今日頭條
官方微信
官方抖音
資訊頻道《網(wǎng)絡(luò)安全法》自2017年6月1日起實(shí)施。
《網(wǎng)絡(luò)安全法》共7章79條。第一章是總則,明確了立法目的,本法調(diào)整范圍、調(diào)整對(duì)象、主要任務(wù)等內(nèi)容;第二章是網(wǎng)絡(luò)安全支持與促進(jìn);第三章是網(wǎng)絡(luò)運(yùn)行安全,包括一般規(guī)定和關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全;第四章是網(wǎng)絡(luò)信息安全;第五章是監(jiān)測(cè)預(yù)警與應(yīng)急處置,主要規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者及有關(guān)職能部門的責(zé)任義務(wù);第六章是法律責(zé)任;第七章是附則。
網(wǎng)絡(luò)安全法確立了國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,明確了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸要求。
接下來(lái)的內(nèi)容摘自2018版《網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》培訓(xùn)教程一書(shū),e小安將書(shū)中對(duì)等級(jí)保護(hù)、對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)條款解讀搬運(yùn)過(guò)來(lái),便于大家日常開(kāi)展工作時(shí),有基礎(chǔ)性、全局性的把握。
第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù)。
解讀:
本條規(guī)定了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,標(biāo)志著從1994年的國(guó)務(wù)院條例(國(guó)務(wù)院令第147號(hào))上升到國(guó)家法律;標(biāo)志著國(guó)家實(shí)施十余年的信息安全等級(jí)保護(hù)制度進(jìn)入2.0階段;標(biāo)志著以保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全為重點(diǎn)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度依法全面實(shí)施。中央關(guān)于加強(qiáng)社會(huì)治安防控體系建設(shè)的意見(jiàn)、公安改革若干重大問(wèn)題的框架意見(jiàn)要求“健全完善信息安全等級(jí)保護(hù)制度”。習(xí)近平總書(shū)記等中央領(lǐng)導(dǎo)批示要求:健全完善以保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全為重點(diǎn)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。黨政機(jī)關(guān)、企事業(yè)單位、其他組織、個(gè)人等網(wǎng)絡(luò)運(yùn)營(yíng)者,必須依法落實(shí)網(wǎng)絡(luò)安法實(shí)施監(jiān)管。有關(guān)網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的具體義務(wù),見(jiàn)2.4節(jié)。
第三十一條國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
解讀:
本條規(guī)定了國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)要求。關(guān)系國(guó)家重大利益、人民群眾生命財(cái)產(chǎn)安全和社會(huì)生產(chǎn)生活秩序,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)和數(shù)據(jù)資源,屬于關(guān)鍵信息基礎(chǔ)設(shè)施。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在第三級(jí)以上的網(wǎng)絡(luò)中,確定關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,一是落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,開(kāi)展定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全自查等工作,建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御體系,確保關(guān)鍵信息基礎(chǔ)設(shè)施安全;二是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上實(shí)施重點(diǎn)保護(hù)。
第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
(三)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;
(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
解讀:
本條規(guī)定了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)運(yùn)營(yíng)者按照等級(jí)保護(hù)制度要求,依照網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求、安全設(shè)計(jì)技術(shù)要求、測(cè)評(píng)要求,定級(jí)指南,實(shí)施指南等一系列國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),依法開(kāi)展網(wǎng)絡(luò)系統(tǒng)定級(jí)、備案、安全建設(shè)整改等級(jí)測(cè)評(píng)、安全檢查等強(qiáng)制性規(guī)定性工作,從管理和技術(shù)兩方面,采取防護(hù)措施,按照網(wǎng)絡(luò)系統(tǒng)的等級(jí),分級(jí)開(kāi)展防護(hù)保護(hù),保護(hù)網(wǎng)絡(luò)安全,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取取、篡改。網(wǎng)網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo),涵蓋了網(wǎng)絡(luò)、信息系統(tǒng)、信息、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)網(wǎng)、工控系統(tǒng)、移動(dòng)互聯(lián)等護(hù)對(duì)象的保護(hù)要求、測(cè)評(píng)要求和安全設(shè)計(jì)技術(shù)要求,明確了新的定級(jí)方法,網(wǎng)運(yùn)營(yíng)者應(yīng)該按照新標(biāo)準(zhǔn)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。
為了突出重點(diǎn),本條還專門提出網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)落實(shí)的幾個(gè)關(guān)鍵措施:一是制定內(nèi)部管理制度和規(guī)范,落實(shí)責(zé)任制;二是落實(shí)防范網(wǎng)絡(luò)攻擊的技術(shù)措施;三是落實(shí)監(jiān)測(cè)和記錄措施,要求網(wǎng)絡(luò)日志留存六個(gè)月;四是落實(shí)數(shù)據(jù)保護(hù)措施,包括分類、備份加密等措施;五是落實(shí)法律法規(guī)的其他措施。
第三十一條國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。
解讀:
國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),以及與與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的關(guān)系。關(guān)系國(guó)家重大利益、人民群眾生命財(cái)產(chǎn)安全和社會(huì)生產(chǎn)生活秩序,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)和數(shù)據(jù)資源等,屬于關(guān)鍵信息基礎(chǔ)設(shè)施。習(xí)近平總書(shū)記指出:我國(guó)網(wǎng)絡(luò)安全保障和防護(hù)仍處于較低水平,不僅體現(xiàn)在硬件上,也體現(xiàn)在軟件上,更體現(xiàn)在安全意識(shí)和安全標(biāo)準(zhǔn)上;網(wǎng)絡(luò)屬非傳統(tǒng)領(lǐng)域,這方面的風(fēng)險(xiǎn)與威脅更具有殺傷力和破壞性,必須引起我們高度重視;我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施防控還比較薄弱,各部門必須守土盡責(zé),密切配合,完善預(yù)案,積極應(yīng)對(duì),切實(shí)強(qiáng)化國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù),確保整個(gè)網(wǎng)絡(luò)安全;堅(jiān)決改變只重技術(shù)不重安全的做法,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,實(shí)現(xiàn)全天候全方位感知和有效防護(hù)。
第三十二條按照國(guó)務(wù)院規(guī)定的職責(zé)分工,負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,指指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。
解讀:
本條規(guī)定了負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門組織開(kāi)展關(guān)鍵信息基時(shí)確保了網(wǎng)如設(shè)施安全保護(hù)、監(jiān)督和指導(dǎo)等工作。一是行業(yè)主管部門要組織制定并實(shí)施本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,監(jiān)督、指導(dǎo)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,落實(shí)主管責(zé)任。二是國(guó)家網(wǎng)信、公安、保密、密碼、安全等部部門,按照法律賦予的職責(zé),根據(jù)任務(wù)分工,分別組織制定并實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)劃行下列統(tǒng)籌協(xié)調(diào),監(jiān)督檢查指導(dǎo)行業(yè)主管部門、網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)安全規(guī)劃,開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)各項(xiàng)工作,落實(shí)責(zé)任制,加強(qiáng)考核和督辦。
第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的員進(jìn)行性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。
解讀:
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的功能性能要求和“三同步”要求。重要行業(yè)部門建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施時(shí),著重考慮兩個(gè)要素:一個(gè)是功能、性能要求;另一個(gè)是安全要求。建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施投資較大,在規(guī)劃設(shè)計(jì)階段,要充分論證,以滿足業(yè)務(wù)需求,保證業(yè)務(wù)的連續(xù)性和穩(wěn)定性。同時(shí),關(guān)鍵信息基礎(chǔ)設(shè)施在規(guī)劃設(shè)計(jì)階段,一定要同步規(guī)劃、同步設(shè)計(jì)安全技術(shù)措施和管理措施,安全保護(hù)設(shè)施與信息化設(shè)施同步建設(shè)、同步使用,確保關(guān)鍵信息基礎(chǔ)設(shè)施的功能、性能能正常發(fā)揮。為了保證該項(xiàng)規(guī)定的落實(shí),業(yè)務(wù)部門和信息化部門在制定網(wǎng)絡(luò)、系統(tǒng)建設(shè)方案時(shí),一定要確定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等級(jí),根據(jù)其安全等級(jí),按照國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)同步制定安全建設(shè)方案,聘請(qǐng)專家進(jìn)行評(píng)審,方案通過(guò)后方可進(jìn)行建設(shè)、運(yùn)行。關(guān)鍵信息基礎(chǔ)設(shè)施在上線之前,還要進(jìn)行源代碼檢測(cè)、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估,確保網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全和數(shù)據(jù)、信息安全。
第三十四條除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)
(一)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查
(二)定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;
(三)對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份;
(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
解讀:
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)落實(shí)的重點(diǎn)措施。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者除落實(shí)本法第二十一條規(guī)定的措施外,還要落實(shí)幾項(xiàng)重點(diǎn)措施。
一是建立完善領(lǐng)導(dǎo)體系,成立專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu),明確專門負(fù)責(zé)網(wǎng)絡(luò)安全的領(lǐng)導(dǎo),確保政令暢通。
二是對(duì)負(fù)責(zé)人、管理員、運(yùn)維人員等關(guān)鍵崗位人員進(jìn)行背景審查,確保關(guān)鍵崗位、部門的人員可靠。
三是建設(shè)或利用合作單位培訓(xùn)、訓(xùn)練環(huán)境,采取網(wǎng)上網(wǎng)下等多種形式對(duì)關(guān)鍵崗位人員、從業(yè)人員進(jìn)行意識(shí)教育、網(wǎng)絡(luò)安全技術(shù)培訓(xùn)及攻防對(duì)抗演練,提高網(wǎng)絡(luò)安全業(yè)務(wù)能力和實(shí)戰(zhàn)能力。四是對(duì)有關(guān)崗位人員進(jìn)行分級(jí)分類管理,分類考核,將考核成績(jī)納人年終考評(píng)。五是對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份,包括同城、異地方式及冷備、熱備方式,保證系統(tǒng)運(yùn)行安全、數(shù)據(jù)和信息安全。六是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,備建隊(duì)伍、裝備,建立與有關(guān)部門、企業(yè)的配合機(jī)制,并定期進(jìn)行演練,以檢驗(yàn)預(yù)案的有效性和針對(duì)性。六是落實(shí)《國(guó)家安全法》《反恐怖主義法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律、行政法規(guī)規(guī)定的其他義務(wù)。
第三十五條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。
解讀:
本條規(guī)定了非常態(tài)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國(guó)家安全審查機(jī)制。2015年出臺(tái)的《國(guó)家安全法》確立了國(guó)家安全審查制度。在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí),如果影響國(guó)家安全,用戶按照世界貿(mào)易組織規(guī)則,可以按照國(guó)家安全例外原則,對(duì)采購(gòu)的產(chǎn)品和服務(wù)進(jìn)行限制。關(guān)鍵信息基礎(chǔ)設(shè)施安全涉及國(guó)家安全,因此,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)若網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí),對(duì)可能影響國(guó)家安全的,應(yīng)當(dāng)由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院門組織開(kāi)展國(guó)家安全審查,審查通過(guò)的,方可采購(gòu)。本條規(guī)定了國(guó)家安全審查機(jī)制是非常態(tài)化的,只有在可能影響國(guó)家安全的特殊情況下才能啟啟動(dòng),不是對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)開(kāi)展的常態(tài)的網(wǎng)絡(luò)安全認(rèn)證和檢測(cè)。
第三十六條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。
解讀:
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、服務(wù)商在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)的安全責(zé)任和義務(wù),防范外包服務(wù)安全,關(guān)注供應(yīng)鏈安全。產(chǎn)品和服務(wù)是關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)、運(yùn)維中的重要內(nèi)容,是供應(yīng)鏈安全的核心,而供應(yīng)鏈安全又是容易被用戶疏忽的網(wǎng)絡(luò)安全的重要內(nèi)容。因此,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)要采購(gòu)符合國(guó)家有關(guān)規(guī)定的網(wǎng)絡(luò)產(chǎn)品和服務(wù),慎重選擇提供者;二要與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議,明確其安全保密責(zé)任和義務(wù);三要采取有效措施,監(jiān)督網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者落實(shí)安全保密責(zé)任和義務(wù)。
第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
解讀:
本條規(guī)定了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)留存和提供的要求。大數(shù)據(jù)涉及國(guó)家安全的方方面面,其廣泛應(yīng)用帶來(lái)的安全挑戰(zhàn)日漸凸顯,應(yīng)切實(shí)采取措施,加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和大數(shù)據(jù)安全的監(jiān)管和防護(hù)。國(guó)家將出臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)對(duì)外提供的安全評(píng)估辦法,有關(guān)部門將對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)留存和提供進(jìn)行監(jiān)督、檢査,以確保重要數(shù)據(jù)安全符合國(guó)家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)要求。數(shù)據(jù)保護(hù)的主要環(huán)節(jié)包括數(shù)據(jù)采集、存儲(chǔ)、處理、應(yīng)用、流動(dòng)、提供和銷毀。大數(shù)據(jù)的基本特征是體量大、種類多、聚合快、價(jià)值高,受到破壞、泄露或篡改會(huì)對(duì)國(guó)家安全、社會(huì)秩序或公共利益造成嚴(yán)重影響,因此,大數(shù)據(jù)安全保護(hù)的原則是以數(shù)據(jù)為核心,以數(shù)據(jù)保護(hù)環(huán)節(jié)為主線,落實(shí)不同安全保護(hù)等級(jí)的數(shù)據(jù)在保護(hù)環(huán)節(jié)中的基本要求。
在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)進(jìn)行安全評(píng)估。個(gè)人信息出境,應(yīng)向個(gè)人信息主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接受方及接收方所在的國(guó)家或地區(qū),并經(jīng)其同意。行業(yè)主管部門負(fù)責(zé)本行業(yè)數(shù)據(jù)出境安全評(píng)估工作,定期組織開(kāi)展本行業(yè)數(shù)據(jù)出境安全檢查。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在數(shù)據(jù)出境前,自行組織對(duì)數(shù)據(jù)出境進(jìn)行安全評(píng)估,并對(duì)評(píng)估結(jié)果負(fù)責(zé)。數(shù)據(jù)出境安全評(píng)估應(yīng)重點(diǎn)評(píng)估以下內(nèi)容:數(shù)據(jù)據(jù)出境的必要性;涉及個(gè)人信息情況,包括個(gè)人信息的數(shù)量、范圍、類型、敏感程度,以及個(gè)人信息主體是否同意其個(gè)人信息出境等;涉及重要數(shù)據(jù)情況,包括重要數(shù)據(jù)的數(shù)量、范圍、類型及其敏感程度等;數(shù)據(jù)接收方的安全保護(hù)措施、能力和水平,以及所在國(guó)家和地區(qū)的網(wǎng)絡(luò)安全環(huán)境等;數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、毀損、篡改、濫用等風(fēng)險(xiǎn);數(shù)據(jù)出境及出境數(shù)據(jù)匯聚可能對(duì)國(guó)家安全、社會(huì)公共利益、個(gè)人合法利益帶來(lái)的風(fēng)險(xiǎn)。
第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
解讀:
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開(kāi)展安全檢測(cè)評(píng)估的規(guī)定。安全檢測(cè)評(píng)估活動(dòng)主要包括等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試等第三方檢測(cè)機(jī)構(gòu)的技術(shù)服務(wù)活動(dòng)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開(kāi)展檢測(cè)評(píng)估,分為兩種方式。一種方式是自行檢測(cè)評(píng)估,利用自己的技術(shù)力量開(kāi)展,屬于自評(píng)估性質(zhì);另一種方式是委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開(kāi)展評(píng)估,是按照國(guó)家有關(guān)要求實(shí)施。對(duì)于后一種方式,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者要按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,聘請(qǐng)符合有關(guān)要求的第三方測(cè)評(píng)機(jī)構(gòu),對(duì)第三級(jí)以上網(wǎng)絡(luò)系統(tǒng),每年開(kāi)展一次等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估工作。這兩種方式不能混淆,不能相互替代,都要開(kāi)展。
第三十九條國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施:
(一)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè),提出改進(jìn)措施,必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估;
(二)定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練,提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力;
(三)促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享;
(四)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等,提供技術(shù)支持和協(xié)助。
解讀:
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)采取的措施。國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門積極支持,網(wǎng)絡(luò)安全職能部門、行業(yè)主管部門、信息安全企業(yè)等充分發(fā)揮作用,形成合力,支持關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取安全監(jiān)測(cè)、通報(bào)預(yù)警、態(tài)勢(shì)感知、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練、信息共享、應(yīng)急處置等措施,建立關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御體系,提高綜合防御能力。
來(lái)源:e安在線
北京市公安局海淀分局備案號(hào):11010802023656號(hào)