一.导言
「网络运营商」的定义是什么?这个问题可能很多安全管理者都不清楚,更别说履行法律义务和管理合规风险了。希望这篇文章能对一些安全管理者有所帮助,也希望你转发给朋友。作者和朋友们会感谢你们的!
大多数网络运营商同时也是数据处理者。企业既要遵守数据安全法,也要遵守网络安全法。
二。法律法规的规定
第九条网络经营者必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实守信,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
数据安全法第二条本法适用于中华人民共和国境内的数据处理活动和安全监督。
网络安全漏洞管理规定第五条网络产品提供者、网络运营者、网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,保存网络产品安全漏洞信息接收日志不少于6个月。
个人信息保护法第三条本法适用于中华人民共和国境内的组织和个人处理自然人个人信息的活动。
三。网络运营商的定义
第七十六条网络经营者是指网络所有者、管理者和网络服务提供者。
网络运营商覆盖面广,对于有一定信息化水平的中小企业同样适用。他们是金融、政府、集团企业、上市公司和互联网公司的重要网络运营商,信息化程度较高。
这里的“网络”不是狭义的通信网络,而是广义的网络空,包括业务系统、基础设施、数据和用户。
四。网络运营商的法律义务
作为网络运营商,在网络安全法、数据安全法、网络产品安全漏洞管理规定、个人信息保护法等法律法规中有明确的义务和要求,包括但不限于以下内容:
网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保护网络不受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
采取技术措施,防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为;
采取技术措施监控和记录网络运行状态和网络安全事件,并按照规定保存相关网络日志不少于六个月;
采取数据分类、重要数据备份、加密等措施;
法律、行政法规规定的其他义务。
第二十七条数据安全法开展数据处理活动,应当按照法律法规的规定,建立健全全过程数据安全管理制度,组织数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动时,应当依据网络安全等级保护制度履行上述数据安全保护义务。重要数据处理者应当明确数据安全责任人和管理机构,落实数据安全保护责任。第二十九条开展数据处理活动应当加强风险监控,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取措施进行处理,及时通知用户,并按照规定向有关主管部门报告。
网络安全漏洞管理规定第五条网络产品提供者、网络运营者、网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,保存网络产品安全漏洞信息接收日志不少于6个月。第八条网络运营者发现或者获悉其网络、信息系统及其设备存在安全漏洞时,应当立即采取措施,及时验证安全漏洞并完成修复。
四。网络运营商的合规风险
网络运营商可以通过网络系统提高主营业务的质量和效率。网络安全不再是一个选项,而是业务流程中的一个必要选项。网络安全合规出现问题,肯定会直接或间接地影响他们主业的发展。
网络运营商的合规风险有很多特点。作者举了一个简单的例子如下:
1.等级保护和管理系统不符合要求。
《网络安全法》要求“网络运营者和经营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务”,因此网络运营者应当按照等级保护2.0的要求进行分级、备案和评估;同时要求“制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”。因此,网络运营商应完善企业规章制度,建立网络安全管理组织,明确网络安全保护责任。
2.技术措施不合规。
《网络安全法》要求“应当采取技术措施,对网络运行状态和网络安全事件进行监控和记录,相关网络日志应当按照规定至少保存六个月”。因此,网络运营商应该建立完善的日志平台,网络日志仍然只存储在网络设备和服务器本地已经不符合要求,因为一旦被入侵,可以清除网络日志。
3.技术保护不合规。
《网络安全法》要求“应当采取技术措施,防范计算机病毒、网络攻击、网络入侵以及其他危害网络安全的行为”。因此,网络运营商必须根据自身的网络安全状况和业务特点构建安全防护体系。如果出现大的信息安全事件,可能会被认定为技术保护不合规。同时,过去简单的按照规章制度的要求堆砌设备或安保系统已经不能满足合规要求,只有系统化、操作化才能有效保障。
4.安全管理不合规。
《网络安全漏洞管理规定》要求,“网络产品提供者、网络运营者、网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道,保持畅通”。因此,网络运营商必须公布安全漏洞信息接收渠道,通过安全运行进行日常管理和快速响应。等待漏洞通知的安全管理不合规。当出现大的信息安全事件时,已经不能通过灭火来完全消除影响。行政处罚是执法机关的常规手段,出现过很多企业和管理者“双罚”的案例。
5.数据管理不合规。
《数据安全法》要求,“应当按照法律法规的规定开展数据处理活动,建立健全全过程数据安全管理制度,组织数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”因此,网络运营商必须大力投资于数据管理。如发生数据泄露,可视为数据管理不合规,最高可处以1000万元罚款。
6.个人隐私保护不合规。
安全法要求“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集人同意,不得向他人提供个人信息。”因此,网络运营商在数据收集、存储、使用、处理、传输、提供、披露等方面都有合规要求。,而网络运营商需要通过有效的管理手段进行规范处理。同时,《个人信息保护法》即将发布。最近有大量app因为不符合个人隐私条款而被通报甚至下架。可以预见,未来几年,公众的个人隐私保护意识将不断加强,个人信息的保护将是合规管理的重点。
动词 (verb的缩写)结束语
在制定国家法律法规和对违法违规行为的处罚方面取得了很大进展。可以预见,大量的信息安全处罚将陆续出现,处罚金额将不断刷新纪录。信息安全不再是技术部门的业务,安全业务的范围涵盖了企业主营业务的方方面面。发生信息安全事件,第一责任人是企业法定代表人,对企业法定代表人的处罚也会陆续出现。
安全管理需要迈步向前,紧盯最新监管要求,做到主动合规,真正实现安全管理为主业保驾护航。
-文章结尾-
注:作者陈建茂,金融从业者,十余年信息安全管理经验。
