2020-04-29 15:25:45
來源:深信服科技
國內網絡安全的治理和政策建設工作正持續加強,《網絡安全法》、網絡安全等級保護2.0國家標準、《密碼法》、《網絡安全審查辦法》等法律法規政策的相繼發布,以及后續《個人信息保護法》、《數據安全法》、《網絡安全等級保護條例》、《關鍵信息基礎設施安全保護條例》等也將陸續發布,監管單位深入開展對于各行業的重要系統及網絡的安全檢查工作,都使得組織單位面臨更加嚴格的網絡安全監管要求。
那么,國內的組織單位需要關注哪些網絡安全相關法律法規?眾多的合規性標準重點在哪里?如何有效開展合規工作?
▲「漫話安全」網絡安全合規篇
安全合規是網絡安全工作的重要基礎。做好以下幾點,合規不難:
首先,應遵循《網絡安全法》等相關法律積極開展網絡安全合規相關工作:
1、網絡安全運營者應落實網絡安全等級保護制度,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改,同時制定網絡安全事件應急預案,并定期組織演練以及保存相應記錄。
2、關鍵信息基礎設施應在網絡安全等級保護制度基礎上,實行重點保護。網絡運營者應設置專門網絡安全管理機構和網絡安全管理負責人,定期對從業人員進行網絡安全教育、技術培訓和技能考核,對重要系統和數據庫進行容災備份。
3、在商用密碼應用合規方面,網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。
4、在個人信息保護方面,網絡運營者應僅采取業務的個人信息,在收集前向個人告知信息處理目的,并取得個人信息主體授權同意。個人信息原則上不得轉讓、披露,確需轉讓、披露時,應遵循相關要求。
5、在數據安全管理方面,網絡運營者應在數據采集、存儲、傳輸、應用、銷毀的每個階段按照相關規定做好安全防護措施。
此外,企業還應當重點關注 “跨境數據安全合規”、“安全事件應急與響應合規”、“ 信息發布合規”和“信息安全管理合規”等重要合規內容,以等級保護安全建設具體要求為基礎同時結合以上重點關注內容要求,主動開展合規管理。
