提高到了国家安全战略的高度,并将信息安全等级保护制度上升为法律,成为维护国家网络空间主权、安全和发展利益的重要举措。同时,它的出台也符合维护网络安全的客观需要,提高了全社会网络安全保护的意识和能力,确保今后网络使用更加安全、开放和便利。

  

  关键内容

  

  √基于《网络安全法》要求,对近期与该法相关的法规标准进行了归纳总结,从而为组织机构在法律应对与实施的具体操作中提供参考指南;同时,本指南还识别了其他国家和地区的相关法规和标准,从而为国内组织机构在应对、实施《网络安全法》时提供对比和参考内容。

  

  √本指南从网络安全管理、网络安全技术和个人信息保护等三方面的法律、法规监管要求出发,为组织机构提供了合规差距分析的参考维度及相应的合规要求;同时,在合规应对实施环节,从网络运营安全、网络信息安全及关键信息基础设施保护等三方面,就“相关责任方”、“管理措施”及“技术措施”等三个维度总结了具体实施要点。

  

  √为确保组织机构建立完善的信息安全管理体系,本指南以信息安全等级保护制度和网络安全等级保护及其他法规要求为基础,总结并设计出了包括安全策略、安全管理和安全技术在内的等级保护体系;同时,基于《网络安全法》中对组织人员能力和意识的要求,给出了相应的教育模型和培训案例,最终实现组织信息安全的持续改进。

  

  引言

  

  2017年6月1日正式实施的《网络安全法》具有里程碑式的意义。它不仅是我国第一部网络安全的专门性综合性立法,提出了应对网络安全挑战这一全球性问题的中国方案,彰显了党和国家对网络安全问题的高度重视,同时,它还是我国网络安全法治建设的重要里程碑,使得今后我国网络安全管理工作步入法制化轨道,信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重的新阶段。

  

  《网络安全法》在网络空间主权、国家网络安全等级保护制度、关键信息基础设施保护、网络运营者、网络产品和服务提供者义务、保障网络信息安全,个人信息保护、关键信息基础设施重要数据跨境传输、监测预警与应急处置等方面做出明确规定。因此,国内组织机构,特别是涉及关键信息基础设施的行业机构在践行《网络安全法》时,一方面应切实履行好自身网络安全工作的责任与义务,另一方面,还需要依据《网络安全法》的法律要求进行落地实施,有效提高自身的网络安全保护水平。

  

  一、《网络安全法》概述

  

  1. 立法背景

  

  2014年2月中央网络安全和信息化领导小组成立,标志着我国把网络安全提升到了国家安全的高度并开始酝酿网络安全法编写工作;2015年6月十二届全国人大常委会审议了《网络安全法(草案)》,2016年7月二次审议稿正式在中国人大网公布,并向社会公开征求意见;2016年11月7日,历经全国人大常委会两次审议的关于我国网络安全管理的法律《中华人民共和国网络安全法》最终审议通过,并于2017年6月1日正式实施。

  

  

  

  与国外立法相比,《网络安全法》历经三年就发布实施无疑是快速的。这是因为中国当前的网络安全迫切要求。网络已经深刻地融入了中国经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性随之不断提高。

  

  一方面,党的十八大以来,国家主管部门加强了国家网络安全工作并做出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定《网络安全法》是适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措,是落实国家总体安全观的重要举措。另一方面,中国是网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全保障水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。

  

  在这样的形势下,制定网络安全法是维护国家广大人民群众切身利益的需要,是维护网络安全的客观需要,是落实国家总体安全观的重要举措。

  

  2. 立法意义

  

  《网络安全法》旨在保障我国网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。其立法的意义主要体现在以下几点:

  

  该法从法律层面上把我国网络安全工作提高到了国家安全战略的高度,强调对关键信息基础设施及个人信息数据的保护,明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。

  

  该法律的出台对我国互联网安全管理具有重大意义,是我国网络安全法律法规体系建设的一个重要里程碑,为我国网络安全工作提供了法律依据。

  

  从企业角度来看,该法律将强化互联网监管力度,规范网络空间秩序,为企业“互联网+”业务的发展营造良好的环境。

  

  从个人角度来看,在当前个人信息因信息管理出现漏洞而被泄露并违法使用,进而导致个人权利和利益频遭侵害的背景下,该法律对个人信息保护提出了明确要求,从而有效地保障了公民权利。

  

  3. 内容概述

  

  3.1 法律内容

  

  《网络安全法》全文共7章79条。其中,第三章“网络运行安全”和第四章“网络信息安全”分别对网络运营者、关键信息基础设施的网络运行和个人信息管理做了详细说明。

  

  

  

  《网络安全法》章节概览

  

  3.2 保护对象

  

  纵观法律全文,《网络安全法》的重点保护对象主要针对第三章第二节“关键信息基础设施的运行安全”中的“关键信息基础设施”和第四章“网络信息安全”中的“个人信息”。

  

  1) 关键信息基础设施

  

  由于关键信息基础设施在国家网络安全中有着举足轻重的作用,因此,国家对重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

  

  关键信息基础设施保护范围:

  

  政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

  

  电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

  

  国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

  

  广播电台、电视台、通讯社等新闻单位;

  

  其他重点单位。

  

  * 以上关键信息关键基础设施的范围参考了网信办2017年7月发布的《关键信息基础设施安全保护条例(征求意见稿)》

  

  2) 个人信息

  

  个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。

  

  *以上个人信息的定义参考了全国信息安全标准化技术委员会2016年12月发布的《个人信息安全规范(征求意见稿)》

  

  3.3 保护方法

  

  《网络安全法》中涉及的保护方法主要有以下几种:

  

  1) 实施等级保护

  

  《网络安全法》第二十一条规定“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。

  

  2) 网络运行安全和关键信息基础设施保护

  

  在确保网络运行安全方面,要制定安全制度,落实安全职责,部署安全技术措施,防范网络攻击(第21条);确保网络产品和服务的安全性和合规性(第22条);网络关键设备和网络安全专用产品的安全认证和安全检测(第23条);建立网络安全事件处置流程,及时启动应急预案(第25条);关键信息基础设施的网络安全与信息化应做到“三同步”(第33条);设立信息安全专门机构和负责人,定期培训考核,系统与数据容灾备份,应急预案并定期演练(第39条);采购安全产品与服务要接受主管部门的安全审查(第35条);要与安全产品与服务方签订保密协议(第36条);重要数据和个人信息跨境传输(第37条);至少每年进行一次安全评估,并向主管部门上报评估结果;主管部门对关键信息基础设施进行抽查检测与评估(第38、39条)。

  

  3) 个人信息保护

  

  在个人信息保护方面,组织应制定敏感信息保护制度(第21(4)、37、40、45、47、48、50条);网络运营者收集、使用个人信息时,要向用户明示并取得同意,不得超范围滥用个人信息(第22、41、44、45条);网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全(第42条);个人有权要求网络运营者删除和更改其个人信息(第43条);网络运营者要对其内部及外部用户使用网络行为进行监督(第46、47、48条);网络运营者应当建立网络信息安全投诉、举报制度,配合主管部门的调查与处置(第49、50条)。

  

  4) 网络安全检测与预警

  

  为保障网络安全,《网络安全法》第二十一条还规定,“网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”;第五十一条规定,国家层面上“国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”

  

  5) 网络安全应急管理

  

  《网络安全法》第二十五条规定,“普通网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。“;第三十四条规定,“关键信息基础设施的运营者除制定网络安全事件应急预案外还应定期进行演练”。对于行业监管者而言,第五十三条规定,“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练”。国家层面,第三十九条规定,“网信部门定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力”。

  

  6) 网络安全技术人才培养和安全意识宣传

  

  《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当定期对从业人员进行网络安全教育、技术培训和技能考核; 第十九条则要求各级人民政府、有关部门应组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作,大众媒体应有针对性地面向社会进行网络安全宣传教育。

  

  7) 职责落实与违规处罚

  

  为确保《网络安全法》顺利实施,执行有力,该法第六章“法律责任”对所涉及责任主体的违法惩处进行了详细规定。

  


Copyright by 葵芳有限公司 All Right Rescrvod   经营许可证号 粤B1-20170056   粤ICP备14096959号-2