《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;作规程,确定网络安全负责人,落实网络安全保护责任;
解读:
对于内部安全管理应从两方面实施,一方面制定内部安全管理制度,所有操作人员必须按制度严格规范操作;另一方面采用运维审计系统(如:堡垒机、数据库审计等)进行日常工作,对操作流程全程记录并保存相关日志便于事后取证。 对重要数据(如:企业和个人邮箱等)进行加密确保数据的可靠性(如:邮箱加密系统等)。
法律责任补充,第六章第五十九条,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《网络安全法》第二十四条规定:
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
解读:
要求运营商、论坛等对外发布信息提供商进行用户身份实名制,同时建议通过安全、加密的身份认证进行远程运维。
法律责任补充:第六章第六十一条:未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【第37条】关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
解读:本条明确了关键信息基础设施的数据存储和流动规则。明确关键信息基础设施的重要信息数据要在境内存储,需要向境外流动的需要在相关部门的评估确认下进行。