当前位置:首页 > 新闻中心 > 行业新闻 >

网络安全法来了,ITer如何响应?

点击次数:2017-06-30 13:09:11【打印】【关闭】

《网络安全法》于2017年6月1日正式实施。肆虐全球的勒索病毒,各种各样的网络安全入侵以及网络信息泄漏事件,让网络空间成为没有硝烟却异常激烈的战场。网络空间已经成为陆

《网络安全法》于2017年6月1日正式实施。

肆虐全球的勒索病毒,各种各样的网络安全入侵以及网络信息泄漏事件,让网络空间成为没有硝烟却异常激烈的战场。网络空间已经成为陆、海、空、天之后的第五大主权领域空间。

目前全世界已经有90多个国家采用了网络安全法律措施。中国加强网络安全立法,可谓大势所趋。

小编结合业内相关资深人士观点,对于《网络安全法》的关键条款进行了整理和解读,以飨读者。

《网络安全法》全册共7章79条。分别为第一章总则,第二章网络安全支持与促进,第三章网络运行安全,第四章网络信息安全,第五章监测预警与应急处置,第六章法律责任,第七章附则。

在总则中,《网络安全法》对网络运营者的职责进行了阐述:网络运营者需要履行网络安全保护义务,接受政府和社会的监督,保障网络安全的稳定运行,维护数据的完整性、保密性和可用性。

在某种程度上,各个企业的安全部门可以认为就是网络运营者,而IT从业人员就代表公司在开展网络运营者的工作职责。

网络安全等级保护制度上升为法律义务

在各个章节中,尤为值得业内关注的是第三章和第四章。

在第三章《网络运行安全》的第二十一条中,对于网络安全等级保护制度提出了明确要求,所涉及的安全保护义务包括:

1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存4)相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;法律、行政法规规定的其他义务。

业内普遍认为,新提出的网络安全等级保护制度将与2006年推行的信息安全等级保护制度相衔接和融合,而不会成为两个并行的制度体系。

对于政企用户来说,可以先参照信息安全等级保护制度的规定对企业进行合规审查整改。

小编批注:宝之云已经通过信息安全等保三级资质,在信息安全、系统管理、应急保障等方面达到国家标准,拥有完备的网络信息安全保护体系。宝之云的用户可以安心啦~

第三章还对于网络安全的产品和服务进行了规定。要求政府和企业购买的防火墙或者其它的安全产品,应当符合相关国家标准的强制要求,不应该有漏洞、有后门。发现存在安全风险时,应当立即采取补救措施并及时告知用户,向有关主管部门报告。

并要求网络关键设备和网络安全专用产品要由具备国家资质的认证机构进行检测后,才可以销售和提供。这些相关认证机构包括中国信息安全认证中心、中国信息安全测评中心等,意味着网络关键设备和产品都要经过他们的全部检测以后才能使用。

此外,第三章还着重提出了关键信息基础设施的范围。

“ 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域……在网络安全等级保护制度的基础上,实行重点保护。”

这里主要列举了关键信息基础设施涉及的7个种类,但实际并不仅限于这些行业领域。中央网信办在去年出台的《关键信息基础设施确定指南(试行)》中,所定义的关键信息基础设施还要广泛,达到一定程度规模的网络服务平台和网站,可能都属于关键信息基础设施。目前具体的管理办法还在进一步制定中。

向信息泄露出招,建立健全用户信息保护制度

 

网络信息安全是《网络安全法》所涉及的另一大重点,如何更好地进行个人数据保护成为关键。

“目前,私人信息在各处泄漏得很厉害,像一些个人征信公司拥有你的信用卡数据、财务数据,这些数据如何使用和保护,存在很多法律和政策的模糊地带。有了《网络安全法》,可以名正言顺地依法对于这些机构进行管理。个人信息不能泄露、出售和非法交易,数据必须脱敏和匿名化。网络运营者对你的信息要进行建立健全用户信息的保护制度,这是以前都没有的。”相关业内人士指出。

在《网络安全法》的第四章中,数据保护的范围包括个人信息保护、用户信息保护和商业秘密保护。

用户信息的概念,可以理解为在用户使用产品或服务过程中收集的信息构成用户信息,包括IP地址、用户名和密码、上网时间、cookie信息等。

而用户信息的保护要点,一方面是收集用户信息应当向用户明示并取得同意,另一方面网络运营者要对这些收集的用户信息严格保密,建立健全用户信息保护制度。

可以说,在《网络安全法》颁布后,企业构建起规范有效的信息安全机制,已成为当务之急。

而宝之云拥有专业的信息安全服务团队,具备全面的信息安全资质,可以为政企用户提供安全咨询、风险评估及规划、安全评估及渗透测试等服务。

“比如《网络安全法》里面非常重要的一条是安全等级保护制度的落地。宝之云本身具备等保三级资质,我们能帮助用户从规划设计、实施整改、管理体系建设,到最后测试阶段,以等级保护为抓手,提升用户安全合规管理水平。”宝信软件网络安全事业部信息安全部经理陆骏对此补充道。

据悉,宝信软件已经帮助宝武集团、福清核电、漳州核电、中国商飞、华宝信托、申能集团等多家行业用户在云端构建了符合国家等保标准的安全体系,并顺利通过了评测。 

浏览相关内容: