新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

企业为什么必须开展网络安全法律培训
2018-07-20 10:25:02


很多企业开展网络安全合规建设时,往往容易忽略掉一个重要的法律合规义务,即开展网络安全培训,包括员工培训和用户培训。

BaiduHi_2018-7-31_10-24-1.png

一、是企业网安合规的一项重要法定要求


1.《网络安全法》的合规要求

首先,《网络安全法》第21条规定了网络运营者的一般义务,以及第五款的指引性规定,逻辑上包括了后面其他法律、法规中规定的网络安全培训合规要求。

其次,《网络安全法》第34条直接规定了CIIO的法定义务,即“定期对从业人员进行网络安全教育、技术培训和技能考核”。


2.工信部24号令的合规要求

工信部《电信和互联网用户个人信息保护规定》(24号令)第15条明确规定,“电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。”


3.公安部33号令的合规要求

公安部《计算机信息网络国际联网安全保护管理办法》(33号令)第10条规定,“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:……(三)负责对本网络用户的安全教育和培训……”。

此外,公安部安全等级保护管理有关规定也重申了网络安全培训的法定要求。


4.《个人信息安全规范》的合规要求

《个人信息安全规范》明确规定,企业(个人信息控制者)“应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐 私政策和相关规程。”此外,还应当“应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。”

除此之外,国家信安委发布的其他网络安全有关的规范、标准,也对网络安全培训提出了明确的要求。


二、是企业网安责任的一项主要免责事由


1.雀巢员工等侵犯公民个人信息犯罪案的合规启示

在雀巢员工等侵犯公民个人信息犯罪一案中(详细案情请自行查询),但一审、二审法院均未认定单位犯罪,即雀巢公司不承担刑事责任,理由主要为:

(1) 雀巢公司政策、员工行为规范等禁止员工以非法方式收集消费者个人信息;

(2) 对于第(1)款规定要求,雀巢公司要求所有营养专员接受培训并签署承诺函。

本案对于企业开展网络安全合规建设具有重要的借鉴意义,凸显了企业开展网络安全培训的重要价值。


2.近期监管执法案件的合规启示

近期社会广泛关注的支付宝年度账单事件、万豪事件中,两家企业在被当地网信办约谈后的整改声明中,无一例外的强调了内部网络安全培训的重要性,并承诺持续开展内部员工的网络安全培训。

此外,全国人大关于一法一决定的执法检查报告中,也重点指出了企业开展网络安全培训的必要性和存在的问题。


三、哪些企业必须开展网络安全培训


法律层面,不同的法律规定的企业主体不同。《网络安全法》规定的是“网络运营者”,工信部24号令规定的是“电信业务经营者、互联网信息服务提供者”,公安部33号令使用的是“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织”,《个人信息安全规范》使用的是“个人信息控制者”……。

法律层面关于哪些企业会被落入到《网络安全法》及其配套制度的合规主体,单一的规定并不明确或者存在一定的争议,但在实践中,具体执法部门的认定标准还是相当广泛的。

四、企业如何开展网络安全培训工作


1.制作培训教材

应当根据具体的商业模式及网络架构,面向内部员工及用户(客户)制作不同的培训教材,具体内容应当涵盖网络安全法律法规、内部管理规范及指引、个人信息保护、应急预案,等等。

培训教材可以采取文字形式,也可以采取更加灵活、生动的多媒体方式。


2.培训实施

培训可以通过现场会议的方式,也可以通过网络视音频的方式,还可以通过文件下发学习的方式。

可以内部组织培训,也可以聘请外部律师、专业人士开展。


3.培训记录及留档

企业应当强化培训记录,并做好培训留档工作,以用于未来可能的执法检查或网络安全责任事件的抗辩。

未来,安百科技将持续为用户提供综合、全方位的安全防护,构建完整新生态、实现在信息安全防御领域的弯道超车。

  • 企业网络安全
  • 法律培训
  • 企业网络安全
  • 法律培训