普华永道：强制泄露通报健全响应能力（14页）.pdf

1、强制泄露通报， 健全响应能力 中国网安法下的网络安全事件应对要求 2 网络泄露事件日益增多。 根据2019年 中国独角兽CEO 调查 ， 企业CEO们认为数据安全和隐私保护将会是未来一至三 年对公司最具影响力的外部因素。 虽然发生网络事件时公司可能 会选择保持沉默而不予公开， 但2017年6月1日生效的中国 网络 安全法 （ “ 网安法” ） 以法律形式对网络安全事件响应和泄露管 理提出了全面的规定， 包括制定应急预案、 采取补救措施、 向有关 主管部门报告、 告知数据主体等， 并明确未遵守监管要求所面临 的罚则。 3 中国网络安全法 全面的网络安全和 隐私保护体系 网安法对中国境内建设、 运

2、营、 维护和 使用网络的所有企业作出了广泛的管 理和技术合规要求。 这些实体被定义为 “网络运营者” ， 而其中那些运营 一旦遭到破坏、 丧失功能或者数据泄露， 可能严重危 害国家安全、 国计民生、 公共利益的关键信息基础设 施的企业则被进一步界定为 “关键信息基础设施运营 者” 。 根据网安法第76条第三款， 网络运营者包括网 络的所有者、 管理者和网络服务提供者。 实践中， 任何 拥有基础信息技术设备或设施的企业均属于这一类。 根据网安法第31条， 国家对公共通信和信息服务、 能 源、 交通、 水利、 金融、 公共服务、 电子政务等重要行 业和领域等一旦遭到破坏、 丧失功能或者数据泄露，

3、可能严重危害国家安全、 国计民生、 公共利益的关键 信息基础设施， 在网络安全等级保护制度 （ “等保” ） 的基础上， 实行重点保护。 网安法第10条要求所有的网络运营者采取技术措施 和其他必要措施， 保障网络安全、 稳定运行， 有效应 对网络安全事件， 防范网络违法犯罪活动， 维护网络 数据的完整性、 保密性和可用性。 第21条和34条分别 规定， 所有的网络运营者和关键信息基础设施运营者 的网安法合规框架中必须包含以下内容： 网络安全制 度、 IT人员的职能和责任、 防范病毒和网络攻击的技 术措施、 网络日志留存、 数据分类、 网络运营者重要数 据备份和加密等措施， 除此以外， 关键信息

4、基础设施 运营者还应设置专门安全管理机构和安全管理负责 人 （并对该负责人和关键岗位的人员进行安全背景审 查） 、 进行强制性安全培训、 设立数据恢复制度、 建立 应急响应预案并定期进行演练。 公司未有效设立和实 施强有力合规体系的， 公司及直接责任人将受到行政 处罚， 如果发生严重安全事件的， 公司及个人均可能 被追究刑事责任。 4 安全事件响应和泄露管理 制定和公布事件响应计划并进行培训演习。 该计划应包 括以下步骤： 通知主管部门和受影响的数据主体、 进行调 查、 就主管部门的跟进问询及纠正调查中发现的问题为主 管部门提供支持。 第三方风险管理 进行尽职调查、 对第三方规定隐私和安全性以

5、及保密性要 求， 降低访问组织信息资产相关的风险。 确保第三方产品 和服务经认证和认可。 信息技术安全和等保 实施等保管理和技术控制措施， 以保护网络和IT系统。 等保准备， 包括定级、 备案、 自我评估， 认证评估和资质 获取。 战略和治理 确定总体计划、 策略、 治理结构、 角色和职责， 旨在协调、 设计、 实施和保持与网安法一 致的计划。 个人信息保护 建立具有规定和控制措施的隐私体系， 在数据的整个生命 周期中对个人信息实施保护 。 关键信息基础设施保护 确定关键的信息基础架构， 落实所规定的更高安全性和 控制要求。 网络内容管理 制定Web内容的协议、 监视网站和用户平台， 识别和过

6、滤 用户访问或发布的任何不适当内容。 使用经许可和批准的 VPN服务 安全事件响应 和泄露管理 信息技术安全 和等保 个人信息保护网络内容管理 战略和治理 数据本地化和 跨境数据传输 第三方 风险管理 关键信息 基础设施保护 数据本地化和跨境数据传输 对个人和重要数据建立数据清单、 进行本地化和/或跨境 数据传输安全评估。 中华人民共和国网络安全法 网安法要求可划分为八个领域， 见下表： 5 网络安全事件响应 和泄露管理的核心 要求 在 “安全事件响应和泄露管理” 领域中， 除了大量综合 性要求外， 网络运营者还应在发生泄露事件时通知有 关部门， 并且如果发生个人信息泄漏或被盗， 网络运 营者