2016年11月7日上午,十二届全国人大常委会第二十四次会议表决,正式通过了《中华人民共和国网络安全法》。网络安全法将于2017年6月1日起施行。《网络安全法》为网络安全保护工作提出了新思路,明确了各参与方的责任归属,在实践中应着重注意以下几点:
一
网络安全与信息化发展并重,将安全纳入信息化建设的进程
《网络安全法》第3条明确规定国家坚持网络安全与信息化发展并重。对于政法行业来说,需要充分考虑当前网络的发展变化,了解网络空间包括的多个层次:封闭的专网,和互联网有互动的办公网,手机、iPad端所代表的移动互联网,摄像头等所代表的物联网。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。不同的网络特性需要考虑不同的安全策略,需将安全纳入到信息化系统的建设过程中。
二
推进行业标准的制定和网络安全治理体系的建立
《网络安全法》第7条明确提出有关标准制定和网络安全治理体系的内容,第12条也明确提出支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。因此,国家制定国家的网络安全标准,其他主体需从自身实际情况和业务特性出发积极推进行业标准的制定,并制定出高度贴合本行业的网络安全治理体系。
三
建立长效信息反馈机制,加强网络安全创新管理
1、《网络安全法》对信息投诉、举报及处理做出了明确规定,政法行业可通过移动互联网和传统互联网相结合的模式接受群众意见。最近国务院客户端“简政放权,我来@国务院”意见征集活动就是一次利用新媒体的很好的实践典范。
2、《网络安全法》明确指出国家支持创新网络安全管理方式,政法行业网络安全也不能再局限于传统的网络安全技术与产品,需要结合办公移动化这一客观趋势,考虑将移动互联网云安全技术、应用层安全防御技术、移动互联网传输安全/数据安全技术等新型安全技术应用于政法系统的网络安全管理中。
3、《网络安全法》明确规定鼓励企业、机构开展网络安全认证、检测和风险评估等安全服务。政法行业涉及大量的信息沟通与业务协同,在新技术的推动下,更加需要注重和企业合作,做好安全服务。相比较之下,传统网络建设经历了比较长的时间,相对比较成熟,而新兴的移动互联网安全及服务需要加强,包括学习、提高移动互联网有关知识体系,制定相应的认证标准,增加安全检测手段,恶意软件、物理安全、数据备份等的风险评估。
四
保障关键信息基础设施和网络的安全运行
1、《网络安全法》明确了内部安全管理制度和操作规定,要求确定网络安全负责人,落实网络安全保护责任,避免由于人的因素引发网络安全事件。事实上,近年诸多重大信息泄露事件里人的因素影响显著。所以确认责任人,让安全管理流程化、自动化意义深远。
2、《网络安全法》中明确指出网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,政法行业采购或使用核心网络设备和网络安全设备时需注意设备是否满足相关规定。例如,是否具备公安部等机关的认证、销售许可证,CCC认证等。不仅如此,还需要保证所使用的产品安全、可控。
3、《网络安全法》中明确了重要行业和领域的关键信息基础设施保护,政法行业应积极做好“信息安全等级保护”评估与自查,确保符合国家要求的安全等级。
4、《网络安全法》重申了网络日志的重要性,在实际操作和使用过程中,相关设备的日志输出和备份工作应该常态化,并保存备查。相关设备包括终端设备(音视频设备、物联网设备、虚拟现实设备等),网络设备(路由器、交换机、防火墙、业务服务器等)、应用软件(传统和移动APP等)。
5、《网络安全法》明确了检测评估规定,政法行业需要对系统、网络、应用做检测评估,包括漏洞扫描及安全评估等安全服务。检测评估的对象应该包括服务器操作系统、业务系统、有线网络、无线网络、3G/4G、移动终端、移动APP等。
6、政法行业需要考虑网络、系统数据、网络数据的存储、传播、交互等各环节是否在可控范围内。需要保障网络的可用性、健壮性,以便对安全事件进行审计、查询、追溯。鉴于政法行业的特殊性质,应维护系统内数据的保密性,同时需保证数据不被篡改、破坏。
五
进一步完善个人信息保护规则
《网络安全法》提出要加强个人信息保护,对网络运营者主体的法律责任和义务做出了全面规定,并进一步量化了个人信息泄露的处罚制度。中央网信办正制定个人信息收集规范标准,将更好地保护个人信息。对于政法行业来说,需要推动并严格执行网络安全法中关于个人信息保护的有关规定,并从政法行业立法角度去推动健全相关法律法规。
六
加快建立安全监测预警与应急处置制度
1、依照《网络安全法》中关于安全监测预警与应急处置制度的相关规定,政法行业应依法建立网络安全监测预警,对核心关键信息设施(应包括数据库服务器、网络设备、安全设备、移动APP)数据进行实时搜集、分析,对异常情况(安全事件)做出及时响应和通报。
2、依照《网络安全法》第53条的有关规定,政法行业同样需要建立有效的安全事件管理制度,并尝试进行攻防演练,深入了解系统安全性并制定突发事件的响应策略。
3、《网络安全法》总则第8条明确规定了有关机关在各自职责范围内负责网络安全保护和监督管理工作。政法行业应承担起对本行业内网络安全进行保护和监督管理的职责。
网络安全法的出台为切实维护我国网络安全奠定了法治基础,下一步要加强部门间信息共享与业务协同,加快研究制定个人信息保护法等配套法律体系,完善相关司法解释,理顺网络执法机制,做好内部信息安全管控进而对本行业进行监督和保护等。另一方面,应加快建立政府引领,企业、社会组织、技术社群、公民等网络利益相关者共同参与、相互协作的互联网治理机制。
本文转自d1net(转载)