发布时间:2017-07-17 18:08:24 文章来源:互联网
微博 微信 QQ空间
    2016年11月7日,全国人民代表大会常务委员会颁布了《中华人民共和国网络安全法》(以下简称《网络安全法》),这部法律是我国第一部网络空间的综合性法律,是我国网络安全工作的基本遵循。作为信息与网络技术应用行业之一,金融行业机构加快推进落实《网络安全法》。《网络安全法》的实施将持续推动改进金融业机构网络安全管理的框架和流程,推动实现网络安全风险的精细化管理,提升金融业机构的可持续和科学发展。
 
    一、明晰网络安全职责主体,完善网络安全保障体系
 
    在《网络安全法》中,规定了以下责任主体:国家、网络相关行业组织、研究机构、企业、高等学校、职业学校、大众传播媒介、网络运营者、网络产品和服务提供者、关键信息基础设施运营者、网络安全服务机构、电子信息发送服务提供者、应用软件下载服务提供者、个人和组织。近年来,包括金融行业在内的行业主管部门通过现场检查、等级保护、风险评估、应急管理、重点时期专项保障等工作建立重要网络与信息系统管理框架。各金融机构亦不断提高风险意识,将信息安全风险纳入本机构的全面风险管理框架,普遍建立专职部门和队伍,开展安全设施建设、风险评估、应急演练和专项治理,持续改进运维监控流程与手段,健全内部协同工作机制和外部应急协调机制,建立了本机构重要网络与信息系统安全保障体系。金融业机构可结合《网络安全法》的实施,按照其中在网络安全支持、网络运行安全、网络信息安全、网络安全事件方面所规定的职责主体,清晰界定本机构网络安全保障体系各个层面主体责任,更为清晰地界定在网络安全预警、保护、检测、响应、恢复阶段的外部衔接主体和流程。
 
    二、落实关键制度,加强行业应用相关办法、规划、标准等设计
 
    在《网络安全法》中,明确了一系列与行业应用密切相关的制度安排,金融业机构应落实制度要求,并结合行业、机构实际加强配套办法、规章制度、规划和标准设计。
 
    (一)网络运行安全方面。一是《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。包括金融业在内的各应用行业要结合云计算、大数据、人工智能等技术应用后新建系统特点和多年测评整改发现的问题落实等级保护备案、等级测评、安全建设整改工作。二是第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护的基础上,实行重点保障。包括金融行业在内的各重要行业和领域需编制、实施本行业关键基础设施安全防护能力提升计划,明确行业、机构加强关键信息基础设施的具体措施。三是第三十五条规定,关键信息基础设施的运营者采购的网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第三十六条规定,关键信息基础设施的运营者采购网络产品和服务,应按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。在金融行业层面,须组织实施产品和服务的安全审查工作;在金融机构层面,须明确提请安全审查的服务、产品和实施规程,此外,严格落实与提供者签订保密协议,确保产品和服务提供者履行安全保密义务。四是第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的数据应当在境内存储。对于金融行业来说,个人金融有关数据亦应明确中国境内经营的金融机构对于个人金融信息等重要数据存储在境内。

另一视角

换一换