14+第十四章-网络安全合规审查课件

网络安全法教程

第十四章

网络安全合规审查第十四章

网络安全合规审查【内容提要】随着《网络安全法》的出台，网络安全合规工作愈发重要。为了降低企业网安合规风险，越来越多的企业开始启动网络安全合规服务。本章旨在系统阐释网络安全合规基本原理（网络安全合规的概念、主体和依据等）和网络安全合规审查的内容。第一节

网络安全合规概述

一、网络安全合规的概念（一）“合规”的含义（二）合规的要素

规则的识别

规则的遵守

规则的运行（三）网络安全合规的界定（三）网络安全合规的界定网络安全合规，是指网络运营者应当全面遵守网络安全法律（如《网络安全法》）、国家标准（如《个人信息安全规范》）及相关文本规范，避免遭受法律制裁或监管处罚。二、网络安全合规的主体《网络安全法》语境下的“网络运营者”是一个非常广泛的概念，包括网络（各种网络和触网的系统，例如局域网、工业控制系统、自动化办公系统、社交媒体等）的所有者、管理者（含网络或内容管理）和网络服务提供者（包括网络内容服务提供商、网络平台服务提供商、网络接入服务提供商。从广义上来说，还包括《网络安全法》第二十二条提到的“网络产品、服务的提供者”）。三、网络安全合规的依据网络安全合规的依据不仅仅包括《网络安全法》，同时包括消费者权益

保护法、民法总则、刑法等基本法。同时还包括全国人大的决定以及其他单行法规（例如国务院292号令）、规章（例如工信部24号令）等，相关法律法规、司法解释、国家技术标准和政策文件等也是网络安全合规的依据。第二节

网络安全合规审查的内容一、网络安全等级保护的合规审查网络安全等级保护制度作为保障和促进我国信息化建设健康发展的一项基本制度，不做等级保护（简称“等保”）工作就是不合规行为。合规要点之一：审查是否定级和备案，并进行合规审查。合规要点之二：审查是否落实“建设整改”工作，并进行合规审查。合规要点之三：审查是否开展“等级测评”工作，并进行合规审查。合规要点之四：审查是否开展“监督检查”工作，并进行合规审查。【延伸阅读】某事业单位网站违反网络等级安全等级保护制度被处罚案件案情简介：山西忻州市某省直事业单位网站存在SQL注入漏洞，严重威胁网站信息安全，连续被国家网络与信息安全信息通报中心通报。根据《中华人民共和国网络安全法》第二十一条第二款之规定，网络运营者应当按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；第五十九条第一款之规定，网络运营者不履行第二十一条规定的网络安全保护义务的，由有关主管部门责令改正，依法予以处置。山西忻州市网警认为该单位之行为已违反《网络安全法》相关规定，忻州市、县两级公安机关网安部门对该单位进行了现场执法检查，依法给予行政警告处罚并责令其改正。二、关键基础信息设施安全的合规审查

《网络安全法》第三章第二节“关键信息基础设施”首次对关键信息基础设施运营者（CIIO）的网络安全义务从法律层面予以规定，对CIIO提出了比一般网络运营者更高的法定安全保护义务。合规要点之一：完成关键信息基础设施的识别与确定是合规整改的前提合规要点之二：审查政策文件要求落实情况合规要点之三：审查国家安全标准、行业标准等执行情况合规要点之四：审查信息安全等级保护落实情况合规要点之五：审查个人信息和重要数据保护情况合规要点之六：审查安全管理机构设置和人员安全管理情况合规要点之七：审查安全管理保障体系落实情况合规要点之八：审查备份与恢复情况；审查应急响应与处置情况三、网络信息安全的合规审查合规要点之一：个人信息收集的合规审查合规要点之二：个人信息保存的合规审查合规要点之三：个人信息的使用合规要点之四：个人信息的委托处理合规要点之五：个人信息共享、转让和公开披露的合规审查合规要点之六：个人信息跨境传输的合规审查合规要点之七：个人信息安全事件处置的合规审查合规要点之八：组织管理的合规审查关于网络内容审查的内容，主要包括但不限于以下方面：合规要点之一：管理用户发布信息的义务合规要点之二：网络运营者的网络信息管理义务合规要点之三：网络运营者网络安全维护义务四、数据本地化和出境安全合规审查合规要点之一：熟悉数据出境安全评估总体流程合规要点之二：把握审查安全自评估流程合规要点之三：了解审查主管部门评估流程五、网络产品和服务安全合规审查合规要点之一：网络产品和服务安全审查的主体合规要点之二：网络产品和服务安全审查的范围合规要点之三：网络产品和服务安全审查的重点合规要点之四：网络产品和服务安全审查的启动合规要点之五：网络产品和服务安全审查的评估报告【延伸阅读】广东省通信管理局要求UC浏览器整改2017年9月19日，广东省通信管理局对广州市动景计算机科技有限公司提供的UC浏览器只能云加速产品服务存在安全缺陷和漏洞风险未能及时全面检测修补的问题，责令其立即