老王解读:国标有强制性国标和推荐性国标,大部分网络安全国标属于推荐性国标,推荐性国标不具备强制性,但其中的一些强制性的要求是要求严格遵守的。同时,明确了数据安全=完整性+保密性+可用性。老王做了十多年数据安全,在可以为国为民之余,还能有饭吃,表示很欣慰。
第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
老王解读:这一条明确了行业组织要做什么
第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
老王解读:这一条以列举的方式表明了不能做什么的问题。
第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
老王解读:本条明确了网络安全在未成年人保护方面的要求。
第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
老王解读:本条明确了在遭遇网络安全侵权、污染等方面举报维权的权利和权益。
第二章网络安全支持与促进
第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
老王解读:国家在网络安全标准制定方面的总体规定。我国的国标法属于草案征求意见阶段,按照国务院2015年深化标准化工作改革方案的通知中提到的四大类标准,在这里主要提到了国家标准(推荐性和强制性),行业标准。对地方标准、团体标准和企业标准没有涉及。
第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
老王解读:本条主要是指以加大国家课题等方式的投入,促进网络安全技术和产业的发展。
第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
老王解读:本条关键词“鼓励”,这是做安全服务同学的福音。
第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
老王解读:本条提出“国家鼓励开发网络数据安全保护技术和利用技术”,又是数据安全,还鼓励,老王热泪盈眶,感谢党感谢国家。
第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
老王解读:本条讲的主要是网络安全宣传。其实上是把现在做的事情法律话了,从2014年开始,每年9月左右都会办国家网络安全宣传周,各省市也都在办类似的活动。总体来说,现在的安全会议很多很多了,一片锣鼓喧天、鞭炮齐鸣、红旗招展、人山人海的场面,专家都不够用了,催生了一批会棍级选手,更需要的踏实的去做产品,去做好产品。当然,宣传工作永远会重要,永远在路上。
第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
老王解读:这一条讲的是网络安全人才培养的问题。网络安全人才在全球范围内都处于短缺的状态,必经属于一个相对新型的细分行业。2015年7月,“网络空间安全”一级学科获批,越来越多的高校开设专门的网络安全学院。同时,也出现了一批以培养专业网络安全人员为目标的新型创业型企业,整体氛围很好。
第三章网络运行安全
第一节一般规定
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
老王解读:本条规定的是网络运营者的义务(2)。本条款提到的网络安全等级保护制度与公安部运营多年的信息系统安全等级保护制度有非常大的关联,也说明国家会修订或出台相关“网络安全等级保护”的相关配套制度。从条文来看,基本包括管理层面的制度规程和责任人,技术层面的防病毒、入侵检测,日志管理和分析,数据分类,数据备份,数据加密等。老王看到数据分类,数据加密的字眼,又是一个激灵,各位甲方的BOSS们,要认真执行法法律啊。
发表评论