《网络安全法德勤解读v10资料》由会员分享,可在线阅读,更多相关《网络安全法德勤解读v10资料(27页珍藏版)》请在金锄头文库上搜索。
1、中国网络安全开启新纪元,如何应对网络安全新中国网络安全开启新纪元,如何应对网络安全新挑战挑战做好准备做好准备,全面全面应对网络安全法应对网络安全法2017年1月风险咨询德勤中国2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.2网络安全法概述网络安全法概述网络运行安全目录个人信息保护与监管机构的互动总结2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,please
2、contactDeloitteChina.3第一章总则14条规定简述法律目的,范围,总则,部门职责,总体要求等第二章网络安全支持与促进6条规定定义国家直属部门、政府在推动网络安全工作上的职责第三章网络运行安全19条规定定义网络运营者与关键信息基础设施的运行安全规定第一节一般规定10条规定针对网络运营者的网络运行安全要求与职责规定第二节关键信息基础设施的运行安全9条规定针对关键信息基础设施的安全规定与保护措施要求第四章网络信息安全11条规定定义个人信息保护的保护规定第五章监测预警与应急处置8条规定定义国家网络安全监测预警与汇报机制第六章法律责任17条规定定义处罚规定第七章附则4条规定相关名词释义
3、与其他附则中华人民共和国主席令中华人民共和国主席令第五十三号第五十三号中华人民共和国网络安全中华人民共和国网络安全法法已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自20172017年年66月月11日日起施行。中华人民共和国主席2016年11月7日网络安全网络安全法法背景背景合计79条法规要求中,对企事业单位来说,具体操作性的法规要求38条(第三章、第四章、第五章)2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDelo
4、itteChina.4网络安全法重点网络安全法重点关注关注内容内容个人权利个人信息保护要求投诉、举报处理机制网络安全保护义务网络关键设备和网络安全专用产品设备网络安全事件应急预案安全评估监测安全事件上报参与应急演练通过网络安全法解读,针对企事业单位来说(网络运营者),网络安全法最核心、最重点内容体现下面三个领域:监管机构互动监管机构互动个人信息保护个人信息保护网络运行安全网络运行安全2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.5网络安全法概述网络
5、运行安全网络运行安全目录个人信息保护与监管机构的互动总结2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.6智能制造(工业互联网/物联网/智能装备)即时通讯、网上购物、网上支付大型数据中心、云计算平台危化品管控、高风险工业设施运行管控办公系统、企业运营管理系统、工业控制系统搜索引擎、邮件、论坛、地图、音视频网站移动应用平台域名服务网站,党政网站、企事业网站、新闻网站企业资源管理系统物流管理系统客户服务系统网络运营网络运营者(举例者(举例)关键信息基础设
6、施(举例)关键信息基础设施(举例)电子邮箱网络运营者与关键信息基础设施运营者网络运营者与关键信息基础设施运营者2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.7网络运营者关键信息基础设施运营者定义:网络运营者,是指网络的所有者、管理者和网络服务提供者定义:公共通讯和信息服务、能源、交通、水利、金融、交通、公共服务、电子政务等重要行业和领域,以及其他一旦遭受破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施制度人员规
7、定防病毒和网络入侵网络监测和日志数据分类、备份加密网络事件应急预案服务提供实名制专门机构和专岗定期培训考核系统与数据容灾备份应急预案并定期演练重要数据和个人信息境内存储至少每年安全评估安全要求设备与产品认证产品、服务需符合标准保密协议采购产品与服务安全审查网络网络运行安全运行安全的关键性的关键性要求要求制度人员规定防病毒和网络入侵网络监测和日志数据分类、备份加密网络事件应急预案服务提供实名制设备与产品认证产品、服务需符合标准2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDel
8、oitteChina.8第10条第21条第21(4)条第31条第34(3)条第37条网络安全法网络安全法网络运行安全重点环节-网络数网络数据安全管理据安全管理网络数据指通过网络搜集、存储、传输、处理和产生的各种电子数据网络数据指通过网络搜集、存储、传输、处理和产生的各种电子数据规定维护网络数据的完整性、保密性和可用性防止网络数据泄露或者被窃取、篡改采取数据分类、重要数据备份和加密等措施国家对一旦遭到破坏、丧失功能或者数据泄露实行重点保护。对重要系统和数据库进行容灾备份重要数据和境内搜集的个人信息在境内存储数据安全数据保护数据传输数据加密数据存储数据备份关键应对关键应对之一:网络之一:网络数据安
9、全数据安全2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.9数据生成存储与使用归档与销毁数据共享数据分类数据分级定义数据质量数据服务数据流图(盘点)数据使用安全标准数据媒介管理数据泄漏保护数据库活动监控数据屏蔽数据加密数据传输安全标准数据存储媒介数字版权管理数据访问管理数据归档安全标准数据销毁安全标准数据备份及恢复数据资产数据资产清单清单网络运营者建立以数据分类分级为核心,数据生命周期为切入的,系统性数据安全管理框架关键应对关键应对之一:网络之一:网
10、络数据数据安全框架安全框架数据产生、获取存储使用共享归档销毁数据生命周期2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.10识别数据范围识别数据范围维护数据场景维护数据场景基于场景基于场景风险评估风险评估制定制定数据数据安全标准安全标准规划技术规划技术管控蓝图管控蓝图制定数据泄露制定数据泄露紧急预案紧急预案业务驱动,优先级排序、定义重要数据分类包括数据项、数据子项、甚至数据字段,并定义对应的安全保护级别基于数据生命周期,识别数据载体在搜集、使用、共享
11、、传输、存储、销毁的场景(岗位、系统、第三方等)基于已识别的场景,识别评估潜在的安全风险,了解当前的管控现状制定不同级别数据、在数据生命周期需遵循的数据安全管理要求,包括人防和技防基于风险评估结果,对照数据安全标准,制定未来技术措施实施路线图对照网络安全安全事件紧急预案,制定数据泄露紧急预案外部公开级内部使用级秘密级限制级管理流程风险评估数据防泄露数据分类应急预案应急演练人员管理威胁程度脆弱性管控措施1业务分类业务分类数据分类数据分类2风险评估风险评估制定标准制定标准3技术落地技术落地应急演练应急演练数据加密关键应对关键应对之一:网络之一:网络数据数据安全框架(续)安全框架(续)2016.Fo
12、rinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.11无法预测网络安全事件的性质、位置和影响,但网络安全事件响应可以遵循一个可预测的轨迹没有任何企业可以实现完全的网络安全要避免事件上升到危机的程度,就要建立全方位的危机管理能力就绪就绪响应响应恢复恢复网络安全监测与预警网络安全危机预案网络安全危机演练损害评估损害控制舆情监控危机公关资源协助相关方通报业务或系统恢复证据保全分析与报告持续改进关键应对之关键应对之二:网络二:网络安全危机管理框架安全危机管理框架2016.F
13、orinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.12管理层管理层事件最高决策督促执行最高决策事件事件管理组管理组信息收集与汇报协助执行事件处理决策公关公关媒体组媒体组媒体管理与沟通主管机构沟通网络事件处理小组网络事件处理小组执行事件处理方案管理项目执行组调查评估组调查评估组信息技术组计算机取证专家外部顾问沟通协调组沟通协调组内部利害关系人沟通管理除媒体外利害关系人管理沟通设计与实施网络安全危机管理的核心六大能力治理治理策略策略技术技术业务运营业务运营风险与合规风
14、险与合规纠正与改进纠正与改进关键应对之二:网络安全危机管理框架(续)关键应对之二:网络安全危机管理框架(续)2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.13网络安全法概述网络运行安全目录个人信息保护个人信息保护与监管机构的互动总结2016.Forinformationonly,donotdiscloseandtransfertoclient.Ifanyrequest,pleasecontactDeloitteChina.14“个人个人信息信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。.”-网络安全法
