普華永道：認識澳門網絡安全法及企業合規之路（8頁）.pdf

《普華永道：認識澳門網絡安全法及企業合規之路（8頁）.pdf》由會員分享，可在線閱讀，更多相關《普華永道：認識澳門網絡安全法及企業合規之路（8頁）.pdf（8頁珍藏版）》請在三個皮匠報告上搜索。

1、認識澳門網絡 安全法及企業 合規之路 澳門特別行政區行政長官于2019年6月 17日簽署命令公布了第13/2019號法律 網絡安全法 ， 該法律自公布滿180日 起生效。 眾多在澳門的企業、 以及有意來澳門新 設立的企業， 都熱切地希望深入了解這 部新的法律及其對自身的影響， 例如： 澳門網絡安全法立法的背景 是什么? 世界上網絡安全立法趨勢是什么? 您的企業是否在 網絡安全法的 管轄范圍內？ 作為關鍵基礎設施運營者， 您的企 業需要承擔哪些責任和義務? 如果違反了 網絡安全法 ， 會面臨 怎樣的處罰？ 企業為了落實網絡安全法下的義 務， 可以如何準備? “ 1 澳門網絡安全立法的背景 網絡安

2、全法的出臺是為了給社會的關鍵基礎設施構建一個良好的防 范管理體系， 更好地配合國家“一帶一路” 的發展倡議， 以及 澳門特別 行政區五年發展規劃 （20162020） 有關建設智慧城市、 推動產業與互 聯網融合的發展目標。 其立法的進程如下： 法律草案向社會開展為期45天的 公眾咨詢 法案獲得立法會一般性通過 立法會正式通過網絡安全法 第13/2019號法律網絡安全法 正式公布 網絡安全法生效日在公布 180日后生效 2017年12月 2018年10月18日 2019年6月6日 2019年6月24日 2019年12月22日 世界上網絡安全立法趨勢 網絡安全法 的適用范圍 網絡安全法 適用于關鍵

3、基礎設施的公共及私人營運者。 “關鍵基礎設施” ： 是指對社會正常運作具有重要意義， 且 一旦遭到擾亂、 破壞、 數據資料泄漏、 停止運作或效能大幅 降低， 可能嚴重危害社會福祉、 公共安全、 公共秩序或其他 尤為重要的公共利益的資產、 資訊網絡和電腦系統。 “關鍵基礎設施營運者” ： 是指營運關鍵基礎設施及提供 有關服務的公共或私人實體。 其中關鍵基礎設施私人營運者包括： （一） 住所設于澳門特別行政區或外地， 且具資格以經營 批給、 向行政當局提供服務、 準照、 執照或相同性質的憑證 的方式， 在下列特定領域從事業務的私法實體： 1. 供水； 2. 銀行、 財務及保險業； 3. 在醫院提供

4、衛生護理； 4. 污水處理和垃圾收集及處理； 通過明確立法的方式來有效地實現和保障網絡安全是 世界許多主要國家和地區的普遍趨勢： 通過簡析以上國家和地區的的網絡安全相關立法， 可以見 到一些主要特點： 1. 網絡安全立法有一個漸進的過程， 而非一次性完成； 2. 網絡安全法律體系是由一系列法律法規組成， 而不僅 僅是單一法律； 2 5. 燃料和受衛生檢疫及植物檢疫的食品的總批發 供應； 6. 法定屠宰場宰殺動物； 7. 電力及天然氣的供應及分配； 8. 按預定路線或航線、 班次、 時間表及收費提供的定 期海、 陸、 空運輸的公共服務； 9. 港口、 碼頭、 機場及直升機場的營運； 10. 視聽

5、廣播； 11. 經營娛樂場幸運博彩； 12. 經營固定或流動的公共電信網絡， 以及提供互聯網 接入服務； （二） 全公共資本公司； （三） 活動僅限于科學及技術領域的行政公益法人。 2002年12月2016年11月2018年5月2018年8月 2014年11月2018年2月2018年7月 聯邦信息安全 管理法案 中華人民 共和國網 絡安全法 網絡與信息 系統法規 英國 網絡空間 安全法 葡萄牙 網絡安全 基本法 日本 網絡與信息 系統安全法 法國 關鍵基礎設施 安全法案 澳大利亞中國美國 3. 為了實現澳門網絡安全法要求的落地， 會逐步推出配 套的法規、標準或指引。例如：澳門金融管理局 (AM

6、CM)于2019年12月公布了針對金融服務行業的 安全管理指引出臺。 網絡防衛指引( “Guideline on Cyber Resilience”)， 預期澳門未來還會有更為具體的網絡 3 作為關鍵基礎設施運營者， 您的企業需要承擔 哪些責任和義務 “關鍵基礎設施私人運營者” 的法定網絡安全義務包 括以下四個方面： 以 “1. 組織” 為例， 關鍵基礎設施私人營運者需要承 擔以下網絡安全義務： 組織方面的義務： （一） 設立具能力執行網絡安全內部保護措施的網絡 安全管理單位； （二） 為網絡安全管理單位配置合適的人力、 財政、 物 力及財產資源； （三） 從具備適當資格及專業經驗且以澳門特別

7、行政 區為常居地的人士中指定網絡安全主要負責人及其替 代人； （四） 采取措施確保預警及應急中心能隨時聯絡網絡 安全主要負責人及其替代人； （五） 建立網絡安全的投訴和舉報機制。 網絡安全 義務 1. 組織 3.自行評估 及報告 2. 程序、 預防及應變 4. 合作 網絡安全法以行政處罰追究不遵守網絡安全義務的 責任。 至于涉及網絡、 資訊、 電腦領域的刑事不法行為， 仍然由 打擊電腦犯罪法進行規范。 因作為或不作為而違反 網絡安全法規定的義務將面臨 以下處罰： 此外， 違反 網絡安全法 的有關規定， 可單獨或合幷科 處下列附加處罰： （一） 剝奪參與公共部門、 機關及實體有關取得財貨或 勞務

8、的直接磋商、 限定對象咨詢或公開招標的權利； （二） 剝奪獲公共部門、 機關及實體發給津貼或優惠的 權利。 4 如果違反了 網絡安全法 ， 會面臨怎樣的處罰？ 行政違法行為輕微者 罰款澳門幣5萬至15萬 行政違法行為嚴重者 罰款澳門幣15萬至500萬 澳門企業特別是關鍵基礎設施運營者如何配合網絡安全 法 、 滿足法定網絡安全義務已是企業日程上的重要任務。 而落實該等義務需考慮以下的挑戰因素： 作為澳門關鍵基礎設施運營者的企業， 如何應對以上挑 戰、 有效推進網絡安全法義務的落地？我們給出以下四點 建議： 企業為了落實網絡安全法下的義務， 可以如何準備? 1. 識別合規差距 排查清楚企業的現狀及

9、存在的差距， 對于治理架構、 政 策和制度、 資源投入以及專業人員等容易存在短板的領 域， 能夠做到了然于胸。 2. 考慮尋求專業力量的幫助 借助粵港澳大灣區的外部專業機構的力量， 彌補企業的 人力資源缺口。 合作形式包括： 項目合作、 人力外包、 服 務外包(如安全測試服務外包、 安全運營中心服務)等等。 3. 安全保護等級定級及風險評估 評估各電腦系統在保密性, 完整性, 服務可用性及業務 特征固有風險的影響， 進行安全等級定級和風險評估。 4. 建立持續的網路安全培訓機制 通過與專業機構(例如安全培訓公司、 行業協會、 高等院校 等)合作， 建立網絡安全培訓課程和持續的再教育機制， 提升

10、企業的整體網絡安全意識和專業團隊的技術水平。 01 0403 02 缺乏具有足夠經驗的 網絡安全人力資源 企業的網絡安全相關 政策和制度不完善 企業的治理架構未 能符合要求 安全管理和合規體 系的成本限制 5 本文僅為提供一般性信息之目的，不應用于替代專業咨詢者提供的咨詢意見。 2020 羅兵咸永道。 版權所有。羅兵咸永道系指羅兵咸永道網絡及/或羅兵咸永道網絡中各自獨立的成員機構。詳情請進入 聯系我們 如需針對企業所處的不同行業、 獨有的業務特點、 獨特的組織架構而 進行全面的網絡安全法差距測評和合規分析， 并且實施部署相應的合 規落地工作， 歡迎聯系網絡安全與隱私保護咨詢服務團隊： 黃景深 羅兵咸永道中國內地、 澳門與香港網絡安全和隱私保護主管合伙人 電話： +852 2289 2719 郵箱： LinkedIn 顏國定 網絡安全和隱私保護合伙人 電話： +852 2289 1935 郵箱： LinkedIn 吳冠豪 網絡安全和隱私保護合伙人 電話： +852 2289 2967 郵箱： LinkedIn 姚立 網絡安全和隱私保護高級經理 電話： +86 (755) 8261 8954 郵箱： LinkedIn 林家健 網絡安全和隱私保護經理 電話： +853 8799 5139 郵箱： LinkedIn