网络安全合规
概述
界定:
网络安全合规,是指网络运营者应当全面遵守网络安全法律(如《网络安全法》)、国家标准(如《个人信息安全规范》)及相关文本规范,避免遭受法律制裁或监管处罚。
主体:
《网络安全法》语境下的”网络运营者”是一个非常广泛的概念,包括网络(各种网络和触网的系统,例如局域网、工业控制系统、自动化办公系统、社交媒体等)的所有者、管理者(含网络或内容管理)和网络服务提供者(包括网络内容服务提供商、网络平台服务提供商、网络接入服务提供商。从广义上来说,还包括《网络安全法》第二十二条提到的”网络产品、服务的提供者”)。
依据:
网络安全合规的依据不仅仅包括《网络安全法》,同时包括消费者权益保护法、民法总则、刑法等基本法。同时还包括全国人大的决定以及其他单行法规(例如国务院292号令)、规章(例如工信部24号令)等,相关法律法规、司法解释、国家技术标准和政策文件等也是网络安全合规的依据。
合规审查内容
网络安全等级保护的合规审查
网络安全等级保护制度是保障和促进我国信息化建设健康发展的一项基本制度,不做等级保护(简称“等保”)工作就是不合规行为。
合规要点:
- 审查是否定级和备案,并进行合规审查。
- 审查是否落实“建设整改”工作,并进行合规审查。
- 审查是否开展“等级测评”,并进行合规审查。
- 审查是否开展“监督检查”工作,并进行合规审查。
关键信息基础设施安全的合规审查
- 《网络安全法》第三章第二节“关键信息基础设施”首次对关键信息基础设施运营者(CIIO)的网络安全义务从法律层面予以规定,对CIIO提出了比一般网络运营者更高的法定安全保护义务。
- 合规要点:
- 完成关键信息基础设施的识别与确定是合规整改的前提。
- 审查政策文件要求落实情况。
- 审查国家安全标准、行业标准等执行情况。
- 审查信息安全等级保护落实情况。
- 审查个人信息和重要数据保护情况。
- 审查安全管理机构设置和人员安全管理情况。
- 审查安全管理保障体系落实情况。
- 审查备份与恢复情况;审查应急响应与处置情况。
网络产品和服务安全的合规审查
- 合规要点:
- 网络产品和服务安全审查的主体。
- 网络产品和服务安全审查的范围。
- 网络产品和服务安全审查的重点。
- 网络产品和服务安全审查的启动。
- 网络产品和服务安全审查的评估报告。
数据本地化和出境安全的合规审查
- 合规要点:
- 熟悉数据出境安全评估总体流程。
- 把握审查安全自评估流程。
- 了解审查主管部门评估流程。
网络信息安全的合规审查
- 合规要点:
- 个人信息收集的合规审查。
- 个人信息保存的合规审查。
- 个人信息的使用。
- 个人信息的委托处理。
- 个人信息共享、转让和公开披露的合规审查。
- 个人信息跨境传输的合规审查。
- 个人信息安全事件处置的合规审查。
- 组织管理的合规审查。
网络内容审查
- 合规要点:
- 管理用户发布信息的义务。
- 网络运营者的网络信息管理义务。
- 网络运营者网络安全维护义务。