网络安全法解读

《网络安全法》解读安全BU冯靖概览目标国家层面：维护网络空间主权和国家安全、社会公共利益企业层面：规范相关行业公民层面：保护公民、法人和其他组织合法权益范畴在中华共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。总览法律条文：共7章，79条，对企事业单位来说，有38条明确规范义务量刑：对单位及责任人处以罚金，按严重程度可进行刑事处罚2016年11月7日发布，2017年6月1日起施行立法背景现实驱动两会代表呼声中央推动•自主可控•内容治理等提案•多头执法•积极利用•影响到人民生活安全•影响到经济信息安全•影响到国家的安全和主权网络安全法的法律框架要点理念：总体国家安全观方针：积极利用、科学发展•依法管理、自主可控原则：安全与发展并重•诚实信用原则•重点保护原则(关键基础信息建设）•谁主管谁负责原则网络安全法的六大亮点01明确了网络空间主权的原则02明确了网络产品和服务提供者的安全义务03明确了网络运营者的安全义务04进一步完善了个人信息保护规则05建立了关键信息基础设施安全保护制度06确立了关键信息基础设施重要数据跨境传输的规则网络安全法的要求--网络运营者网络运营者是指网络的所有者、管理者和网络服务提供者，包括有对外提供服务网站的普通企业。处罚：罚款+停业整顿+刑事责任网络安全法的要求--网络运营者遵守法律、行政法规，履行网络安全保护义务接受政府和社会的监督，承担社会责任保障网络安全、稳定运行、维护网络数据的完整性、保密性、可用性及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险不得泄露、篡改、毁损其收集的个人信息，并确保安全；履行等保制度应急预案、主动向主管部门报告网络安全法要求——网络安全等级保护制度A制定内部安全管理制度和操作规程，落实安全保护责任明确责任人A防范计算机病毒和网络攻击、网络侵入等采取防范保护措施A法律、行政法规规定的其他义务其他法律义务采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关网络日志不少于六个月；s.监测、记录并保留日志数据分类、重要数据备份和加密等措施数据分类、备份和加密网络安全法要求——监测、预警、处置Aeneancommodoligulaegetdolor.Aeneanmassa.Cumsociisnatoquepenatibusetmagnisdisparturientmontes.处置预警监测网络监控情报收集上报披露提前预警通报应急处置方案快速响应网络安全法的要求——个人信息保护•合法、合规、必要•目的明确、知情收集Aeneancommodoligulaegetdolor.Aeneanmassa.Cumsociisnatoquepenatibusetmagnisdisparturientmontes.接受更正保护•严格保密•建立用户信息保护制度•个人信息有误，公民有权要求更正、删除总结要求制度、人、责任网络监测和日志防病毒和网络入侵数据分类、备份和加密网络事件应急预案网络设备与产品服务提供实名制产品和服务需符合标准制度、人、责任网络监测和日志防病毒和网络入侵数据分类、备份和加密网络事件应急预案网络设备与产品服务提供实名制产品和服务需符合标准专门机构和专岗定期培训考核系统与数据容灾备份应急演练并定期演练采购产品与服务安全审查保密协议重要数据和个人信息境内存储至少每年安全评估网络运营者关键信息基础设施运营者案例分享一汕头某公司未及时履行网络安全义务，网警依据网安法责令改正详情：2017年7月20日，广东汕头网警支队在对该市网络安全等级保护重点单位进行执法检查时发现，汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级，经测评合格后投入使用，但2016年至今未按照规定定期开展等级测评。根据网络安全法第五十九条规定，广东汕头网警支队依法对该单位给予警告处罚并责令其改正。执法机构：广东汕头网警支队处罚行为：未按规定履行网络安全等级测评义务处罚措施：警告并责令其改正法律依据：《网络安全法》第21条、第59条第1款案例分享二重庆一网络公司未留存用户登录日志被网安查详情：重庆公安局网安总队在日常检查中发现，重庆市某科技发展有限公司自《网络安全法》正式实施以来，在提供互联网数据中心服务时，存在未依法留存用户登录相关网络日志的违法行为。公安机关根据《网络安全法》相关规定，决定给予该公司警告处罚，并责令限期15日内进行整改。执法机构：重庆公安局网安总队处罚行为：未依法留存用户登录相关网络日志处罚措施：警告并责令其改正法律依据：《网络安全法》第21条、第59条案例分享三四川一网站因高危漏洞遭入侵被罚详情：2017年7月22日，宜宾市翠屏区某网站因网络安全防护工作落实不到位，导致网站存在高危漏洞，造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现，该网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务。根据《网络安全法》第五十九条第一款之规定，决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定，对翠屏区教师培训与教育研究中心处一万元罚款，对法人代表唐某某处五千元罚款。执法机构：宜宾网安部门处罚行为：未落实网络安全等级保护制度，未履行网络安全保护义务处罚措施：对直接负责的主管人员罚款5千，机构罚款1万元法律依据：《网络安全法》第21条、第59条案例分享四宿迁网警成功查处全省首例违反《网络安全法》接入违规网站案详情：江苏宿迁市某科技有限公司服务器内接入一违法网站被民警发现，民警经勘验取证后，立即传唤该公司法人代表王某，要求对提供互联网接入服务的服务器内涉及法律、行政法规禁止传输的信息立即予以停止传输、采取消除等处置措施并保存有关记录，并根据《网络安全法》规定，给予上述公司警告处罚并要求其立即整改到位执法机构：宿城公安分局处罚行为：提供互联网接入服务的服务器内存在涉及法律、行政法规禁止传输的信息处罚措施：警告并责令其改正法律依据：《网络安全法》第47、第68条案例分享五宁夏某集团吴忠分公司违反《网络安全法》被警告处罚详情：吴忠市公安局在宁夏某集团吴忠分公司日常安全检查中发现，该公司未确定网络安全责任人、信息系统未采取防范计算机病毒和网络侵入等危害网络安全的技术措施，同时发现该公司采取监测、记录网络运行状态、网络安全事件的技术措施留存日志最长为1个月，低于不少于6个月的规定。据《网络安全法》第二十一条、第五十九条规定，给予该公司警告处罚，并责令限期整改。执法机构：吴忠市公安局处罚行为：未落实网络安全等级保护制度，未履行网络安全保护义务处罚措施：给予该公司警告处罚，并责令限期整改法律依据：《网络安全法》第21条、第59条总结为更好的履行《网络安全法》，我们建议企业：1、通过防火墙、上网行为管理等网络安全防护设备保障网络安全、稳定运行，合规审计；2、通过安全感知或安全探针等方式来有效监控网络系统，及时发现漏洞和信息泄露等风险；3、使用具备快速响应能力的安全产品，做好安全应急响应；4、采购具有持续检测能力的产品，落实安全检查和评估；5、建议使用具备可视化能力产品，建立报告制度，及时报告系统漏洞、信息泄露等风险事件；总结6、通过VPN等加密产品，进行数据加密，重视个人信息的保护；7、做好等级保护工作，落实网络安全等级保护制度；8、建立安全责任制度，明确责任人；9、采购安全产品时关注网络服务提供商资质，检查产品是否符合法规。THANKYOU！Thanksforwatching深圳市南山区学苑大道1001号南山智园A1栋Shenzhennanshandistrict1001xueyuanavenueofnanshangardenA1building0755-86627888market@sangfor.com.cn