Loading
0

全面透视|老王逐条解读网络安全法

' ZhaoHuan 2016年12月25日 安全焦点 163 0

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
老王解读:本条首先定义了什么是关键信息基础设施,本条款在定义过程中,一审稿、二审稿到最终稿,描述一直在调整,说明不同的部门和单位对关键信息基础设施的范围存在较大的争议,最终以常见的例举和兜底描述相结合的方式对范围进行了定义。
这里边有两个问题,一是关键信息基础设施的具体范围。按照计划,依据2016年6月中央网信办制定的《国家网络安全检查操作指南》,截至到2016年12底将基本完成对关键信息基础设施的摸底排查工作。而关键信息基础设施保护的立法也是明年网络安全立法的重点。在这里再说一下我的一点看法,按照目前操作指南的标准,关键信息基础设施的量太大,这么大的规模和数量纳入保护范围,很难突出重点,效果反而打了折扣,在关键信息基础设施中再进行区分,或者有些系统和平台就不应该纳入关键信息基础设施。
二是关键信息基础设施怎么保护的问题,这将是2017年网络安全立法的重点。其中一个核心的问题是与目前等级保护的关系,相信也会在明年明确下来。
本条也说明了将来会出台“关键信息基础设施保护办法”(新)。

第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
老王解读:本条主要讲的是谁来负责的问题。本条也说明了将来会出台“关键信息基础设施安全规划”(新)。

第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
老王解读:本条主要讲的是怎么建设关键信息基础设施的问题。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
老王解读:本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
老王解读:在网络安全法出炉之前,美国商会等46家来自美洲、欧洲、亚洲和大洋洲等地区的国际企业团体联名给国务院写信抗议,其核心就在于本条的国家安全审查。由于外企很难如数提供相关设计图纸、源代码等审核资料,因而认为该法增加了贸易壁垒。在老王看来,本法案给外企带来市场准入的问题是必然的,外企抗议也在情理之中,但值得注意的是,这并非中国特例,美国欧洲都有相应的法律条款,而且已经做了10多年了。所以说,我们不是制定的太严格了,而是太晚了,还在补课阶段。
第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
老王解读:本条的关键字是:“采购”“保密协议”。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
老王解读:本条也是外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的问题。核心是数据安全。这里有两个关键词,一个是“重要数据”,什么是重要数据,相关的常见提法还有“业务数据”、“运营数据”、“服务数据”、“个人数据”、“企业数据”、“国家数据”,老王认为,重要数据是从影响因子的权重来区分数据,是一种新的数据分类方式,而不是从用途和归属的角度去分类。
另一个关键词是“安全评估”,这个安全评估的方式也是将来要出台的配置制度。相关问题也并不清晰,例如评估对象的问题,是对要流向境外的数据进行评估?还是对业务的模式进行评估?还有谁来评估的问题,是主管单位来评估,还是运营者自己进行评估?
本条也说明了将来会出台“向境外提供关键信息基础设施重要数据的安全评估办法”(新)。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
老王解读:本条主要是关于对关键信息基础设施年度检测评估的问题。这里提到了网络安全服务机构,做安服业务的朋友开心了,又多了一块业务。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
老王解读:本条主要是从组织层面,对网信主管部门的要求。提到了政府主管部门的风险评估,特别提到了可以必要时委托网络安全服务机构可以做检测评估,赛迪以后对安服的市场预测是不是可以做的再大一点了。这里又提到了信息共享的问题,如何建立安全快捷有效的信息共享体系是一个必须解决的问题。
第四章网络信息安全
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

分页阅读: 1 2 3 4 5 6 7
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。