网络安全法规定网络运营者应当制定什么

1、制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
2、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
3、采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；网络日志包括用户日志和系统日志。用户日志和系统日志中的信息应满足维护网络安全和监督检查的需要；
4、采取数据分类、重要数据备份和加密等措施；
5、法律、行政法规规定的其他义务。网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务；
法律依据：
《中华人民共和国网络安全法》
第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。
第二十四条 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。
国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。