《網絡安全法》2017年6月1日正式實施。全文共79條,主要內容可以解讀為“一項制度四大領域”,以網絡安全等級保護制度為中心,囊括基礎設施安全、數據安全、內容安全、運行安全四大領域。
一項制度
推動網絡安全等級保護制度
網安法第三十一條第一款解讀:
《網絡安全法》確立了“網絡安全等級保護制度”。
關於網絡安全等級保護制度,企業如何做?
企業在選擇雲服務商時候,應優先考慮可支撐自身業務安全等級保護要求的雲平臺。雲平臺提供的安全等級保護資質,不應低於企業業務需要的安全保護等級。
數據安全
加強個人信息保護
網安法第四十條、四十二條第二款解讀:
網絡運營者應對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。
網絡運營者應採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息洩露、毀損、丟失。
關於個人信息保護,企業如何做?
事前:根據具體應用場景對隱私風險進行充分評估,制定相應保護策略;
事中:限定使用目的與用途,限制數據再披露;
事後:若加密數據遭遇洩露,啟動應急預案,防止危害擴散;同時,對加密的算法予以保密。
數據跨境傳輸需要安全評估
網安法第三十七條解讀:
網絡運營者在運營中收集的個人信息與重要數據跨境傳輸前需安全評估。
關於數據安全,網絡運營者如何做?
網絡運營者在運營中收集的個人信息與重要數據應當在境內存儲。若因業務需要,向境外傳輸時,應按照國家網信部門及國務院有關部門制定的辦法進行安全評估。經安全評估,不違反國家利益和社會安全,方可出境。
內容安全
淨化網絡環境,遵守網絡秩序
網安法第十二條第二款解讀:
保持綠色、健康的網絡空間,始終是國家安全強制監管重點。
關於內容安全,企業如何做?
企業自身在使用雲服務過程中,應保證發佈內容不違反法律規定,同時在對外提供產品服務時,也有義務對使用者發佈的內容依據法律規定進行管理。
運行安全
快速響應,實施網絡安全風險應急預案
網安法第二十一條第二項、第二十五條解讀:
實時防範計算機病毒與網絡攻擊,制定網絡安全事件應急預案,採取相應補救措施,按照規定向有關部門報告。
關於網絡安全事件,企業如何做?
在網絡安全風險告知與應急處理方面,企業應考慮:選擇的信息基礎設施服務是否建立了及時發現安全風險、快速響應機制以及成熟的應急預案,能否向企業及時發佈通告和提供完整解決方案。
全面貫徹網絡空間實名認證
網安法第二十四條第一款解讀:
網絡運營者為用戶辦理網絡接入、域名註冊服務,辦理固定電話、移動電話等入網手續,或為用戶提供信息發佈、即時通訊等服務,與用戶簽訂服務協議時,應要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
閱讀更多 昆明網警 的文章
