资源描述
中华人民共和国网络安全法解读,依法治国、依法治网、立法为国、立法为民,专家解读,中央网信办网络安全协调局副局长卿昱 这是网络安全领域一部根本大法,也是我们的一部基础性法律,它具有里程碑式的意义。 公安部网络安全保卫局总工郭启全 该法一是强调国家对网络的主权;另一方面则将我国信息安全领域实施10多年的信息安全等级保护制度上升为法律 北京邮电大学互联网治理与法律研究中心谢永江 网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。 西安交通大学信息安全法律研究中心主任马民虎 作为我国网络安全领域的基本法,该法的颁布与实施对于提高我国网络安全保障能力意义重大,是我国在互联网治理的重要组成部分,为在中国社会现代化治理和全球互联网治理作出重大贡献,也为中国参与全球网络空间治理、提升网络空间国际话语权的奠定基础,这一重大的历史时刻将在网络社会治理历程中具有里程碑式意义。 中国传媒大学教授、政治与法律学院副院长王四新 网络安全法是对国家互联网信息办公室在互联网治理层面的权力、职责予以最全面、最集中规定的最高层级的立法文件,对于解决网信部门和其他部门的执法地位、执法权限问题,将产生积极影响。,目录 CONTENTS,01 立法背景及进程,02 全方位解读,03 我们需要做点啥,立法背景及进程,01,网络安全立法刻不容缓,国际立法情况,美国,日本,德国及欧盟,美国拥有世界上数量最多、内容最全面的网络安全立法。早在布什政府阶段,美国就将网络安全纳入其国土安全计划,并制定了确保网络安全国家战略。随后颁布了爱国者法、国土安全法、保护美国法、网络情报共享与保护法令、联邦信息安全修正法令,2012年网络安全加强法、促进美国网络信息技术研究与开发法案,2013年2月12日,美国总统奥巴马签署了网络安全行政令,日本国会众议院2014年11月6日表决通过网络安全基本法,旨在加强日本政府与民间在网络安全领域的协调和运用,更好应对网络攻击,2015年7月,德国议会通过德国网络安全法,标志着德国网络安全立法由分散走向统一。该法扩大了网络监控权,确立了网络安全报告制度,增设了电信运营商的义务。此外,还增加了对联邦信息安全办公室和德国联邦刑事警察局的资金和人员投入,旨在进一步充实德国网络安全保卫部门的力量。 历时三年,2016年7月6日通过网络与信息系统安全指令(NIS指令),历程,萌芽 2014年2月,中央网络安全与信息化领导小组成立,中共中央总书记习近平任组长。两会上,“维护网络安全”首次写入政府工作报告。,发展 6月,十二届全国人大常委会审议了网络安全法(草案)。7月,向社会公开征求意见,并根据全国人大常委会组成人员和各方面的反馈意见,对草案作了修改,形成了网络安全法(草案第二次审议稿),确定 6月,十二届全国人大常委会对网络安全法(草案)进行二次审议;7月,网络安全法(草案)二次审议稿正式在中国人大网公布,并向社会公开征求意见;11月,十二届全国人大常委会第二十四次会议于11月7号上午,以154票赞成、1票弃权表决通过中华人民共和国网络安全法,实施 网络安全法于6月1号正式生效。,2014,2015,2016,2017,中华人民共和国网络安全法,简介 网络安全法是我国第一部网络安全领域的法律,是保障网络安全的基本法。网络安全法不是网络安全立法的终点,相反,是网络安全立法的起点。与网络安全法相关的法律有国家安全法,保密法,反恐怖主义法,反间谍法,刑法修正案(九),治安管理处罚法,电子签名法等。这些法律与网络安全法不是上位法和下位法的关系,同属同一法律位阶。网络安全法是我国网络安全管理的基础法律,与其它相关法律在相关条款和规定上互相衔接,互为呼应,共同构成了我国网络安全管理的综合法律体系。一共7章79条,全方位解读,02,南京邮电大学信息产业发展战略研究院院长王春晖 :六大亮点,进一步完善了个人信息保护规则 网络安全法聚焦个人信息安全保护,4,明确了网络运营者的安全义务 网络安全法明确规定网络运营者应接受社会监督、受理公众举报 。”,3,明确了网络空间主权的原则 网络安全法第1条明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。,1,明确了网络产品和服务提供者的安全义务 网络安全法明确网络产品和服务提供者需要尽到相应的责任和义务,2,建立了关键信息基础设施安全保护制度,5,监测预警与应急处置措施制度化、法制化,6,第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。,解读:网络安全法第1条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。本条点明了网络安全法制定的目的。2015年7月通过的新国家安全法第一次明确了网络空间主权的概念,在本法中再次表述对网络空间主权的关切,同时,与国家安全法以国家利益为唯一核心不同,网络安全法涉及的范围更为广泛,兼顾了国家安全、社会利益、企业利益和个人权利。同时,说明将来会有配套的法律和制度。,网络空间主权原则,第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。 县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。,解读:网络安全法将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作,明确了“1+X”的监管体制。目前中央网信办网络安全协调局负责统筹协调,工信部网络安全管理局负责网络安全相关管理工作,公安部十一局(网络安全保障局)负责安全保障工作。,网络空间主权原则,解读:本条主要对网络产品及服务自身的安全性提出相关的要求,当然也包括网络产品及服务提供者的“告知”义务。 需要注意的本条提到的“双告知”义务(用户和主管部门),将产品问题告知给用户。除此之外,不同于在第76条中有明确定义的个人信息,本条中有一个没有明确的词是“用户信息”,个人认为,用户信息应该包括用户名、密码、IP、Mac、上网时间、Cookies等信息。收集信息要告知并取得同意,同时还得保护。 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。,第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。,网络产品和服务提供者的安全义务,第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。,解读:本条涉及网络设备的检测和认证,由于是基本法,到底哪些是关键设备,目前暂没有明确规定或标准,当然网络安全专用产品相对就明确多了。目前网络安全设备认证主要是公安部的计算机信息系统安全专用产品销售许可证,另外信息安全产品强制认证也属于如此。这是与网络产品及服务提供者相关的第二条义务。本条也说明了将来会出台“网络关键设备和网络安全专用产品目录”。前段时间提到的网络安全产品建建立审查制度,其实就是指这个。,网络产品和服务提供者的安全义务,第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。,解读:本条主要明确禁止入侵、干扰网络,窃取网络数据的活动,把相关的一些规则显性化,多少有点针对国外产品的味道。这是与网络产品及服务提供者相关第三条义务。,网络产品和服务提供者的安全义务,第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。,解读:明确网络运营者要守法,以前没“法”,现在有就得遵守。这是有关网络运营者的第一义务,网络运营者的安全义务,第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。,解读:本条规定的是网络运营者的义务。本条款提到的网络安全等级保护制度与公安部运营多年的信息系统安全等级保护制度有非常大的关联,将多年的信息安全等级保护制度或标准上升到法律层面,也说明国家会修订或出台相关“网络安全等级保护”的相关配套制度。从条文来看,包括管理层面的制度规程和责任人,技术层面的防攻击、防篡改、防病毒、防瘫痪、防窃密、以及数据安全等。同时明确要采取监测记录网络及安全事件的技术措施,并且要留存日志至少6个月。,网络运营者的安全义务,第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。,解读:本条的核心是实名制。这是网络运营者要承担的义务。实名制是一把双刃剑,一方面,通过实名制可以最大程度的信息真实化、可靠化;但另一方面,对于信息收集单位来说,一旦信息发生泄漏,将产生不可想象的数据安全灾难事件,如何确保信息安全仍是一个难题。学校后期如果开设论坛等服务,也会涉及到实名制。该条表面上述服务开通必须进行实名制,但不限于上述服务。本条也说明了将来会出台“国家网络可信身份战略”(新),网络运营者的安全义务,第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。,解读:本条的核心是应急响应,阐释了以下几点: 1)首先要制定相关的应急预案; 2)及时处置安全风险,防范安全事件发生; 3)一旦有安全事件发生,应急预案能及时有效启动; 4)报告。有关主管部门目前还不明确,公安肯定在其中。这是网络运营者要承担的义务。,网络运营者的安全义务,第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。,解读:本条主要是协助执法机关执法的内容,这是网络运营者要承担的义务。 中国信息安全研究院副院长左晓栋:“明确了网络运营者的执法协助义务,这是国际惯例,但我们以前多依靠“红头文件”,这一局面将改变”,网络运营者的安全义务,第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。,解读:本条款是大数据从业者非常关心的一个条款,也被称为“大数据条款”。“经过处理无法识别特定个人且不能复原的”所包含的匿名化标准为大数据流通和交易环节提供了法律依据和要求。同时,也提出了网络运营者要承担的义务,以及出现问题时要遵守双告知原则。所谓匿名化,即经过数据脱敏等技术手段处理后,过程必须不可逆,不能再从脱敏后的信息中识别出个人。从企业的角度来说,需要对脱敏后的数据进行评估和验证,以确保没有遗漏。也是对个人信息的一个保护。刚刚针对那些具有个人信息收集功能的网站或者系统,回头肯定需要强制过等保,或者关停。二十四条规定个人信息收取的原则,该条则强调保护。这里要注意个人信息和用户信息区别,网络运营者的安全义务,第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。,解读:本条款是关于内容审查的,是网络运营者要承担的义务。这里要注意几点: 1)针对用户发布的信息要进行管理和鉴别; 2)一旦发现违规信息,得有技术手段去消除; 3)必须有保存信息的手段; 4)上报有关主管部门,网络运营者的安全义务,第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。,解读:本条款的关键是“约谈”,提出了网络运营者要承担的义务。把政府有关部门的职能提升到法律层面,同时必须按要求整改,网络运营者的安全义务,第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。,解读:本条首先定义了什么是关键信息基础设施,本条款在定义过程中,一审稿、二审稿到最终稿,描述一直在调整,说明不同的部门和单位对关键信息基础设施的范围存在较大的争议,最终以常见的例举和兜底描述相结合的方式对范围进行了定义。这里边有两个问题: 一是关键信息基础设施的具体范围。按照计划,依据2016年6月中央网信办制定的国家网络安全检查操作指南,截至到2016年12底将基本完成对关键信息基础设施的摸底排查工作。而关键信息基础设施保护的立法也是后续网络安全立法的重点,后期也将出台相关政策规定关键信息基础设施的具体范围和保护办法。 二是关键信息基础设施怎么保护的问题,这将是2017年网络安全立法的重点。其中一个核心的问题是与目前等级保护的关系,相信也会在不久的将来明确下来。 本条也说明了将来会出台“关键信息基础设施保护办法”(新)。,关键信息基础设施,第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。,解读:本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。,关键信息基础设施,第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、法规另有规定的,依照其规定。,解读:在网络安全法出炉之前,美国商会等46家来自美洲、欧洲、亚洲和大洋洲等地区的国际企业团体联名给国务院写信抗议,其核心就在于本条的国家安全审查。由于外企很难如数提供相关设计图纸、源代码等审核资料,因而认为该法增加了贸易壁垒。本法给外企带来市场准入的问题是必然的,但这并非中国特例,美国欧洲都有相应的法律条款,而且已经做了10多年了。所以说,我们不是制定的太严格了,而是太晚了。 外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的问题。核心是数据安全。关键词:数据安全和安全评估。其实是国产化的一个法律隐形推进。,关键信息基础设施,第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。 第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。,解读:主要是从国家层面和行业讲安全态势感知与信息通报制度的。本条也说明了将来会出台国家层面的“网络安全监测预警和信息通报制度”。这里面涉及的内容包括制度和落实两个层面。,关键信息基础设施,第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。 网络安全事件应急预案应当按照事件发生后的危。害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。,解读:本条款对国家层面及行业层面建立安全风险评估和应急响应机制提出了要求。本条也说明了将来会出台“网络安全风险评估和应急响应机制”,以及“网络安全应预案”,关键信息基础设施,我们需要做点啥,03,对于企业而言,作为网络运营者: 需要做好网络安全保护 制定安全管理制度操作规程、确定安全责任人; 技术层面需要采取防病毒、入侵检测等手段保护网络安全。(建议采用专门的网络安全产品:防病毒系统、IPSIDS、WAF等); 对于网络运行状态、网络安全事件采取监测、记录的技术措施,并按照规定留存相关的网络日志不少于六个月(建议采用专门的安全审计产品:网络安全审计系统、数据库审计防火墙系统); 确保数据的安全,采取数据分类、重要数据备份和加密等措施(建议采用专门的数据安全管理产品:数据加密系统、数据安全管理系统)。 应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。建议通过部署网站和系统漏洞监测、扫描类的产品或服务,及时的发现漏洞,并在第一时间通过升级补丁或完善应用系统来补救。(建议采用专门的网络安全产品:网站漏洞监测、漏洞扫描、IPSIDS等),作为关键信息基础设施的提供者: 需要对提供的企业制造运营系统或公共信息服务系统实行重点保护,落实等保建设(建议做等保); 采购的网络安全产品和服务需要符合国家安全需求; 在国内收集的个人信息和重要数据应当在境内存储,如需向境外提供的,应当按照相关办法进行安全评估,法律、法规另有规定的按规定(建议做好数据安全保护、安全评估) 建立健全网络安全监测预警和信息通报制度,制定网络安全事件应急预案(建议做全网安全态势感知、安全管理平台);,对于企业而言,作为网络产品和服务的提供者: 保证网络产品、服务的安全性,发现安全缺陷、漏洞应当立即修补并上报有关主管部门(建议采用专门的网络安全产品:漏洞扫描、网站漏洞监测); 应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。,对于企业而言,作为个人信息持有者: 对于用户信息的收集应当向用户明示并取得同意,涉及用户个人信息的应当依法依规; 不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外(建议采用专门的安全产品保护个人信息:数据脱敏系统、数据安全运维系统); 确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。,对于政府单位而言,作为网络运营者: 需要做好网络安全保护 制定安全管理制度和操作规程、确定安全责任人; 技术层面需要采取防病毒、入侵检测等手段保护网络安全。(建议采用专门的网络安全产品:防病毒系统、IPSIDS、WAF等); 对于网络运行状态、网络安全事件采取监测、记录的技术措施,并按照规定留存相关的网络日志不少于六个月(建议采用专门的安全审计产品:网络安全审计系统、数据库审计防火墙系统); 确保数据的安全,采取数据分类、重要数据备份和加密等措施(建议采用专门的数据安全管理产品:数据加密系统、数据安全管理系统)。 应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。建议通过部署网站和系统漏洞监测、扫描类的产品或服务,及时的发现漏洞,并在第一时间通过升级补丁或完善应用系统来补救。(建议采用专门的网络安全产品:网站漏洞监测、漏洞扫描、IPSIDS等),作为公民个人信息持有者: 对于公民信息的收集应当向用户明示并取得同意,涉及公民个人信息的应当依法依规; 不得泄露、篡改、毁损其收集的公民个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外(建议采用专门的安全产品保护个人信息:数据脱敏系统、数据安全运维系统); 确保收集的公民个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。,作为电子政务系统的提供者: 需要对提供的电子政务系统实行重点保护,落实等保建设,从制度、培训、灾备、应急等方面提出了进一步要求(建议做等保); 采购的网络安全产品和服务需要符合国家安全需求; 电子政务系统里的公民信息和重要数据应当组好保密存储,如需跨境传输的,应当按照相关办法进行安全评估,法律、法规另有规定的按规定(建议做好数据安全保护、安全评估); 建立健全网络安全监测预警和信息通报制度,制定网络安全事件应急预案(建议做全网安全态势感知、信息安全通报系统);,对于政府单位而言,对于教育单位而言,作为网络运营者: 需要做好网络安全保护 制定安全管理制度操作规程、确定安全责任人; 技术层面需要采取防病毒、入侵检测等手段保护网络安全。(建议采用专门的网络安全产品:防病毒系统、IPSIDS、WAF等); 对于网络运行状态、网络安全事件采取监测、记录的技术措施,并按照规定留存相关的网络日志不少于六个月(建议采用专门的安全审计产品:网络安全审计系统、数据库审计防火墙系统); 确保数据的安全,采取数据分类、重要数据备份和加密等措施(建议采用专门的数据安全管理产品:数据加密系统、数据安全管理系统)。 应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。建议通过部署网站和系统漏洞监测、扫描类的产品或服务,及时的发现漏洞,并在第一时间通过升级补丁或完善应用系统来补救。(建议采用专门的网络安全产品:网站漏洞监测、漏洞扫描、IPSIDS等),作为师生个人信息持有者: 对于师生信息的收集应当向师生明示并取得同意,涉及师生个人信息的应当依法依规; 不得泄露、篡改、毁损其收集的师生个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外(建议采用专门的安全产品保护个人信息:数据脱敏系统、数据安全运维系统); 确保收集的师生个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知相关师生并向有关主管部门报告。,对于教育单位而言,作为教育信息系统的提供者: 需要对提供的教育信息系统实行重点保护,落实等保建设(建议做等保); 采购的网络安全产品和服务需要符合国家安全需求; 对于教育信息系统里的教学信息和重要数据应当做好存储保护,如需向境外提供的,应当按照相关办法进行安全评估,法律、法规另有规定的按规定(建议做好数据安全保护、安全评估); 建立健全网络安全监测预警和信息通报制度,制定网络安全事件应急预案;,对于医疗卫生单位而言,作为网络运营者: 需要做好网络安全保护 制定安全管理制度操作规程、确定安全责任人; 技术层面需要采取防病毒、入侵检测等手段保护网络安全。(建议采用专门的网络安全产品:防病毒系统、IPSIDS 、WAF等); 对于网络运行状态、网络安全事件采取监测、记录的技术措施,并按照规定留存相关的网络日志不少于六个月(建议采用专门的安全审计产品:网络安全审计系统、数据库审计防火墙系统); 确保数据的安全,采取数据分类、重要数据备份和加密等措施(建议采用专门的数据安全管理产品:数据加密系统、数据安全管理系统)。 应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。建议通过部署网站和系统漏洞监测、扫描类的产品或服务,及时的发现漏洞,并在第一时间通过升级补丁或完善应用系统来补救。(建议采用专门的网络安全产品:网站漏洞监测、漏洞扫描、IPSIDS等),作为个人信息持有者: 对于医生、患者个人信息的收集应当向个人明示并取得同意,涉及个人信息的应当依法依规; 不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外(建议采用专门的安全产品保护个人信息:数据脱敏系统、数据安全运维系统); 确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知相关个人并向有关主管部门报告。,作为医疗卫生信息系统的提供者: 需要对提供的医疗卫生信息系统实行重点保护,落实等保建设(建议做等保); 采购的网络安全产品和服务需要符合国家安全需求; 在医疗卫生信息系统里的个人信息和重要数据应当做好存储保护,如需向境外提供的,应当按照相关办法进行安全评估,法律、法规另有规定的按规定(建议做好数据安全保护、安全评估); 建立健全网络安全监测预警和信息通报制度,制定网络安全事件应急预案;,对于医疗卫生单位而言,要严贯落实信息安全等级保护制度,该考级赶紧考级; 购买合格的网络产品和安全服务; 对于容易受到网络侵害的且定为重要系统的要重点保护; 网络要实名制,能不开论坛就别开,在收集个人信息前,要通知且考虑能否安全保存; 保证网站是干净的、安全的,不要有后门、病毒,一旦发现,赶紧报告; 做好网络日志的存储工作,硬盘要够大,存储事件不少于6个月,做好数据备份和加密工作; 要做好网络安全态势感知系统及应急预案,遇到危险情况,及时发现,马上启动; 要协助警察叔叔破案; 要多做安全培训、安全教育、技能考核等等。,用人话讲,谢谢!,
展开阅读全文