铁路行业数据安全的法规要求.docx
免费下载
数据安全政策法规要求
一、国家法律法规层面
1.
《网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护
制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防
止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护
责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相
关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
2.
《数据安全法》
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程
度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或
者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协
调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,
实行更加严格的管理制度。
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安
全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数
据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础
上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险
时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及
时告知用户并向有关主管部门报告。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并
向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面
临的数据安全风险及其应对措施等。
第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者
以其他非法方式获取数据。
3.
《个人信息保护法》
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处
理的个人信息的安全。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个
人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向
境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规
定可以不进行安全评估的,从其规定。
4.
《关键信息基础设施安全保护条例》
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,
在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,
防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、
保密性和可用性。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履
行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急
演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
5.
《网络安全审查办法》
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的
风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以
及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非
法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政
府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
二、国家标准层面
1.
《网络安全等级保护基本要求》(等保
2.0
)
对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安
全管理机构、安全管理人员、安全建设管理、安全运维管理、云计算安全、移动互联安全、
物联网安全、工业控制系统安全分级提出了安全要求。
of 5
免费下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论