近期全国各地发生多起因违反《网络安全法》而被处罚的案例,腾讯、百度、阿里都未能幸免,怎样才能更好地开展网络安全工作呢?怎么做才能不违法呢?今天不得不等整理下依照《网络安全法》,网络运营者应履行的网络安全义务。知己知彼百战不殆,针对《网络安全法》的要求,进行相应的工作,有的放矢。
1、采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。网络不能裸奔,什么技术措施都没有肯定不行。(第10条)
2、落实网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。(第21条)不得不等再三强调的等保,一定要去落实。
3、采购的网络产品、服务应当符合相关国家标准的强制性要求。不能随意采购产品。(第22条)
4、网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。网络实名制。(第24条)
5、网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。要有应急预案。(第25条)
6、网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。(第28条)
7、网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。(第40条)
8、网络运营者收集、使用个人信息,需公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。(第41条)
9、网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。需要做好数据的审计和备份工作。(第42条)
10、网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。(第47条)
11、网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。这点好像好多单位没有专门投诉举报网络信息安全的途径。(第49条)
12、发生网络安全事件,网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。这是应急预案里的一些具体措施要求。(第55条 )
13、省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。(第56条)
由于内容比较多,不得不等没有展开分析,简单做了一定说明。另外此次没有将关键信息基础设施需要履行的网络安全义务放进来,后面单独发一篇文章关于“关基”的,敬请期待。网络运营者需对照上述要求,进行查漏补缺,抓紧落实这些需要履行的网络安全义务,争做守法的好公民。网络安全为人民,网络安全靠人民。
文章转自等级保护测评