14+第十四章-網(wǎng)絡(luò)安全合規(guī)審查課件

網(wǎng)絡(luò)安全法教程

第十四章

網(wǎng)絡(luò)安全合規(guī)審查第十四章

網(wǎng)絡(luò)安全合規(guī)審查【內(nèi)容提要】隨著《網(wǎng)絡(luò)安全法》的出臺，網(wǎng)絡(luò)安全合規(guī)工作愈發(fā)重要。為了降低企業(yè)網(wǎng)安合規(guī)風(fēng)險，越來越多的企業(yè)開始啟動網(wǎng)絡(luò)安全合規(guī)服務(wù)。本章旨在系統(tǒng)闡釋網(wǎng)絡(luò)安全合規(guī)基本原理（網(wǎng)絡(luò)安全合規(guī)的概念、主體和依據(jù)等）和網(wǎng)絡(luò)安全合規(guī)審查的內(nèi)容。第一節(jié)

網(wǎng)絡(luò)安全合規(guī)概述

一、網(wǎng)絡(luò)安全合規(guī)的概念（一）“合規(guī)”的含義（二）合規(guī)的要素

規(guī)則的識別

規(guī)則的遵守

規(guī)則的運行（三）網(wǎng)絡(luò)安全合規(guī)的界定（三）網(wǎng)絡(luò)安全合規(guī)的界定網(wǎng)絡(luò)安全合規(guī)，是指網(wǎng)絡(luò)運營者應(yīng)當(dāng)全面遵守網(wǎng)絡(luò)安全法律（如《網(wǎng)絡(luò)安全法》）、國家標(biāo)準(zhǔn)（如《個人信息安全規(guī)范》）及相關(guān)文本規(guī)范，避免遭受法律制裁或監(jiān)管處罰。二、網(wǎng)絡(luò)安全合規(guī)的主體《網(wǎng)絡(luò)安全法》語境下的“網(wǎng)絡(luò)運營者”是一個非常廣泛的概念，包括網(wǎng)絡(luò)（各種網(wǎng)絡(luò)和觸網(wǎng)的系統(tǒng)，例如局域網(wǎng)、工業(yè)控制系統(tǒng)、自動化辦公系統(tǒng)、社交媒體等）的所有者、管理者（含網(wǎng)絡(luò)或內(nèi)容管理）和網(wǎng)絡(luò)服務(wù)提供者（包括網(wǎng)絡(luò)內(nèi)容服務(wù)提供商、網(wǎng)絡(luò)平臺服務(wù)提供商、網(wǎng)絡(luò)接入服務(wù)提供商。從廣義上來說，還包括《網(wǎng)絡(luò)安全法》第二十二條提到的“網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者”）。三、網(wǎng)絡(luò)安全合規(guī)的依據(jù)網(wǎng)絡(luò)安全合規(guī)的依據(jù)不僅僅包括《網(wǎng)絡(luò)安全法》，同時包括消費者權(quán)益

保護法、民法總則、刑法等基本法。同時還包括全國人大的決定以及其他單行法規(guī)（例如國務(wù)院292號令）、規(guī)章（例如工信部24號令）等，相關(guān)法律法規(guī)、司法解釋、國家技術(shù)標(biāo)準(zhǔn)和政策文件等也是網(wǎng)絡(luò)安全合規(guī)的依據(jù)。第二節(jié)

網(wǎng)絡(luò)安全合規(guī)審查的內(nèi)容一、網(wǎng)絡(luò)安全等級保護的合規(guī)審查網(wǎng)絡(luò)安全等級保護制度作為保障和促進我國信息化建設(shè)健康發(fā)展的一項基本制度，不做等級保護（簡稱“等保”）工作就是不合規(guī)行為。合規(guī)要點之一：審查是否定級和備案，并進行合規(guī)審查。合規(guī)要點之二：審查是否落實“建設(shè)整改”工作，并進行合規(guī)審查。合規(guī)要點之三：審查是否開展“等級測評”工作，并進行合規(guī)審查。合規(guī)要點之四：審查是否開展“監(jiān)督檢查”工作，并進行合規(guī)審查。【延伸閱讀】某事業(yè)單位網(wǎng)站違反網(wǎng)絡(luò)等級安全等級保護制度被處罰案件案情簡介：山西忻州市某省直事業(yè)單位網(wǎng)站存在SQL注入漏洞，嚴(yán)重威脅網(wǎng)站信息安全，連續(xù)被國家網(wǎng)絡(luò)與信息安全信息通報中心通報。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條第二款之規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；第五十九條第一款之規(guī)定，網(wǎng)絡(luò)運營者不履行第二十一條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，依法予以處置。山西忻州市網(wǎng)警認(rèn)為該單位之行為已違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，忻州市、縣兩級公安機關(guān)網(wǎng)安部門對該單位進行了現(xiàn)場執(zhí)法檢查，依法給予行政警告處罰并責(zé)令其改正。二、關(guān)鍵基礎(chǔ)信息設(shè)施安全的合規(guī)審查

《網(wǎng)絡(luò)安全法》第三章第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施”首次對關(guān)鍵信息基礎(chǔ)設(shè)施運營者（CIIO）的網(wǎng)絡(luò)安全義務(wù)從法律層面予以規(guī)定，對CIIO提出了比一般網(wǎng)絡(luò)運營者更高的法定安全保護義務(wù)。合規(guī)要點之一：完成關(guān)鍵信息基礎(chǔ)設(shè)施的識別與確定是合規(guī)整改的前提合規(guī)要點之二：審查政策文件要求落實情況合規(guī)要點之三：審查國家安全標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等執(zhí)行情況合規(guī)要點之四：審查信息安全等級保護落實情況合規(guī)要點之五：審查個人信息和重要數(shù)據(jù)保護情況合規(guī)要點之六：審查安全管理機構(gòu)設(shè)置和人員安全管理情況合規(guī)要點之七：審查安全管理保障體系落實情況合規(guī)要點之八：審查備份與恢復(fù)情況；審查應(yīng)急響應(yīng)與處置情況三、網(wǎng)絡(luò)信息安全的合規(guī)審查合規(guī)要點之一：個人信息收集的合規(guī)審查合規(guī)要點之二：個人信息保存的合規(guī)審查合規(guī)要點之三：個人信息的使用合規(guī)要點之四：個人信息的委托處理合規(guī)要點之五：個人信息共享、轉(zhuǎn)讓和公開披露的合規(guī)審查合規(guī)要點之六：個人信息跨境傳輸?shù)暮弦?guī)審查合規(guī)要點之七：個人信息安全事件處置的合規(guī)審查合規(guī)要點之八：組織管理的合規(guī)審查關(guān)于網(wǎng)絡(luò)內(nèi)容審查的內(nèi)容，主要包括但不限于以下方面：合規(guī)要點之一：管理用戶發(fā)布信息的義務(wù)合規(guī)要點之二：網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)信息管理義務(wù)合規(guī)要點之三：網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全維護義務(wù)四、數(shù)據(jù)本地化和出境安全合規(guī)審查合規(guī)要點之一：熟悉數(shù)據(jù)出境安全評估總體流程合規(guī)要點之二：把握審查安全自評估流程合規(guī)要點之三：了解審查主管部門評估流程五、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全合規(guī)審查合規(guī)要點之一：網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的主體合規(guī)要點之二：網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的范圍合規(guī)要點之三：網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的重點合規(guī)要點之四：網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的啟動合規(guī)要點之五：網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的評估報告【延伸閱讀】廣東省通信管理局要求UC瀏覽器整改2017年9月19日，廣東省通信管理局對廣州市動景計算機科技有限公司提供的UC瀏覽器只能云加速產(chǎn)品服務(wù)存在安全缺陷和漏洞風(fēng)險未能及時全面檢測修補的問題，責(zé)令其立即