【网络安全风险的应对】
国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
●法律
1.《密码法》(2019年10月26日)
第27条 法律、行政法规及文件和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
●行政法规及文件
2.《关键信息基础设施安全保护条例》(2021年7月30日)
第25条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
●部门规章及文件
3.《互联网保险业务监管办法》(2020年12月7日)
第37条 保险机构应严格按照网络安全相关法律法规,建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系,提升信息化和网络安全保障能力:
(一)按照国家相关标准要求,采取边界防护、入侵检测、数据保护以及灾难恢复等技术手段,加强信息系统和业务数据的安全管理。
(二)制定网络安全应急预案,定期开展应急演练,建立快速应急响应机制,开展网络安全实时监测,发现问题后立即采取防范和处置措施,并按照银行业保险业突发事件报告、应对相关规定及时向负责日常监管的银保监会或其派出机构、当地公安网安部门报告。
(三)对提供技术支持和客户服务的合作机构加强合规管理,督促其保障服务质量和网络安全,其相关信息系统至少应获得网络安全等级保护二级认证。
(四)防范假冒网站、假冒互联网应用程序等与互联网保险业务相关的违法犯罪活动,开辟专门渠道接受公众举报。
4.《网络安全审查办法》(2020年4月13日)
第5条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。