标题:关键信息基础设施运营者的网络安全责任与义务
一、引言
随着信息技术的飞速发展,关键信息基础设施在国家经济、社会和国家安全中发挥着越来越重要的作用,网络安全法的出台,为关键信息基础设施的保护提供了法律依据和保障,本文将根据网络安全法的规定,探讨关键信息基础设施运营者的网络安全责任与义务。
二、关键信息基础设施的定义和范围
网络安全法第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法,由国务院制定。”
根据这一规定,关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的信息系统和网络设施,以及其他对国家安全、国计民生、公共利益具有重要影响的信息系统和网络设施。
三、关键信息基础设施运营者的网络安全责任与义务
(一)制定网络安全策略和计划
网络安全法第二十一条规定:“国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。”
关键信息基础设施运营者作为重要的网络运营者,应当按照网络安全等级保护制度的要求,制定网络安全策略和计划,明确网络安全目标和任务,确定网络安全管理机构和人员,落实网络安全保护责任。
(二)采取安全技术措施
网络安全法第二十二条规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
关键信息基础设施运营者在收集、使用用户信息时,应当遵守网络安全法和有关法律、行政法规的规定,采取必要的安全技术措施,保障用户信息的安全,采用加密技术对用户信息进行加密存储和传输,采用访问控制技术对用户信息的访问进行限制和管理,采用数据备份技术对用户信息进行定期备份和恢复等。
(三)加强网络安全监测和预警
网络安全法第二十三条规定:“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供,国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”
关键信息基础设施运营者在采购网络关键设备和网络安全专用产品时,应当选择符合国家标准的强制性要求,并取得相关机构的安全认证合格或者安全检测符合要求的产品,关键信息基础设施运营者应当加强对网络关键设备和网络安全专用产品的监测和预警,及时发现和处理安全隐患和安全事件。
(四)建立健全网络安全管理制度
网络安全法第二十四条规定:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息,用户不提供真实身份信息的,网络运营者不得为其提供相关服务,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”
关键信息基础设施运营者在为用户提供网络服务时,应当建立健全网络安全管理制度,要求用户提供真实身份信息,并对用户身份信息进行严格管理和保护,关键信息基础设施运营者应当加强对网络服务的安全管理和监督,防止网络服务被滥用或者被用于违法犯罪活动。
(五)加强网络安全应急处置能力
网络安全法第二十七条规定:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”
关键信息基础设施运营者在发现网络安全事件时,应当立即采取措施,防止事件扩大,并及时向有关部门报告,关键信息基础设施运营者应当加强网络安全应急处置能力建设,制定应急预案,定期进行演练,提高应急处置能力和水平。
四、结论
关键信息基础设施的安全保护是网络安全工作的重要组成部分,网络安全法的出台,为关键信息基础设施的保护提供了法律依据和保障,关键信息基础设施运营者作为重要的网络运营者,应当认真履行网络安全责任和义务,采取有效措施,保障关键信息基础设施的安全,政府部门应当加强对关键信息基础设施运营者的监督和管理,推动关键信息基础设施的安全保护工作不断深入开展。
评论列表