cn en
研究报告

网络安全法实施

发布时间:2017-10-20 来源:谷安天下 浏览次数:674

为有效地推进《网络安全法》的实施,总体可分为相关法规识别、合规差距分析、合规对应实施和体系持续完善四个步骤。本章详细描述前三个步骤,第三章描述第四个步骤。


image.png


1、相关法规识别

《网络安全法》第八条规定:“国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”因此,各网络运营者在实施《网络安全法》时,不仅要在深入了解《网络安全法》的要求,还需要参考其他配套的法规及标准,以确保《网络安全法》的安全控制措施能有效落实。

近年来,主管部门及安全标准化机构发布了多个与《网络安全法》实施相关的法规与标准,有的还处在征求意见当中。为方便各类机构在实施《网络安全法》时加以参考,把最重要的相关法规与标准列表如下:

国内近期发布《网络安全法》相关法规标准


发布时间

规范名称

发布机构

备注



2016年12月20日

个人信息安全规范(征求意见稿)

全国信息安全标准化技术委员会

本规范明确了个人信息的定义,介绍了针对个人信息的全生命周期保护方法,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供的指导和依据。本规范未来将被推荐为国家标准。



2017年1月10日

国家网络安全事件应急预案

中央网信办

本预案自2017年1月10日起实施,此预案的发布是为了更好地建立健全国家网络安全事件应急工作机制,提高各类机构应对网络安全事件能力。



2017年4月11日

个人信息和重要数据出境安全评估办法(征求意见稿)

国家网信办

本办法针对《网络安全法》中有关跨境数据流动的情况,规定了网络运营者在收集和产生的个人信息和重要数据时,因业务需要确需向境外提供的,应如何进行安全风险评估。



2017年5月2日

网络产品和服务安全审查办法(试行)

国家网信办

本办法自2017年6月1日起实施。本办法规定了对国家安全的网络和信息系统采购的重要网络产品、服务及其供应链,应当经过网络安全审查的要求及其相应办法。



2017年5月27日

信息安全技术 数据出境安全评估指南(草案)(征求意见稿)

全国信息安全标准化技术委员会

为落实《网络安全法》对个人信息和重要数据出境等要求,本指南提供了操作性的安全评估指南。本指南未来将被推荐为国家标准。



2017年5月31日

工业控制系统信息安全事件应急管理工作指南

工信部

2017年7月1日起实施。本指南明确了工业控制系统信息安全事件的定义,从事应急管理工作的组织机构与职责,应急管理工作机制,监测通报机制,敏感时期应急管理要求,应急处置以及保障措施。



2017年6月1日

网络关键设备和网络安全专用产品目录(第一批)

国家网信办、工信部、公安部和国家认监委

2017年6月1日起实施。首批共有15个设备或产品类别。列入产品目录中的设备和产品应当由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。



2017年

7月1日

关键信息基础设施安全保护条例(征求意见稿)

国家网信办

本条例针对《网络安全法》中所涉及的关键信息基础设施进一步明确管理职责与保护办法。主要包括:国家支持与保障、关键信息基础设施范围、关键信息基础设施运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估以及法律责任等方面对关键信息基础设施安全保护做出了规定。


国外相关法律与规范识别

组织在实施《网络安全法》时,可以根据自身的需要对其他国家和地区的相关法规和标准进行识别,其目的一方面使国内机构借鉴国外的一些网络安全最佳实践,同时可以为国外组织在国内实施网络安全合规要求时,建立一个可以对比的参照系。

国外网络安全相关法规



发布时间

法案名称

发布机构

备注



2011年

网络空间国际战略-US Government National   Strategy to Secure Cyberspace – Critical priorities

美国政府

美国政府出台首份《网络空间国际战略》,宣称要建立一个“开放、互通、安全和可靠”的网络空间,并为实现这一构想勾勒出了政策路线图,内容涵盖经济、国防、执法和外交等多个领域,“基本概括了美国所追求的目标”。



2013年

美国政府13636行政令-US   Executive Order 13636: Improving Critical   Infrastructure Cybersecurity

美国政府

美国总统奥巴马于2013年2月签署并发布了《增强关键基础设施网络安全》旨在提升国家关键基础设施的安全与弹性,建立一个有助于提高效率、激发创新、促进经济繁荣的网络环境,同时保障安全、商业机密、隐私与公民自由。



2014年

NIST增强关键基础设施网络安全框架--Framework for Improving Critical Infrastructure Cybersecurity

美国国家标准与技术研究所NIST

2014年2月美国国家标准与技术研究所NIST针对《增强关键基础设施网络安全》提出了《美国增强关键基础设施网络安全框架》(简称CSF),随后各政府部门及重要机构根据CSF的方法,纷纷提出了适合行业或部门自身要求的网络安全实施指南,推进了美国针对重要基础设施的保护进程。



2014年12月

联邦信息安全管理法案-US Congress Federal   Information Security Management Act 3554,or, Federal Information Security   Modernization Act of 2014

美国国会

将建立对联邦计算机网络的实时、自动监控,减少在安全审查过程中所需的文书工作量,明确保护联邦计算机网络安全的各个机构之角色



2015年12月18日

网络安全法-US Congress Cybersecurity   Information Sharing Act of 2015

首次明确了网络安全信息共享的范围包括:“网络威胁指标”(Cyber   Threat Indicator, CTI)和“防御性措施”(Defensive Measure)两大类,重点关注网络安全信息共享的参与主体、共享方式、实施和审查监督程序、组织机构、责任豁免及隐私保护规定等。



2016年4月27日

关于个人数据处理和数据自由流动保护条例(一般数据保护条例)的提案-   General Data Protection Regulation-EU GDPR。

GDPR将在2018年5月25日生效。

欧洲议会和欧盟委员会

GDPR的实施是为了加强对欧盟所有人的隐私权保护,并且简化数据保护的管理。GDPR的重点:加强个人权利,为个人提供更多的对自己信息的控制权;加强欧盟内部的隐私和安全法律;如果一个实体要向第三方传递个人身份信息,必须要提供对该信息的“充分保护”。



2016年7月6日

欧盟范围内关于建立高水平网络和信息系统安全性的措施--Concerning   measures for a high common level of security of network and information   systems across the Union

欧洲议会和理事会

欧盟范围内关于建立高水平网络和信息系统安全性的措施



2001年12月18日

信息安全法-Security of Canada Information   Sharing Act

加拿大政府

《信息安全法》没有采用传统的秘密信息概念,而是采用特别业务信息概念。从特别业务信息的具体规定来看,其范围远远超出秘密信息的范围,可以说,《信息安全法》扩大了对政府信息的保护。



2010年

保卫国家信息安全战略-Japan Congress Information   Security Strategy for Protecting the Nation

日本国会

巩固政府基础设施的措施

巩固关键基础设施的措施

巩固其他基础设施的措施



2014年11月6日

网络安全基本法-Japan Congress Cyber Security   Basic Act & Information Processing Promotion Act

日本国会

旨在加强日本政府与民间在网络安全领域的协调和运用,更好地应对网络攻击。根据这项立法,日本政府将新设以内阁官房长官为首的“网络安全战略本部”,协调各政府部门的网络安全对策



2012年

个人数据保护法-Singapore Congress Personal   Data Protection Act

新加坡国会

(1)保护个人资料不被滥用;(2)杜绝行销来电和信息。公司必须在获得消费者允许后,才能收集和使用消费者的个人信息,公司也需向消费者解释他们收集和披露消费者个人信息的原因。



2、合规差距分析

以《网络安全法》为基础,网络运营者应从网络安全管理、网络安全技术和个人信息保护三方面综合考虑各项法律、法规的监管要求,通过对组织现状的了解,对组织当前合规情况进行差距分析。



分析项

分析内容

法规要求



1.网络安全管理

1.1制度与组织要求

²  第二十一条规定国家实行网络安全等级保护制度…制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

²  第三十四条规定关键信息基础设施的运营者还应设置专门安全管理机构和安全管理负责人。



1.2风险管理

²  第三十八条规定关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。



1.3应急管理

²  第二十五条规定网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

²  第五十三规定负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。



1.4事件通报

²  第五十二规定负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。

²  第五十五条规定发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。



信息系统审计

²  第59条到75条明确违反相应规定后的罚则,为验证网络运营者为确保网络安全所采取措施的有效性,避免违规而承担法律责任,运营组织应明确制定内部审计检查方法、标准、检查项,开展针对信息安全的信息系统审计工作。



2.网络安全技术

2.1系统建设

²  第五十一条规定建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。



2.2安全防护

²  为保障网络安全,防止数据泄露,第十条、二十一条规定网络运营者或服务提供者应当依照法律、行政法规的规定和国家标准的强制性要求,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。



2.3网络安全产品与服务

²  网络运营者在采购安全产品或服务时,应遵守第二十三条规定,网络关键设备和网络安全专用产品需经安全认证或检测;关键信息基础设施的运营者对可能影响国家安全的采购应遵守第三十五条规定,通过国家网信部门会同国务院有关部门组织的国家安全审查。



2.4网络运营

²  第二十一条规定,网络运营者应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;同时,对重要数据进行备份和加密。



3.个人信息保护

3.1个人信息收集

²  网络服务提供者在进行个人信息收集时,应遵守第二十二条、四十一条和其他国家有关个人信息保护的规定,明确告知信息收集、使用的目的、方式和范围,并获得信息主体的同意。



3.2个人信息使用

²  网络运营者在使用所收集的个人信息过程中,应遵守第四十三~四十八条的规定,及时更正或删除错误信息;采取个人信息保护的技术和其他措施,防止泄露、损坏或丢失,禁止非法出售或提供个人信息并接受公众监督。



3.3个人信息的存储及流动

²  网络运营者,特别是关键信息基础设施的运营者应遵守第三十七的规定,在其业务过程中涉及的个人信息和重要业务数据需在中国境内存储、处理和分析,且未经安全评估不得向境外提供,除非法律、行政法规另有规定。



3、合规对应实施

《网络安全法》具体合规实施时,可以从网络运营安全、网络信息安全及关键信息基础设施保护三个方面,描述对应的保护要求和对应条款,分别从“相关责任方”、管理措施”及“技术措施”三个维度分析其具体实施要点。以下举例说明。

(1)网络运营安全控制措施



保护

要求

对应

条款

责任

管理

措施

技术

措施



1.1制定安全制度,落实安全职责

第21条(1)

信息安全管理委员会、信息安全主管领导、信息安全管理团队及各部门信息安全负责人。

1.根据等级保护的要求,建立信息安全相关组织、制度和流程。

2.建立负责网络安全管理的部门,明确网络安全负责人,并把安全职责落实到所有重要岗位中。

3.确保信息安全制度落实执行,并对制度进行及时更新。

4.在信息安全管理制度完善的基础上,逐步建立信息安全管理流程及度量指标体系。

5.对全部员工进行信息安全规范和意识的教育。

在信息安全管理体系逐步完善的基础上,机构可以考虑开发部署信息安全管理软件平台,把制度管理、风险评估、安全规划、控制执行、绩效评价、威胁情报、日常工作流程等进行统一管理,以提高信息安全管理效率。





(2)网络信息安全控制措施



保护

要求

对应

条款

责任

管理

措施

技术

措施



2.1 组织应制定敏感信息保护制度

第21(4)、37、40、45、47、48、50条

信息安全管理委员会、信息安全主管领导、信息安全管理团队及各部门信息安全负责人。

1.组织应建立健全组织内部敏感信息保护管理制度与职责体系。

2.组织应当对其业务数据和个人信息进行识别、分类和敏感性分级。

3.对敏感数据的生命周期过程中各类系统环境及业务场景的静态数据和动态数据进行安全风险评估。

4.对技术环境及业务流程中薄弱环节进行整改与加固,以防止组织和个人的重要信息和数据免受泄露、窃取、篡改。

1.把敏感数据保护纳入到组织安全架构设计之中。

2.使用数据脱敏、数据加密、访问控制、数据销毁等技术手段与产品来保护敏感信息,防止敏感的泄露、窃取和篡改。

3.通过内部信息安全技术手段(如堡垒机、数据防泄露、终端安全管理、PKI加密体系的应用等)来加强数据安全体系建设。

4.从事后追责、溯源向事前感知、预警转变。





(3)关键信息基础设施安全控制措施


保护

要求

对应

条款

责任

管理

措施

技术

措施



3.7采购安全产品与服务要接受主管部门的安全审查

第35条

信息安全管理团队、信息技术部门、业务部门、采购部门

1.针对网络关键设备和网络安全专用产品的采购,组织应建立相应的管理制度与规范,要求组织中的网络关键设备和网络安全专用产品需经安全认证或检测,并且要求网络产品和服务的供应和采购双方都要遵守国家和行业主管部门的要求,随时接受安全审查。

2.组织应建立网络安全产品与服务供应商的准入、退出和安全考评机制,在合同中加以明确要求,并在安全产品与服务实施过程中进行评估与考核。

对网络关键设备和网络安全专用产品与服务的安全审查是网信部门实施安全监督的重要抓手,组织要重点关注主管部门出台的相关管理规范,包括但不限于以下内容:

(1)2017年5月国家网信办发布《网络产品和服务安全审查办法(试行)》

(2)2017年6月国家网信办、工信部、公安部和国家认可委共同发布《网络关键设备和网络安全专用产品目录(第一批)》





二维码

谷安咨询

IT治理信息安全IT风险数字风险

谷安审计

IT审计服务 IT审计体系IT审计师联盟

谷安学院

关于学院学院动态安全易视在线教育学术体系合作交流校友社区

谷安研究

关于研究院研究框架研究报告顾问服务

创新中心

IT-GRC 安全值 极质软件 云安全

媒体社区

安全牛 牛聘 任务平台

关于我们

谷安简介新闻动态荣誉资质加入谷安联系我们

京ICP备13013886号-9

北京: 010-51626887 深圳: 0755-82986930 上海: 021-22310533