IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 前沿思考.原创 | 网络运营者的法定义务和合规风险 -> 正文阅读

[网络协议]前沿思考.原创 | 网络运营者的法定义务和合规风险

一、前言
“网络运营者”的定义是什么?这个问题可能很多安全管理者未必清楚,更不用说履行法定义务和管理合规风险,希望本文能对部分安全管理者有所帮助,更希望您能转发给朋友(圈),笔者和朋友们会感谢您!
网络运营者多数同时是数据处理者,企业在遵守网络安全法的同时也要遵守数据安全法。
二、法规条款(部分)
网络安全法(2017年6月1日起施行) 第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
数据安全法(2021年9月1日起施行) 第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
网络产品安全漏洞管理规定(2021年9月1日起施行) 第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
个人信息保护法(审议中) 第三条 组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
三、网络运营者的定义
网络安全法 第七十六条 网络运营者是指网络的所有者、管理者和网络服务提供者。
网络运营者涵盖的范围很广,具有一定信息化水平的中小企业同样适用,对于信息化程度较高的金融、政府、集团企业、上市企业和互联网公司是重点的网络运营者。
此处的“网络”不是狭义的通讯网络,是广义的网络空间,包括业务系统、基础架构、数据和用户等。
四、网络运营者的法定义务
作为网络运营者,在网络安全法、数据安全法、网络产品安全漏洞管理规定和个人信息保护法等法规中有明确的义务要求,包括但不限以下:
网络安全法 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
数据安全法 第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
网络产品安全漏洞管理规定 第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
四、网络运营者的合规风险
网络运营者通过网络系统实现主营业务的提质增效,网络安全已不是可选项,是业务过程的必选项,网络安全合规出现问题一定影响主营业务的发展,有直接的也有间接的。
网络运营者的合规风险具有很多特征,笔者简单举例说明如下:
1、等级保护及管理制度不合规
网络安全法 要求 “网络运营、者应当按照网络安全等级保护制度的要求,履行下列安全保护义务”,因此网络运营者须按照 等级保护2.0 要求开展定级、备案和测评等工作;同时 要求“制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”,因此网络运营者要健全企业的规章制度,建立网络安全管理组织,明确网络安全保护责任。
2、技术措施不合规
网络安全法 要求 “采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,因此网络运营者须建立完善的日志平台,网络日志依旧仅保存在网络设备和服务器本地已不符合要求,因为一旦被入侵则可以清除网络日志。
3、技术防护不合规
网络安全法 要求 “采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”,因此网络运营者须根据自身的网络安全状况和业务特征构建安全防护体系,如果出现较大信息安全事件则可能被认定为技术防护不合规。同时以往按照条条框框的要求进行设备或安全系统的简单堆叠已不满足合规要求,体系化和运营化方能有效防护。
4、安全管理不合规
网络产品安全漏洞管理规定 要求“网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通”,因此网络运营者须发布安全漏洞信息接收渠道,并通过安全运营的方式进行日常管理和快速响应,等待漏洞通报的安全管理已经不合规。出现较大信息安全事件也不再是通过救火就可以完全消除影响,行政处罚是执法机构的常规手段,罚企业和罚管理者的“双罚”已有较多案例。
5、数据管理不合规
数据安全法 要求“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”,因此网络运营者须在数据管理方面进行较大投入,如果出现数据泄露,可能被认定为数据管理不合规,最高可处1000万元以下罚款。
6、个人隐私保护不合规
网络安全法 要求 “网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。”,因此网络运营者在数据的收集、存储、使用、加工、传输、提供、公开等均有合规要求,网络运营者需通过有效的管理手段进行规范处理。同时 个人信息保护法 即将发布,近期大量APP因为个人隐私条款不合规被通报,甚至下架。可以预见未来数年,大众的个人隐私保护意识将不断加强,个人信息保护会是合规管理的重点。
五、结束语
国家在法规制定和违法处罚已经比以前有很大进步,可以预见大量的信息安全处罚将陆续出现,处罚金额也会不断刷新记录。信息安全不再是技术部门的事,安全业务范围涵盖企业主营业务的方方面面。发生信息安全事件时,第一责任人是企业法人代表,对企业法人代表的处罚也会陆续出现。
安全合规管理需要往前站一步,紧盯监管的最新要求,实现主动合规,真正实现安全管理为主营业务保驾护航。
–文章结束–
注:作者陈建茂(微信号shenzhenmao),金融从业人员,十余年信息安全管理经验。

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-03 11:34:09  更:2021-08-03 11:35:23 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 17:33:38-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码