网络安全法正式实施,国瑞信安安全服务为政企客户保驾护航

网络安全法背景

6月1日《中华人民共和国网络安全法》(简称“网络安全法”)今日起正式施行,该法律是适应我国网络安全工作新形势、新任务,保障网络安全和发展利益的重大举措。

网络安全法的各种规范和要求,其实已经长期存在于各行业的行业标准中,但此次是以法律的形式颁发,且法律条文明确行政处分和判罚、刑事判罚等一系列的红线,需要每个网络服务的提供者、运营者以及网民进行重点关注。

 

网络安全形势

近几年,我国网络安全形势日趋严峻,网络使用人数剧增,特别是移动互联网、云计算等新技术的不断应用,越来越多的业务都在互联网化,网络已融入经济社会生活的各个方面。同时,我国网络安全事件也不断增加,网络攻击活动日渐频繁。《网络安全法》的出台将对网络安全发展起到正面促进作用。网络安全法重点明确了网络空间主权的原则、明确了网络产品和服务提供者的安全义务、明确了网络运营者的义务、进一步完善了个人信息保护规则、建立了关键信息基础设施安全保护制度、建立了关键信息基础设施重要数据跨境传输的规则。接下来我们将针对政府及企事业单位客户重点对《网络安全法》中网络安全运营者的义务及关键信息基础设施安全保护的相关要求进行解读。

网络运行安全基本要求

《网络安全法》第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

处罚:

网络运营者不履行本法第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

解读:

1.等级保护建设要求:本次《网络安全法》将等级保护制度从法律层面提出了要求,自6月1日起,不开展等级保护测评相关工作属于违法行为。国瑞信安多年来从事等级保护建设工作,目前已形成包括等级保护咨询、设计、研发、实施、维护等一体化的等级保护建设服务,能够快速、有效、定制化的为客户提供解决方案。

2.安全管理要求:需要落实网络安全责任,开展数据分级工作并通过安全管理制度及操作规程为网络安全防护能力提供保障,国瑞信安基于多年以来的安全实践经验提供信息安全管理体系咨询服务,帮助客户实施信息安全管理体系,提供立项、风险分析、体系策略制定,辅助体系运行等服务;

3.技术要求:采用预防、监测、响应以及审计等技术的手段为网络安全防护提供支撑,通过备份及加密的方式确保数据的保密性及可用性。特别需要注意的是网络日志保存时间应不少于六个月。

应急响应及处置

《网络安全法》第二十五条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

处罚:

网络运营者不履行本法第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

解读:

随着网络安全事件不断增加,制定切实有效的应急预案,定期开展应急演练,及时响应并处置安全事件是当下迫切需要解决的问题。国瑞信息应急管理咨询服务通过多年来的安全运维与应急管理实践经验,可根据客户实际情况定制应急预案、策划开展应急演练,并在遇到突发事件能够第一时间进行响应处置,事后进行总结分析,不断完善。

关键信息基础设施运行安全

《网络安全法》第三十三条规定:建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。

《网络安全法》第三十四条规定:除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

(二)定期对从业人员进行网络安全教育、技术培训和技能考核;

(三)对重要系统和数据库进行容灾备份;

(四)制定网络安全事件应急预案,并定期进行演练;

(五)法律、行政法规规定的其他义务。

《网络安全法》第三十八条规定:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

处罚:

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

解读:

国家通过《网络安全法》将关键信息基础设施的安全保护已上升至国家战略高度。建设关键信息基础设施应当确保支持业务稳定、持续运行性能,且功能性建设与安全技术措施要“同步规划、同步建设、同步使用”;网络安全风险评估至少每年开展一次,形成报告并报送负责部门。国瑞信安在关键信息基础设施安全评估领域具有丰富的实战经验,可帮助客户全面发现安全风险并提供针对、可行的解决建议。

5月12日起席卷全球150多个国家30余万计算机的勒索软件攻击事件发生和蔓延的速度、后果的严重程度均创纪录。该事件再次对我们敲响了警种,网络攻击“没有最坏,只有更坏”。《网络安全法》的生效吹起了网络安全保卫战的号角。国瑞信安将贯彻落实《网络安全法》的相关条款,为我国网络安全保护工作的顺利实施贡献力量。

 

长按识别二维码关注我们