首先,对于大多数企事业单位来说,维护网络运行安全是自身基本的工作内容,不然就可能导致5月10号左右发生“勒索病毒事件”,该事件在很短的时间内导致企业、高校等网络无法运行。 本次《网络安全法》在规范一般企业网络安全义务的基础上,特别针对三类企业:1、网络运营者(比如电信运营商等) ;网络产品、服务的提供者(比如淘宝等);关键信息基础设施运营者(比如电力公司、股票交易中心等)做了强制性的义务规范内容,我们来梳理下主要事项。 1、针对网络运营者(比如中国移动公司)。本法有12条左右对其进行了义务规范,重点条文有: 第二十四条规定 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 第二十五条规定 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 2、针对网络产品、服务的提供者(比如淘宝网站)的义务,规定在第22条 内容为,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 3、针对关键信息基础设施运营者(如电力公司)的网络安全义务是最严格的,因为此主体关系到国计民生,其不仅要履行网络运营者的基本义务,还应当履行更多的安全保护义务。 比如第三十三条规定 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。(三同步) 第三十四条规定 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: A设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; B定期对从业人员进行网络安全教育、技术培训和技能考核; C对重要系统和数据库进行容灾备份; D制定网络安全事件应急预案,并定期进行演练; 第三十八条规定 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
|