网络安全法学习.ppt

中华人民共和国网络安全法学习 目标： 保障网络安全，维护网络空间主权和国家安全、社会公 共利益，保护公民、法人和其他组织的合法权益，促进 经济社会信息化健康发展。 范围： 在中华人民共和国境内建设、运营、维护和使用网络， 以及网络安全的监督管理，适用本法。 总览： 法律条文 共7章，79条 2016年11月7日发布 2017年6月1日起施行 概述 概述 六大亮点： 明确了网络空间主权的原则。 明确了网络产品和服务提供者的安全义务。 明确了网络运营者的安全义务。 进一步完善了个人信息保护规则。 建立了关键信息基础设施安全保护制度。 确立了关键信息基础设施重要数据跨境传输的规则。 三个重要概念 “关键信息基础设施“是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施 “信息安全等级保护“是指对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段 信息系统安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 “网络运营者“是指网络的所有者、管理者和网络服务提供者。 总则 网络运营者职责： 遵守法律、行政法规，履行网络安全保护义务。 接受政府和社会的监督，承担社会责任。 保障网络安全、稳定运行，维护网络数据的完整性、必威体育官网网址性和可用性。 行业组织职责： 网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。 网络运行安全 网络安全等级保护制度： 第二十一条规定，国家实行网络安全等级保护制度。安全保护义务包括： （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施； （五）法律、行政法规规定的其他义务。 网络运行安全 网络产品和服务： 符合相关国家标准的强制性要求。 不得设置恶意程序。 发现存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。 用户信息和个人信息合规。 网络关键设备和网络安全专用产品： 应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。 网络运行安全 法律义务： 建设要求：业务运行稳定可靠，并保证安全技术措施同步规划、同步建设、同步使用。 安全保护：专门的安全管理机构和安全管理责任人；安全教育、培训和考核；容灾备份；制定应急预案，并定期进行演练； 必威体育官网网址要求：签订安全必威体育官网网址协议，明确安全和必威体育官网网址义务与责任。 境内存储：个人信息和重要数据应当在境内存储。 检测评估：对网络的安全性和风险每年至少进行一次检测评估，报送检测评估情况和改进措施。 网络信息安全-数据保护 用户信息保护要点： 收集：合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 保护：不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。建立健全用户信息保护制度 删除权与更正权：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现信息有错误的，有权要求网络运营者予以更正。 网络信息安全-网络行为 行为要求： 任何个