《網(wǎng)絡(luò)安全法》相關(guān)解讀
十二屆全國人大常委會(huì)第二十四次會(huì)議表決通過了《中華人民共和國網(wǎng)絡(luò)安全法》�����,并于2017年6月1日起施行���。已出臺(tái)的網(wǎng)絡(luò)安全法對企業(yè)有什么影響呢?
信息安全的特征分為三類:機(jī)密性、完整性�、可用性。如何才能保護(hù)信息的安全性,一般的企業(yè)都有一套完整的防御系統(tǒng)�����,這樣可以有效的防范和避免信息的安全泄露����。但是我國的信息安全管理還存在很多問題,比如信息安全管理的重要性認(rèn)識不夠�����、對于信息安全方面的法律法規(guī)不夠完善���、對信息技術(shù)產(chǎn)品和服務(wù)缺乏有效的監(jiān)管。那么�����,企業(yè)要做到信息安全���,必須建立可靠����、完整、有效的安保系統(tǒng)��。
一��、重要的信息化系統(tǒng)需要操作留痕�����、數(shù)據(jù)加密��,否則就要破財(cái)了�!
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定:
國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求��,履行下列安全保護(hù)義務(wù)����,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問�����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取����、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任��;
(三)采取監(jiān)測�����、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)���、網(wǎng)絡(luò)安全事件的技術(shù)措施�,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月��;
(四)采取數(shù)據(jù)分類�����、重要數(shù)據(jù)備份和加密等措施�����;作規(guī)程���,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任��;
解讀:
對于內(nèi)部安全管理應(yīng)從兩方面實(shí)施,一方面制定內(nèi)部安全管理制度�����,所有操作人員必須按制度嚴(yán)格規(guī)范操作����;另一方面采用運(yùn)維審計(jì)系統(tǒng)(如:堡壘機(jī)、數(shù)據(jù)庫審計(jì)等)進(jìn)行日常工作�,對操作流程全程記錄并保存相關(guān)日志便于事后取證。對重要數(shù)據(jù)(如:企業(yè)和個(gè)人郵箱等)進(jìn)行加密確保數(shù)據(jù)的可靠性(如:郵箱加密系統(tǒng)等)��。
法律責(zé)任補(bǔ)充���,第六章第五十九條���,網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的�,由有關(guān)主管部門責(zé)令改正,給予警告�����;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的�����,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款���。
二�����、用戶信息泄露���,可能導(dǎo)致停業(yè)
《網(wǎng)絡(luò)安全法》第四十二條規(guī)定:
網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改��、毀損其收集的個(gè)人信息�;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息���。但是,經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外����。
網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全����,防止信息泄露�����、毀損����、丟失����。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損��、丟失的情況時(shí)���,應(yīng)當(dāng)立即采取補(bǔ)救措施���,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
解讀:
網(wǎng)絡(luò)運(yùn)營者對于個(gè)人數(shù)據(jù)在使用��、交換�����、交易過程中都要合法。確保個(gè)人數(shù)據(jù)在使用共享時(shí)不泄密�,又能被充分利用,網(wǎng)絡(luò)運(yùn)營者應(yīng)該對于個(gè)人信息有專門的安保措施����,需要持續(xù)加強(qiáng)數(shù)據(jù)庫的安全防護(hù)。監(jiān)控來自內(nèi)外部的數(shù)據(jù)不安全成為關(guān)鍵�����。
法律責(zé)任補(bǔ)充:第六章第六十四條���,對于侵害個(gè)人信息依法得到保護(hù)的權(quán)利的�,由有關(guān)主管部門責(zé)令改正����,根據(jù)情節(jié)單處或者并處警告、沒收違法所得�、處違法所得一倍以上十倍以下罰款,沒有違法所得的�����,處一百萬元以下罰款���,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款��;情節(jié)嚴(yán)重的�,并可以責(zé)令暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓、關(guān)閉網(wǎng)站����、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
三���、網(wǎng)絡(luò)可信身份戰(zhàn)略來了�,移動(dòng)互聯(lián)網(wǎng)準(zhǔn)備好了嗎���?
《網(wǎng)絡(luò)安全法》第二十四條第二款規(guī)定:
國家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略��,支持研究開發(fā)安全���、方便的電子身份認(rèn)證技術(shù),推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)��。
解讀:
網(wǎng)絡(luò)可信身份戰(zhàn)略是國家做的一步具有重要戰(zhàn)略意義和深遠(yuǎn)影響的戰(zhàn)略部署。在網(wǎng)絡(luò)空間中的行為當(dāng)涉及嚴(yán)肅的經(jīng)濟(jì)����、政務(wù)或公共衛(wèi)生等問題時(shí),可信的網(wǎng)絡(luò)身份極為重要�。在金融與第三方支付領(lǐng)域、電子政務(wù)領(lǐng)域�、政府和企業(yè)辦公領(lǐng)域以及較近才出現(xiàn)的P2P金融、電子合同��、互聯(lián)網(wǎng)醫(yī)療等領(lǐng)域��,均需要網(wǎng)絡(luò)可信身份為行業(yè)的健康有序發(fā)展保駕護(hù)航�����。
四���、用戶信息未實(shí)名制將罰50萬
《網(wǎng)絡(luò)安全法》第二十四條規(guī)定:
網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入�、域名注冊服務(wù)����,辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù)��,或者為用戶提供信息發(fā)布��、即時(shí)通訊等服務(wù)�,在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息���。用戶不提供真實(shí)身份信息的,網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)�。國家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略���,支持研究開發(fā)安全���、方便的電子身份認(rèn)證技術(shù)����,推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)���。
解讀:
要求運(yùn)營商�����、論壇等對外發(fā)布信息提供商進(jìn)行用戶身份實(shí)名制����,同時(shí)建議通過安全��、加密的身份認(rèn)證進(jìn)行遠(yuǎn)程運(yùn)維�。
法律責(zé)任補(bǔ)充:第六章第六十一條:未要求用戶提供真實(shí)身份信息,或者對不提供真實(shí)身份信息的用戶提供相關(guān)服務(wù)的����,由有關(guān)主管部門責(zé)令改正�����;拒不改正或者情節(jié)嚴(yán)重的��,處五萬元以上五十萬元以下罰款���,并可以由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓�����、關(guān)閉網(wǎng)站�、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照���;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款���。
五、系統(tǒng)不做等保將被處罰
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定:
網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求�,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾�����、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取�����、篡改:
解讀:
要求網(wǎng)絡(luò)運(yùn)營者按網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定�����,制定內(nèi)部安全管理制度和操作規(guī)程����,確定負(fù)責(zé)人,建立全面安全體系�,采用防范和記錄計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等多種危害網(wǎng)絡(luò)安全行為的技術(shù)措施��;法律責(zé)任補(bǔ)充:第六章第五十九條:拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的�,處一萬元以上十萬元以下罰款;對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款��。
六��、網(wǎng)站被劫持被用戶投訴損失50萬�����?
《網(wǎng)絡(luò)安全法》第四十二條規(guī)定:
網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改�����、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意��,不得向他人提供個(gè)人信息���。但是���,經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外。
第六十四條規(guī)定:
網(wǎng)絡(luò)運(yùn)營者���、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第四十二條規(guī)定的,侵害個(gè)人信息依法得到保護(hù)的權(quán)利的�,由有關(guān)主管部門責(zé)令改正,可以根據(jù)情節(jié)單處或者并處警告��、沒收違法所得��、處違法所得一倍以上十倍以下罰款�,沒有違法所得的,處一百萬元以下罰款���,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款;情節(jié)嚴(yán)重的���,并可以責(zé)令暫停相關(guān)業(yè)務(wù)�、停業(yè)整頓�����、關(guān)閉網(wǎng)站�、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
解讀:
2016年���,某電商商戶側(cè)PC端遭遇3次頁面內(nèi)容劫持���,在用戶使用過程中,頁面中出現(xiàn)被惡意插入的廣告和JS代碼�,影響頁面正常功能,導(dǎo)致商戶的后臺(tái)系統(tǒng)無法正常使用,影響商戶業(yè)務(wù)流程。
用戶投訴和退款致使該電商網(wǎng)站損失50萬�����!
報(bào)告顯示,2015年互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)網(wǎng)絡(luò)安全事件超過12萬起����,同比增長125.9%���,我國網(wǎng)絡(luò)空間安全形勢不容樂觀。數(shù)量排前三位的類型分別是:網(wǎng)頁仿冒事件(占59.8%)�����、漏洞事件(占20.2%)和網(wǎng)頁篡改事件(占9.8%)��。為此���,十二屆全國人大常委會(huì)第二十四次會(huì)議表決通過����,并將于2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》��,明文規(guī)定�,用戶信息泄露��,可能導(dǎo)致運(yùn)營者被罰款�、甚至網(wǎng)站停業(yè)!
如果您是網(wǎng)站運(yùn)營者��,請仔細(xì)閱讀《網(wǎng)絡(luò)安全法》!
網(wǎng)站安全加密+政務(wù)信息安全加密+支付體系安全加密+API接口安全加密目前已開始成為各網(wǎng)站急需的安全服務(wù)����。
七、網(wǎng)站��、主機(jī)被入侵��,運(yùn)營者被罰數(shù)萬���?
涉及行業(yè):政府金融互聯(lián)網(wǎng)零售
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定:
網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)�����,保障網(wǎng)絡(luò)免受干擾���、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取����、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人��,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊����、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
(三)采取監(jiān)測��、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)�����、網(wǎng)絡(luò)安全事件的技術(shù)措施���,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月����;
(四)采取數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密等措施;
解讀:
主機(jī)�����,網(wǎng)站日常安全維護(hù)必不可少����,不要因?yàn)槠匠_\(yùn)營沒出現(xiàn)問題就掉以輕心不去管理,一旦主機(jī)�,網(wǎng)站被入侵,帶來的危險(xiǎn)性就非常大���,輕則數(shù)據(jù)丟失�����,重則負(fù)法律責(zé)任��。
第五十九條規(guī)定網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的��,由有關(guān)主管部門責(zé)令改正�����,給予警告��;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的���,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款�。
蘇公網(wǎng)安備 32010502010503號
