《网络安全法下关键信息基础设施运营者的责任与禁忌》
根据网络安全法规定,关键信息基础设施的运营者应当自行履行一系列严格的网络安全保护义务,同时也有诸多不能为之事。
一、关键信息基础设施运营者应自行承担的责任
1、安全保护体系构建
- 关键信息基础设施运营者要自行建立健全网络安全保护制度和责任制,这意味着从企业的高层管理到基层员工,都要有明确的网络安全职责划分,在一家大型金融机构中,高层管理者需要制定网络安全战略规划,确定安全投入的预算和资源分配;技术部门则要负责具体的安全技术措施的实施,如防火墙的设置、入侵检测系统的维护等;而普通员工也需要遵守企业的网络安全操作规范,不随意点击可疑链接,防止因人为疏忽导致的安全漏洞。
图片来源于网络,如有侵权联系删除
- 运营者必须自行采取技术措施和其他必要措施,保障网络安全、稳定运行,技术措施包括加密关键数据、进行网络访问控制等,对于一家电商平台的运营者来说,要对用户的交易信息、个人隐私数据进行加密存储,防止数据在传输和存储过程中被窃取,通过设置访问权限,只允许经过授权的人员访问核心业务系统,从而保障网络的稳定运行,避免因恶意攻击或意外事故导致服务中断,影响用户体验和企业声誉。
2、应急响应与数据备份
- 自行制定网络安全事件应急预案是关键信息基础设施运营者的重要任务,在网络安全威胁日益复杂的今天,如面对DDoS攻击、勒索软件入侵等情况,运营者要有预先制定好的应对方案,当遭遇DDoS攻击时,运营者应能够迅速启动应急预案,通过流量清洗设备或者借助云服务提供商的抗DDoS能力,将恶意流量进行过滤,保障正常业务流量的通行。
- 运营者还需要自行对重要系统和数据进行备份,对于数据中心运营者而言,要定期备份存储在服务器上的海量数据,包括用户注册信息、业务交易记录等,这些备份数据应存储在安全的异地位置,以防止因本地数据中心遭受自然灾害(如火灾、洪水)或者恶意破坏(如黑客攻击导致数据删除)而造成数据丢失,确保在紧急情况下能够快速恢复业务运营。
图片来源于网络,如有侵权联系删除
二、关键信息基础设施运营者不能做的事
1、禁止违规收集与使用数据
- 运营者不能未经用户同意收集用户个人信息,在当今的数字时代,用户数据是非常宝贵的资源,但运营者必须在合法合规的框架内获取数据,一款手机应用程序运营者不能在用户安装应用时,隐藏其收集用户通讯录、地理位置等信息的意图,必须明确告知用户并获得用户的明确授权,也不能超范围使用用户数据,一个健身类应用不能将用户的健身数据出售给保险公司用于风险评估,除非得到用户的另行同意。
2、不得拒绝监管与安全审查
图片来源于网络,如有侵权联系删除
- 关键信息基础设施运营者不能拒绝相关部门的监督检查和安全审查,政府部门对关键信息基础设施进行监督检查是为了确保国家安全、社会稳定和公民权益,运营者必须配合相关部门的工作,如实提供相关信息,当国家安全部门对某电信运营企业进行网络安全审查时,该企业不能以商业机密等理由拒绝提供网络架构、数据流向等必要信息,这是因为这些基础设施的安全不仅关系到企业自身的利益,更关系到整个国家的网络空间安全和社会公共利益。
3、严禁使用未经安全审查的网络产品和服务
- 运营者不能使用未经国家安全审查的网络产品和服务,在全球化的背景下,网络产品和服务来源广泛,但为了防止潜在的安全风险,如后门植入等情况,关键信息基础设施运营者必须确保所使用的产品和服务经过国家安全审查,一家电力企业不能随意采购国外来源不明的网络监控设备用于电网控制系统,必须确保这些设备经过严格的安全审查,符合国家网络安全要求,否则可能会给国家的电力供应系统带来严重的安全隐患。
评论列表