<output id="cbeuj"><legend id="cbeuj"><address id="cbeuj"></address></legend></output>
      <output id="cbeuj"></output>
      <output id="cbeuj"><video id="cbeuj"></video></output><acronym id="cbeuj"><pre id="cbeuj"><dd id="cbeuj"></dd></pre></acronym>
    1. <label id="cbeuj"><button id="cbeuj"><address id="cbeuj"></address></button></label>
    2. <code id="cbeuj"><object id="cbeuj"></object></code>

          <listing id="cbeuj"></listing>
          1. <meter id="cbeuj"><delect id="cbeuj"></delect></meter>

            <listing id="cbeuj"><object id="cbeuj"></object></listing>

          2. <meter id="cbeuj"></meter>
              <tt id="cbeuj"><wbr id="cbeuj"><big id="cbeuj"></big></wbr></tt>

              <output id="cbeuj"><pre id="cbeuj"></pre></output>
            1. <small id="cbeuj"><delect id="cbeuj"></delect></small>
                1. <listing id="cbeuj"></listing>
                2. <output id="cbeuj"><pre id="cbeuj"></pre></output>

                3. <tt id="cbeuj"><button id="cbeuj"><dd id="cbeuj"></dd></button></tt>
                  1. <cite id="cbeuj"></cite>
                    1. <code id="cbeuj"><u id="cbeuj"></u></code>
                    2. <listing id="cbeuj"><object id="cbeuj"></object></listing><dd id="cbeuj"></dd>
                          1. <meter id="cbeuj"><sub id="cbeuj"></sub></meter>

                            <listing id="cbeuj"></listing>

                              cn en
                              研究報告

                              網絡安全法實施

                              發布時間:2017-10-20 來源:谷安天下 瀏覽次數:1543

                              為有效地推進《網絡安全法》的實施,總體可分為相關法規識別、合規差距分析、合規對應實施和體系持續完善四個步驟。本章詳細描述前三個步驟,第三章描述第四個步驟。


                              image.png


                              1、相關法規識別

                              《網絡安全法》第八條規定:“國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網絡安全保護和監督管理工作。”因此,各網絡運營者在實施《網絡安全法》時,不僅要在深入了解《網絡安全法》的要求,還需要參考其他配套的法規及標準,以確保《網絡安全法》的安全控制措施能有效落實。

                              近年來,主管部門及安全標準化機構發布了多個與《網絡安全法》實施相關的法規與標準,有的還處在征求意見當中。為方便各類機構在實施《網絡安全法》時加以參考,把最重要的相關法規與標準列表如下:

                              國內近期發布《網絡安全法》相關法規標準


                              發布時間

                              規范名稱

                              發布機構

                              備注



                              2016年12月20日

                              個人信息安全規范(征求意見稿)

                              全國信息安全標準化技術委員會

                              本規范明確了個人信息的定義,介紹了針對個人信息的全生命周期保護方法,為國家主管部門、第三方測評機構等開展個人信息安全管理、評估工作提供的指導和依據。本規范未來將被推薦為國家標準。



                              2017年1月10日

                              國家網絡安全事件應急預案

                              中央網信辦

                              本預案自2017年1月10日起實施,此預案的發布是為了更好地建立健全國家網絡安全事件應急工作機制,提高各類機構應對網絡安全事件能力。



                              2017年4月11日

                              個人信息和重要數據出境安全評估辦法(征求意見稿)

                              國家網信辦

                              本辦法針對《網絡安全法》中有關跨境數據流動的情況,規定了網絡運營者在收集和產生的個人信息和重要數據時,因業務需要確需向境外提供的,應如何進行安全風險評估。



                              2017年5月2日

                              網絡產品和服務安全審查辦法(試行)

                              國家網信辦

                              本辦法自2017年6月1日起實施。本辦法規定了對國家安全的網絡和信息系統采購的重要網絡產品、服務及其供應鏈,應當經過網絡安全審查的要求及其相應辦法。



                              2017年5月27日

                              信息安全技術 數據出境安全評估指南(草案)(征求意見稿)

                              全國信息安全標準化技術委員會

                              為落實《網絡安全法》對個人信息和重要數據出境等要求,本指南提供了操作性的安全評估指南。本指南未來將被推薦為國家標準。



                              2017年5月31日

                              工業控制系統信息安全事件應急管理工作指南

                              工信部

                              2017年7月1日起實施。本指南明確了工業控制系統信息安全事件的定義,從事應急管理工作的組織機構與職責,應急管理工作機制,監測通報機制,敏感時期應急管理要求,應急處置以及保障措施。



                              2017年6月1日

                              網絡關鍵設備和網絡安全專用產品目錄(第一批)

                              國家網信辦、工信部、公安部和國家認監委

                              2017年6月1日起實施。首批共有15個設備或產品類別。列入產品目錄中的設備和產品應當由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。



                              2017年

                              7月1日

                              關鍵信息基礎設施安全保護條例(征求意見稿)

                              國家網信辦

                              本條例針對《網絡安全法》中所涉及的關鍵信息基礎設施進一步明確管理職責與保護辦法。主要包括:國家支持與保障、關鍵信息基礎設施范圍、關鍵信息基礎設施運營者安全保護、產品和服務安全、監測預警、應急處置和檢測評估以及法律責任等方面對關鍵信息基礎設施安全保護做出了規定。


                              國外相關法律與規范識別

                              組織在實施《網絡安全法》時,可以根據自身的需要對其他國家和地區的相關法規和標準進行識別,其目的一方面使國內機構借鑒國外的一些網絡安全最佳實踐,同時可以為國外組織在國內實施網絡安全合規要求時,建立一個可以對比的參照系。

                              國外網絡安全相關法規



                              發布時間

                              法案名稱

                              發布機構

                              備注



                              2011年

                              網絡空間國際戰略-US Government National   Strategy to Secure Cyberspace – Critical priorities

                              美國政府

                              美國政府出臺首份《網絡空間國際戰略》,宣稱要建立一個“開放、互通、安全和可靠”的網絡空間,并為實現這一構想勾勒出了政策路線圖,內容涵蓋經濟、國防、執法和外交等多個領域,“基本概括了美國所追求的目標”。



                              2013年

                              美國政府13636行政令-US   Executive Order 13636: Improving Critical   Infrastructure Cybersecurity

                              美國政府

                              美國總統奧巴馬于2013年2月簽署并發布了《增強關鍵基礎設施網絡安全》旨在提升國家關鍵基礎設施的安全與彈性,建立一個有助于提高效率、激發創新、促進經濟繁榮的網絡環境,同時保障安全、商業機密、隱私與公民自由。



                              2014年

                              NIST增強關鍵基礎設施網絡安全框架--Framework for Improving Critical Infrastructure Cybersecurity

                              美國國家標準與技術研究所NIST

                              2014年2月美國國家標準與技術研究所NIST針對《增強關鍵基礎設施網絡安全》提出了《美國增強關鍵基礎設施網絡安全框架》(簡稱CSF),隨后各政府部門及重要機構根據CSF的方法,紛紛提出了適合行業或部門自身要求的網絡安全實施指南,推進了美國針對重要基礎設施的保護進程。



                              2014年12月

                              聯邦信息安全管理法案-US Congress Federal   Information Security Management Act 3554,or, Federal Information Security   Modernization Act of 2014

                              美國國會

                              將建立對聯邦計算機網絡的實時、自動監控,減少在安全審查過程中所需的文書工作量,明確保護聯邦計算機網絡安全的各個機構之角色



                              2015年12月18日

                              網絡安全法-US Congress Cybersecurity   Information Sharing Act of 2015

                              首次明確了網絡安全信息共享的范圍包括:“網絡威脅指標”(Cyber   Threat Indicator, CTI)和“防御性措施”(Defensive Measure)兩大類,重點關注網絡安全信息共享的參與主體、共享方式、實施和審查監督程序、組織機構、責任豁免及隱私保護規定等。



                              2016年4月27日

                              關于個人數據處理和數據自由流動保護條例(一般數據保護條例)的提案-   General Data Protection Regulation-EU GDPR。

                              GDPR將在2018年5月25日生效。

                              歐洲議會和歐盟委員會

                              GDPR的實施是為了加強對歐盟所有人的隱私權保護,并且簡化數據保護的管理。GDPR的重點:加強個人權利,為個人提供更多的對自己信息的控制權;加強歐盟內部的隱私和安全法律;如果一個實體要向第三方傳遞個人身份信息,必須要提供對該信息的“充分保護”。



                              2016年7月6日

                              歐盟范圍內關于建立高水平網絡和信息系統安全性的措施--Concerning   measures for a high common level of security of network and information   systems across the Union

                              歐洲議會和理事會

                              歐盟范圍內關于建立高水平網絡和信息系統安全性的措施



                              2001年12月18日

                              信息安全法-Security of Canada Information   Sharing Act

                              加拿大政府

                              《信息安全法》沒有采用傳統的秘密信息概念,而是采用特別業務信息概念。從特別業務信息的具體規定來看,其范圍遠遠超出秘密信息的范圍,可以說,《信息安全法》擴大了對政府信息的保護。



                              2010年

                              保衛國家信息安全戰略-Japan Congress Information   Security Strategy for Protecting the Nation

                              日本國會

                              鞏固政府基礎設施的措施

                              鞏固關鍵基礎設施的措施

                              鞏固其他基礎設施的措施



                              2014年11月6日

                              網絡安全基本法-Japan Congress Cyber Security   Basic Act & Information Processing Promotion Act

                              日本國會

                              旨在加強日本政府與民間在網絡安全領域的協調和運用,更好地應對網絡攻擊。根據這項立法,日本政府將新設以內閣官房長官為首的“網絡安全戰略本部”,協調各政府部門的網絡安全對策



                              2012年

                              個人數據保護法-Singapore Congress Personal   Data Protection Act

                              新加坡國會

                              (1)保護個人資料不被濫用;(2)杜絕行銷來電和信息。公司必須在獲得消費者允許后,才能收集和使用消費者的個人信息,公司也需向消費者解釋他們收集和披露消費者個人信息的原因。



                              2、合規差距分析

                              以《網絡安全法》為基礎,網絡運營者應從網絡安全管理、網絡安全技術和個人信息保護三方面綜合考慮各項法律、法規的監管要求,通過對組織現狀的了解,對組織當前合規情況進行差距分析。



                              分析項

                              分析內容

                              法規要求



                              1.網絡安全管理

                              1.1制度與組織要求

                              2  第二十一條規定國家實行網絡安全等級保護制度…制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任。

                              2  第三十四條規定關鍵信息基礎設施的運營者還應設置專門安全管理機構和安全管理負責人。



                              1.2風險管理

                              2  第三十八條規定關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。



                              1.3應急管理

                              2  第二十五條規定網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。

                              2  第五十三規定負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案,并定期組織演練。



                              1.4事件通報

                              2  第五十二規定負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,并按照規定報送網絡安全監測預警信息。

                              2  第五十五條規定發生網絡安全事件,應當立即啟動網絡安全事件應急預案,對網絡安全事件進行調查和評估,要求網絡運營者采取技術措施和其他必要措施,消除安全隱患,防止危害擴大,并及時向社會發布與公眾有關的警示信息。



                              信息系統審計

                              2  第59條到75條明確違反相應規定后的罰則,為驗證網絡運營者為確保網絡安全所采取措施的有效性,避免違規而承擔法律責任,運營組織應明確制定內部審計檢查方法、標準、檢查項,開展針對信息安全的信息系統審計工作。



                              2.網絡安全技術

                              2.1系統建設

                              2  第五十一條規定建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。



                              2.2安全防護

                              2  為保障網絡安全,防止數據泄露,第十條、二十一條規定網絡運營者或服務提供者應當依照法律、行政法規的規定和國家標準的強制性要求,采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。



                              2.3網絡安全產品與服務

                              2  網絡運營者在采購安全產品或服務時,應遵守第二十三條規定,網絡關鍵設備和網絡安全專用產品需經安全認證或檢測;關鍵信息基礎設施的運營者對可能影響國家安全的采購應遵守第三十五條規定,通過國家網信部門會同國務院有關部門組織的國家安全審查。



                              2.4網絡運營

                              2  第二十一條規定,網絡運營者應采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;同時,對重要數據進行備份和加密。



                              3.個人信息保護

                              3.1個人信息收集

                              2  網絡服務提供者在進行個人信息收集時,應遵守第二十二條、四十一條和其他國家有關個人信息保護的規定,明確告知信息收集、使用的目的、方式和范圍,并獲得信息主體的同意。



                              3.2個人信息使用

                              2  網絡運營者在使用所收集的個人信息過程中,應遵守第四十三~四十八條的規定,及時更正或刪除錯誤信息;采取個人信息保護的技術和其他措施,防止泄露、損壞或丟失,禁止非法出售或提供個人信息并接受公眾監督。



                              3.3個人信息的存儲及流動

                              2  網絡運營者,特別是關鍵信息基礎設施的運營者應遵守第三十七的規定,在其業務過程中涉及的個人信息和重要業務數據需在中國境內存儲、處理和分析,且未經安全評估不得向境外提供,除非法律、行政法規另有規定。



                              3、合規對應實施

                              《網絡安全法》具體合規實施時,可以從網絡運營安全、網絡信息安全及關鍵信息基礎設施保護三個方面,描述對應的保護要求和對應條款,分別從“相關責任方”、管理措施”及“技術措施”三個維度分析其具體實施要點。以下舉例說明。

                              (1)網絡運營安全控制措施



                              保護

                              要求

                              對應

                              條款

                              責任

                              管理

                              措施

                              技術

                              措施



                              1.1制定安全制度,落實安全職責

                              第21條(1)

                              信息安全管理委員會、信息安全主管領導、信息安全管理團隊及各部門信息安全負責人。

                              1.根據等級保護的要求,建立信息安全相關組織、制度和流程。

                              2.建立負責網絡安全管理的部門,明確網絡安全負責人,并把安全職責落實到所有重要崗位中。

                              3.確保信息安全制度落實執行,并對制度進行及時更新。

                              4.在信息安全管理制度完善的基礎上,逐步建立信息安全管理流程及度量指標體系。

                              5.對全部員工進行信息安全規范和意識的教育。

                              在信息安全管理體系逐步完善的基礎上,機構可以考慮開發部署信息安全管理軟件平臺,把制度管理、風險評估、安全規劃、控制執行、績效評價、威脅情報、日常工作流程等進行統一管理,以提高信息安全管理效率。





                              (2)網絡信息安全控制措施



                              保護

                              要求

                              對應

                              條款

                              責任

                              管理

                              措施

                              技術

                              措施



                              2.1 組織應制定敏感信息保護制度

                              第21(4)、37、40、45、47、48、50條

                              信息安全管理委員會、信息安全主管領導、信息安全管理團隊及各部門信息安全負責人。

                              1.組織應建立健全組織內部敏感信息保護管理制度與職責體系。

                              2.組織應當對其業務數據和個人信息進行識別、分類和敏感性分級。

                              3.對敏感數據的生命周期過程中各類系統環境及業務場景的靜態數據和動態數據進行安全風險評估。

                              4.對技術環境及業務流程中薄弱環節進行整改與加固,以防止組織和個人的重要信息和數據免受泄露、竊取、篡改。

                              1.把敏感數據保護納入到組織安全架構設計之中。

                              2.使用數據脫敏、數據加密、訪問控制、數據銷毀等技術手段與產品來保護敏感信息,防止敏感的泄露、竊取和篡改。

                              3.通過內部信息安全技術手段(如堡壘機、數據防泄露、終端安全管理、PKI加密體系的應用等)來加強數據安全體系建設。

                              4.從事后追責、溯源向事前感知、預警轉變。





                              (3)關鍵信息基礎設施安全控制措施


                              保護

                              要求

                              對應

                              條款

                              責任

                              管理

                              措施

                              技術

                              措施



                              3.7采購安全產品與服務要接受主管部門的安全審查

                              第35條

                              信息安全管理團隊、信息技術部門、業務部門、采購部門

                              1.針對網絡關鍵設備和網絡安全專用產品的采購,組織應建立相應的管理制度與規范,要求組織中的網絡關鍵設備和網絡安全專用產品需經安全認證或檢測,并且要求網絡產品和服務的供應和采購雙方都要遵守國家和行業主管部門的要求,隨時接受安全審查。

                              2.組織應建立網絡安全產品與服務供應商的準入、退出和安全考評機制,在合同中加以明確要求,并在安全產品與服務實施過程中進行評估與考核。

                              對網絡關鍵設備和網絡安全專用產品與服務的安全審查是網信部門實施安全監督的重要抓手,組織要重點關注主管部門出臺的相關管理規范,包括但不限于以下內容:

                              (1)2017年5月國家網信辦發布《網絡產品和服務安全審查辦法(試行)》

                              (2)2017年6月國家網信辦、工信部、公安部和國家認可委共同發布《網絡關鍵設備和網絡安全專用產品目錄(第一批)》





                              二維碼

                              谷安咨詢

                              IT治理信息安全IT風險數字風險

                              谷安審計

                              IT審計服務 IT審計體系IT審計師聯盟

                              谷安學院

                              關于學院學院動態安全易視學術體系合作交流校友社區

                              谷安研究

                              關于研究院研究框架研究報告顧問服務

                              創新中心

                              IT-GRC 安全值 極質軟件 云安全

                              媒體社區

                              安全牛 牛聘 任務平臺

                              關于我們

                              谷安簡介新聞動態榮譽資質加入谷安聯系我們

                              京ICP備13013886號-9

                              北京: 010-51626887 深圳: 0755-82986930 上海: 021-22310533
                              重庆幸运农场开奖历史
                                <output id="cbeuj"><legend id="cbeuj"><address id="cbeuj"></address></legend></output>
                                  <output id="cbeuj"></output>
                                  <output id="cbeuj"><video id="cbeuj"></video></output><acronym id="cbeuj"><pre id="cbeuj"><dd id="cbeuj"></dd></pre></acronym>
                                1. <label id="cbeuj"><button id="cbeuj"><address id="cbeuj"></address></button></label>
                                2. <code id="cbeuj"><object id="cbeuj"></object></code>

                                      <listing id="cbeuj"></listing>
                                      1. <meter id="cbeuj"><delect id="cbeuj"></delect></meter>

                                        <listing id="cbeuj"><object id="cbeuj"></object></listing>

                                      2. <meter id="cbeuj"></meter>
                                          <tt id="cbeuj"><wbr id="cbeuj"><big id="cbeuj"></big></wbr></tt>

                                          <output id="cbeuj"><pre id="cbeuj"></pre></output>
                                        1. <small id="cbeuj"><delect id="cbeuj"></delect></small>
                                            1. <listing id="cbeuj"></listing>
                                            2. <output id="cbeuj"><pre id="cbeuj"></pre></output>

                                            3. <tt id="cbeuj"><button id="cbeuj"><dd id="cbeuj"></dd></button></tt>
                                              1. <cite id="cbeuj"></cite>
                                                1. <code id="cbeuj"><u id="cbeuj"></u></code>
                                                2. <listing id="cbeuj"><object id="cbeuj"></object></listing><dd id="cbeuj"></dd>
                                                      1. <meter id="cbeuj"><sub id="cbeuj"></sub></meter>

                                                        <listing id="cbeuj"></listing>

                                                            <output id="cbeuj"><legend id="cbeuj"><address id="cbeuj"></address></legend></output>
                                                              <output id="cbeuj"></output>
                                                              <output id="cbeuj"><video id="cbeuj"></video></output><acronym id="cbeuj"><pre id="cbeuj"><dd id="cbeuj"></dd></pre></acronym>
                                                            1. <label id="cbeuj"><button id="cbeuj"><address id="cbeuj"></address></button></label>
                                                            2. <code id="cbeuj"><object id="cbeuj"></object></code>

                                                                  <listing id="cbeuj"></listing>
                                                                  1. <meter id="cbeuj"><delect id="cbeuj"></delect></meter>

                                                                    <listing id="cbeuj"><object id="cbeuj"></object></listing>

                                                                  2. <meter id="cbeuj"></meter>
                                                                      <tt id="cbeuj"><wbr id="cbeuj"><big id="cbeuj"></big></wbr></tt>

                                                                      <output id="cbeuj"><pre id="cbeuj"></pre></output>
                                                                    1. <small id="cbeuj"><delect id="cbeuj"></delect></small>
                                                                        1. <listing id="cbeuj"></listing>
                                                                        2. <output id="cbeuj"><pre id="cbeuj"></pre></output>

                                                                        3. <tt id="cbeuj"><button id="cbeuj"><dd id="cbeuj"></dd></button></tt>
                                                                          1. <cite id="cbeuj"></cite>
                                                                            1. <code id="cbeuj"><u id="cbeuj"></u></code>
                                                                            2. <listing id="cbeuj"><object id="cbeuj"></object></listing><dd id="cbeuj"></dd>
                                                                                  1. <meter id="cbeuj"><sub id="cbeuj"></sub></meter>

                                                                                    <listing id="cbeuj"></listing>

                                                                                      两面盘玩法走势怎么看 龙虎游戏怎么玩挣钱 西红柿计划免费最新版 赌博稳赢不输的规律 真金棋牌 十大捕鱼游戏排行榜 全天北京pk10最牛最稳计划 重庄时时彩开奖结果 28单吊 扑克牌5张比大小玩法 篮球比赛直播比分 足彩只买平局能赚6 扑克比大小怎么玩规则 彩票双色球稳赚 重庆时时彩龙虎和漏洞 大发快三实时计划软件