全国服务热线:
行业动态
当前位置:主页 > 新闻动态 > 行业动态 >
行业迎来重大升级,网络安全有法可依
添加时间:2020-07-10
  近年来国内网络安全事件频发,我国政府对于信息安全防护建设意识逐渐加强,政策支持力度不断上升。三年内发布了许多法律制度和要求,网络安全正式有法可依,相关的政策法规已经涵盖到从国家网络安全、重点行业信息安全到个人信息保护等各个层面,从顶层设计逐渐向落地实施转变。

网络安全重大升级

2019年开始,数据安全相关政策法规进一步落地。《网络安全等级保护2.0》《网络安全审查办法(正式稿)》发布,是网络安全的一次重大升级,保护对象范围在传统系统的基础上扩大到了云计算、移动互联网、物联网、大数据等;《中华人民共和国密码法》出台,标志着我国在密码的应用和管理等方面有了专门性的法律保障。

网络安全等级保护2.0

等保2.0标准的最高国家政策是网络安全法;

网络运营者应当制定网络安全事件应急预案;

关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;

规定的网络安全保护义务的,由有关主管部门给予处罚,不开展等级保护等于违法;

对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”;

采用“一个中心、三重防护”的理念,事前防御、事中相应、事后审计的动态保障体系;

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体。

中华人民共和国密码法

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理;

核心密码、普通密码用于保护国家秘密信息,属于国家秘密,由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。

《网络安全审查办法(正式稿)》

产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

产品和服务供应中断对关键信息基础设施业务连续性的危害;

产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

产品和服务提供者遵守中国法律、行政法规、部门规章情况;

其他可能危害关键信息基础设施安全和国家安全的因素。

重点行业专项数据安全备受关注

在重点行业信息保护方面,电信和互联网、政府军队、金融等行业相继发布数据安全相关管理办法,对数据安全保护的要求进一步强化和落地。

电信和互联网提升网络数据安全保护能力行动方案

《方案》以解决数据过度采集滥用、非法交易及用户数据泄露等数据安全问题,加快推动构建行业网络数据安全综合保障体系。《方案》提出,在2019年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流APP(手机应用软件)的数据安全检查。

军队保密条例

《条例》全面规范保密工作的地位作用、管理体制、工作职责、基本制度、主要内容,积极打好保密工作主动仗,为军队建设、改革和军事斗争准备提供有力保证。重构重塑军队保密工作管理体制,科学规范军事秘密定密解密工作,健全完善涉密人员教育管理措施,创新军事秘密载体保密管理模式,突出抓好信息网络系统安全保密,严格智能电子设备保密管控,全面加强重大军事活动、新闻宣传、军民融合、对外军事合作、武器装备等重要领域重要事项保密工作。

个人金融信息保护技术规范

《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求;

金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息,也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。

网上银行系统信息安全通用规范

银行业针对新技术出现和应用提出了新的安全要求:增加了虚拟化、云计算安全相关要求;增加国密SM系列算法相关的安全要求。就新的业务和监管要求进行了补充和明确,如增加了条码支付、交易安全锁和Ⅱ、Ⅲ类账户的相关要求;

重新梳理并提升关于业务连续性与灾难恢复、安全事件与应急响应的安全要求在新版规范中,业务连续性与灾难恢复、安全事件与应急响分别单独成节,作为安全管理规范的一部分,提升了相关安全要求。

信息安全开启法制化新阶段

在个人信息保护方面,要求网络在收集、存储、使用个人数据的过程中,要严格保障个人信息安全。《信息安全技术 个人信息安全规范》《网络信息内容生态治理规定》《儿童个人信息网络保护规定》《网络安全审查办法》等规定针对中华人民共和国境内的个人信息、信息服务内容等进行进一步规范。今年更是正式发布了《数据安全法(草案)》,这是我国数据安全法律建设的一个重要进步,意味着我国数据安全建设进入到法治化、制度化、专业化的新阶段。

数据安全法(草案)

坚持总体国家安全观,建立健全的数据安全治理体系;

按照国家规定,确认本行业重要数据保护目录,对列入目录的数据进行分类分级保护;

开展数据活动需要依照法律法规和国家标准,建立数据安全管理要求,开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;

不仅要关注数据静态安全,还要关注数据的动态安全,即数据的全生命周期,包括:采集、传输、存储、使用、共享、交易、公开和删除各个阶段;

为适应电子政务发展的需要,提升政府决策、管理、服务的科学性和效率,应当通过立法明确政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用。

信息安全技术 个人信息安全规范

对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;

向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意;

除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息;

以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;

具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;

在保存和传输信息的时候,不能以明文形式,并且一段时间之后要删除;

对于较大规模的公司(从业人员规模超过200人,或者处理超过50万人的个人信息),需要设置专门的机构和高管来负责信息安全事宜;

今年发布的《规范》修订版在个人信息收集部分增加了“多项业务功能的自主选择”的要求,在多项业务功能需收集用户个人信息的场景下,强调以业务功能作为基本单位,通过规范初始征得用户授权同意、用户关闭或退出特定业务功能等内容,强化保障用户的自主选择,以此破题捆绑授权。

网络信息内容生态治理规定

网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过发布、删除信息以及其他干预信息呈现的手段侵害他人合法权益或者谋取非法利益;

网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动;

网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。

儿童个人信息网络保护规定

按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;

协助网络运营者回应儿童监护人提出的申请;

采取措施保障信息安全,在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

委托关系解除时及时删除儿童个人信息。

将来,国家在法律法规不断完善的基础上会出台各种实施细则,涉及网络安全的配套政策将快速下沉到电信和互联网、工业、教育、农业等各行各业,推动网络安全行业发展。面对网络安全有法可依的大形势,国内专项的数据安全提供商迎来大好形势。亿赛通透明文档加密、内容识别、存储数据防护、应用数据防护,终端数据防护等被动、主动防护方面具有技术优势,并针对九大行业领域细分解决方案,推出“五大产品线”,实现全过程全范围数据防护,逐步从专项数据安全提供商转变为数据安全综合厂商。未来,亿赛通也将凭借自身的产品技术优势,多年的数据安全实践经验,继续为客户做好安全服务,保障用户核心数据无泄露。