前言

隨著我國信息化建設的不斷推進和互聯網應用的日趨普及，網絡安全問題層出不窮：網絡入侵、網絡攻擊等非法活動威脅了我國信息安全；非法獲取、倒賣公民信息、侵犯知識產權損害了我國公民的合法利益；危害國家安全、社會穩定與公共利益的不良信息借助網絡迅速傳播。反觀國外，包括歐盟、美國、日本在內的國家或組織紛紛制定了與網絡安全相關的法律。

因此，《網絡安全法》的制定對我國相關立法工作的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實黨中央決策部署的重要舉措，是維護網絡安全的客觀需要，是維護大眾切身利益的必然要求，也是我國參與互聯網國際競爭和國際治理的必然選擇。

《網絡安全法》的頒布實施，最重要的意義在于它把網絡安全工作以法律形式提高到了國家安全戰略的高度，并將信息安全等級保護制度上升為法律，成為維護國家網絡空間主權、安全和發展利益的重要舉措。同時，它的出臺也符合維護網絡安全的客觀需要，提高了全社會網絡安全保護的意識和能力，確保今后網絡使用更加安全、開放和便利。

關鍵內容

√ 基于《網絡安全法》要求，對近期與該法相關的法規標準進行了歸納總結，從而為組織機構在法律應對與實施的具體操作中提供參考指南；同時，本指南還識別了其他國家和地區的相關法規和標準，從而為國內組織機構在應對、實施《網絡安全法》時提供對比和參考內容。

√ 本指南從網絡安全管理、網絡安全技術和個人信息保護等三方面的法律、法規監管要求出發，為組織機構提供了合規差距分析的參考維度及相應的合規要求；同時，在合規應對實施環節，從網絡運營安全、網絡信息安全及關鍵信息基礎設施保護等三方面，就“相關責任方”、“管理措施”及“技術措施”等三個維度總結了具體實施要點。

√ 為確保組織機構建立完善的信息安全管理體系，本指南以信息安全等級保護制度和網絡安全等級保護及其他法規要求為基礎，總結并設計出了包括安全策略、安全管理和安全技術在內的等級保護體系；同時，基于《網絡安全法》中對組織人員能力和意識的要求，給出了相應的教育模型和培訓案例，最終實現組織信息安全的持續改進。

引言

2017年6月1日正式實施的《網絡安全法》具有里程碑式的意義。它不僅是我國第一部網絡安全的專門性綜合性立法，提出了應對網絡安全挑戰這一全球性問題的中國方案，彰顯了黨和國家對網絡安全問題的高度重視，同時，它還是我國網絡安全法治建設的重要里程碑，使得今后我國網絡安全管理工作步入法制化軌道，信息安全行業將由合規性驅動過渡到合規性和強制性驅動并重的新階段。

《網絡安全法》在網絡空間主權、國家網絡安全等級保護制度、關鍵信息基礎設施保護、網絡運營者、網絡產品和服務提供者義務、保障網絡信息安全，個人信息保護、關鍵信息基礎設施重要數據跨境傳輸、監測預警與應急處置等方面做出明確規定。因此，國內組織機構，特別是涉及關鍵信息基礎設施的行業機構在踐行《網絡安全法》時，一方面應切實履行好自身網絡安全工作的責任與義務，另一方面，還需要依據《網絡安全法》的法律要求進行落地實施，有效提高自身的網絡安全保護水平。

一、《網絡安全法》概述

1. 立法背景

2014年2月中央網絡安全和信息化領導小組成立，標志著我國把網絡安全提升到了國家安全的高度并開始醞釀網絡安全法編寫工作；2015年6月十二屆全國人大常委會審議了《網絡安全法（草案）》，2016年7月二次審議稿正式在中國人大網公布，并向社會公開征求意見；2016年11月7日，歷經全國人大常委會兩次審議的關于我國網絡安全管理的法律《中華人民共和國網絡安全法》最終審議通過，并于2017年6月1日正式實施。

與國外立法相比，《網絡安全法》歷經三年就發布實施無疑是快速的。這是因為中國當前的網絡安全迫切要求。網絡已經深刻地融入了中國經濟社會生活的各個方面，網絡安全威脅也隨之向經濟社會的各個層面滲透，網絡安全的重要性隨之不斷提高。

一方面，黨的十八大以來，國家主管部門加強了國家網絡安全工作并做出了重要的部署，對加強網絡安全法制建設提出了明確的要求，制定《網絡安全法》是適應我們國家網絡安全工作新形勢、新任務，落實中央決策部署，保障網絡安全和發展利益的重大舉措，是落實國家總體安全觀的重要舉措。另一方面，中國是網絡大國，也是面臨網絡安全威脅最嚴重的國家之一，迫切需要建立和完善網絡安全的法律制度，提高全社會的網絡安全意識和網絡安全保障水平，使我們的網絡更加安全、更加開放、更加便利，也更加充滿活力。

在這樣的形勢下，制定網絡安全法是維護國家廣大人民群眾切身利益的需要，是維護網絡安全的客觀需要，是落實國家總體安全觀的重要舉措。

2. 立法意義

《網絡安全法》旨在保障我國網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展。其立法的意義主要體現在以下幾點：

該法從法律層面上把我國網絡安全工作提高到了國家安全戰略的高度，強調對關鍵信息基礎設施及個人信息數據的保護，明確了國家、主管部門、網絡所有者、運營者及普通用戶各自的責任以及違規后的相關處罰。

該法律的出臺對我國互聯網安全管理具有重大意義，是我國網絡安全法律法規體系建設的一個重要里程碑，為我國網絡安全工作提供了法律依據。

從企業角度來看，該法律將強化互聯網監管力度，規范網絡空間秩序，為企業“互聯網+”業務的發展營造良好的環境。

從個人角度來看，在當前個人信息因信息管理出現漏洞而被泄露并違法使用，進而導致個人權利和利益頻遭侵害的背景下，該法律對個人信息保護提出了明確要求，從而有效地保障了公民權利。

3. 內容概述

3.1 法律內容

《網絡安全法》全文共7章79條。其中，第三章“網絡運行安全”和第四章“網絡信息安全”分別對網絡運營者、關鍵信息基礎設施的網絡運行和個人信息管理做了詳細說明。

《網絡安全法》章節概覽

3.2 保護對象

縱觀法律全文，《網絡安全法》的重點保護對象主要針對第三章第二節 “關鍵信息基礎設施的運行安全”中的“關鍵信息基礎設施”和第四章“網絡信息安全”中的“個人信息”。

1) 關鍵信息基礎設施

由于關鍵信息基礎設施在國家網絡安全中有著舉足輕重的作用，因此，國家對重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

關鍵信息基礎設施保護范圍：

政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；

電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位；

國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；

廣播電臺、電視臺、通訊社等新聞單位；

其他重點單位。

* 以上關鍵信息關鍵基礎設施的范圍參考了網信辦2017年7月發布的《關鍵信息基礎設施安全保護條例（征求意見稿）》

2) 個人信息

個人信息是指以電子或其他方式記錄的能夠單獨或與其他信息結合識別自然人身份的各種信息，包括與確定自然人相關的生物特征、位置、行為等信息，如姓名、出生日期、身份證號、個人賬號信息、住址、電話號碼、指紋、虹膜等。

*以上個人信息的定義參考了全國信息安全標準化技術委員會2016年12月發布的《個人信息安全規范(征求意見稿)》

3.3 保護方法

《網絡安全法》中涉及的保護方法主要有以下幾種：

1) 實施等級保護

《網絡安全法》第二十一條規定“網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改”。

2) 網絡運行安全和關鍵信息基礎設施保護

在確保網絡運行安全方面，要制定安全制度，落實安全職責，部署安全技術措施，防范網絡攻擊（第21條）；確保網絡產品和服務的安全性和合規性（第22條）；網絡關鍵設備和網絡安全專用產品的安全認證和安全檢測（第23條）；建立網絡安全事件處置流程，及時啟動應急預案（第25條）；關鍵信息基礎設施的網絡安全與信息化應做到“三同步”（第33條）；設立信息安全專門機構和負責人，定期培訓考核，系統與數據容災備份，應急預案并定期演練（第39條)；采購安全產品與服務要接受主管部門的安全審查(第35條)；要與安全產品與服務方簽訂保密協議（第36條）；重要數據和個人信息跨境傳輸（第37條）；至少每年進行一次安全評估，并向主管部門上報評估結果；主管部門對關鍵信息基礎設施進行抽查檢測與評估（第38、39條）。

3) 個人信息保護

在個人信息保護方面，組織應制定敏感信息保護制度（第21(4)、37、40、45、47、48、50條）；網絡運營者收集、使用個人信息時，要向用戶明示并取得同意，不得超范圍濫用個人信息（第22、41、44、45條）；網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全（第42條）；個人有權要求網絡運營者刪除和更改其個人信息（第43條）；網絡運營者要對其內部及外部用戶使用網絡行為進行監督（第46、47、48條）；網絡運營者應當建立網絡信息安全投訴、舉報制度，配合主管部門的調查與處置（第49、50條）。

4) 網絡安全檢測與預警

為保障網絡安全，《網絡安全法》第二十一條還規定，“網絡運營者應當采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月”， 第五十二條規定，“負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。”；第五十一條規定，國家層面上“國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全監測預警信息。”

5) 網絡安全應急管理

《網絡安全法》第二十五條規定，“普通網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。“；第三十四條規定，“關鍵信息基礎設施的運營者除制定網絡安全事件應急預案外還應定期進行演練”。對于行業監管者而言，第五十三條規定，“負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案，并定期組織演練”。國家層面，第三十九條規定，“網信部門定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事件的水平和協同配合能力”。

6) 網絡安全技術人才培養和安全意識宣傳

《網絡安全法》第三十四條規定，關鍵信息基礎設施的運營者還應當定期對從業人員進行網絡安全教育、技術培訓和技能考核； 第十九條則要求各級人民政府、有關部門應組織開展經常性的網絡安全宣傳教育，并指導、督促有關單位做好網絡安全宣傳教育工作，大眾媒體應有針對性地面向社會進行網絡安全宣傳教育。

7) 職責落實與違規處罰

為確保《網絡安全法》順利實施，執行有力，該法第六章“法律責任”對所涉及責任主體的違法懲處進行了詳細規定。

二、《網絡安全法》實施

為有效地推進《網絡安全法》的實施，總體可分為相關法規識別、合規差距分析、合規對應實施和體系持續完善四個步驟。本部分詳細描述前三個步驟，第三部分“信息安全體系完善”描述第四個步驟。

　　1. 相關法規識別

《網絡安全法》第八條規定：“國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作。”因此，各網絡運營者在實施《網絡安全法》時，不僅要深入了解《網絡安全法》的要求，還需要參考其他配套的法規及標準，以確?！毒W絡安全法》的安全控制措施能有效落實。

近年來，主管部門及安全標準化機構發布了多個與《網絡安全法》實施相關的法規與標準，有的還處在征求意見當中。為方便各類機構在實施《網絡安全法》時加以參考，把最重要的相關法規與標準列表如下：

國內近期發布《網絡安全法》相關法規標準

國外相關法律與規范識別

組織在實施《網絡安全法》時，可以根據自身的需要對其他國家和地區的相關法規和標準進行識別，其目的一方面使國內機構借鑒國外的一些網絡安全最佳實踐，同時可以為國外組織在國內實施網絡安全合規要求時，建立一個可以對比的參照系。

國外網絡安全相關法規

2. 合規差距分析

以《網絡安全法》為基礎，網絡運營者應從網絡安全管理、網絡安全技術和個人信息保護三方面綜合考慮各項法律、法規的監管要求，通過對組織現狀的了解，對組織當前合規情況進行差距分析。

《網絡安全法》合規差距分析

3. 合規對應實施

《網絡安全法》具體合規實施時，可以從網絡運營安全、網絡信息安全及關鍵信息基礎設施保護三個方面，描述對應的保護要求和對應條款，分別從“相關責任方”、“管理措施”及“技術措施”三個維度分析其具體實施要點。以下舉例說明。

3.1 網絡運營安全控制措施

　　3.2 網絡信息安全控制措施

　　3.3 關鍵信息基礎設施安全控制措施

　　三、信息安全體系完善

按照《網絡安全法》實施網絡安全控制措施，是當前國內各類組織在信息安全方面的重要實踐，但我們也要清醒地看到，落實法律的合規要求只是組織信息安全的最基本要求，法規不可能面面俱到。因此，就算組織逐條落實了法規的要求，也只是達到了合規的基本要求，也不能保證組織的信息安全體系達到一個完善的水平。

因此，在合規的基礎上，我們建議組織根據《網絡安全法》的要求，通過等級保護的方法來進一步完善信息安全保障體系，通過人員安全培訓與意識教育來提升組織的人員安全能力，通過持續安全評估與IT審計來推進安全體系持續完善。

1. 等級保護相關規范標準

信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。

組織可以基于合規差距分析結果并參照網絡安全等級保護和其他法規對信息安全的要求，建立健全組織信息安全保障體系，部署并完善安全管理策略和安全技術措施，持續穩定地提升信息安全水平。

到目前為止，國家制定與頒布了與等級保護相關的多個國家標準，一些重點行業也制定了本行業的信息安全等級保護標準，等級保護的方法近年來在國內得到廣泛的應用。

已經發布的等級保護相關標準：

　　正在征求意見的等級保護標準修訂稿

為配合國家落實《網絡安全法》，等級保護標準的名稱將由原來的GB/T22239-2008《信息安全技術 信息系統安全等級保護基本要求》改為“信息安全技術 網絡安全等級保護基本要求”，標準由原來的一個標準變更為多個部分組成的標準，分別為：

等級保護對象由原來的信息系統，調整為：安全等級保護的對象包括網絡基礎設施、信息系統、大數據、云計算平臺、物聯網、工控系統等。

等級保護相關的定級指南、測評指南、設計技術要求、測評要求、測評過程指南等相關標準也發布了相應的修訂版（征求意見稿）。

2. 等級保護體系的設計

等級保護的設計分為安全策略設計、安全管理設計及安全技術設計三個方面的內容，形成信息安全保障體系的組織體系、策略體系、技術體系及運行體系。

　　2.1 總體安全策略設計

總體策略設計的目標是形成組織綱領性的安全策略文件，包括確定安全方針和安全策略兩方面的內容。安全方針是闡明安全工作的使命和意愿，定義信息安全的總體目標，規定信息安全責任機構和職責，建立安全工作運行模式等；安全策略是說明安全工作的主要策略，包括安全組織機構劃分策略、業務系統分級策略、數據信息分級策略、等級保護對象互連策略、信息流控制策略等。

通過方針與策略的設計，以便組織可以結合等級保護基本要求系列標準、行業基本要求和安全保護特殊要求，構建機構等級保護對象的安全技術體系結構和安全管理體系結構。對于新建的等級保護對象，應在立項時明確其安全保護等級，并按照相應的保護等級要求進行總體安全策略設計。

2.2 安全管理體系設計

根據等級保護基本要求系列標準、行業基本要求、安全需求分析報告等，設計等級保護對象安全管理體系框架。主要是從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面進行設計。

安全管理體系設計成果可分為四層。第一層為總體方針、安全策略，通過信息安全總體方針、安全策略明確機構信息安全工作的總體目標、范圍、原則等。第二層為信息安全管理制度，通過對信息安全活動中的各類內容建立管理制度，約束信息安全相關行為。第三層為安全技術標準、操作規程，通過對管理人員或操作人員執行的日常管理行為建立操作規程，規范信息安全管理制度的具體技術實現細節。第四層為記錄、表單，用于在信息安全管理制度、操作規程實施時需填寫的表單和需保留的操作記錄。

　　2.3 安全技術體系設計

根據組織總體安全策略文件、GB/T 22239、行業基本要求和安全需求，設計等級保護對象的安全技術體系架構。等級保護對象的安全技術防護體系由從外到內的“縱深防御”體系構成，首先通過“物理環境安全防護”保護服務器、網絡設備以及其他設備設施免遭地震、火災、水災、盜竊等事故導致的破壞，然后通過“通信網絡安全防護”保護暴露于外部的通信線路和通信設備，通過“網絡邊界安全防護”對等級保護對象實施邊界安全防護，內部不同級別定級對象盡量分別部署在相應保護等級的內部安全區域，低級別定級對象部署在高等級安全區域時遵循“就高保護”原則，對于內部安全區域將實施“主機設備安全防護”和“應用和數據安全防護”，通過“安全管理中心”對整個等級保護對象實施統一的安全技術管理。

等級保護對象的安全技術體系架構見下圖所示：

根據安全技術架構的設計，組織可以尋找相應的技術與產品來實施安全控制措施。安全技術與產品的選擇，請參考安全調查分析機構安全牛推出的 “網絡安全行業全景圖”（http://all.aqniu.com/）。

網絡安全全景圖目前共分為17大安全領域，59個細分領域，包含約200家安全企業和相關機構，比較全面地對主流的安全技術與產品進行了介紹，可以供用戶在選擇技術與產品解決方案時加以參考。

3. 信息安全教育與培訓

《網絡安全法》第三十四條規定，關鍵信息基礎設施的運營者還應當履行對從業人員進行網絡安全教育、技術培訓和技能考核的義務。

信息安全教育與培訓是實施有效信息管理的重要基礎，組織要周期性地進行信息安全教育與培訓規劃，要在員工中形成一個行之有效、常抓不懈的氛圍，教育的形式既要生動有趣，又要緊湊有效。組織可以考慮采用以下NIST基于角色與職責的、框架式的安全教育模型：

組織可根據各崗位人員信息安全能力建設需求，設計未來3到5年信息安全培訓規劃，并針對各崗位的工作特征，制定各崗位信息安全能力需求表，以及由知識組合成的課程。根據組織的實際情況可采用以下基于角色與職責的、框架式的課程設計。以下是基于崗位與信息安全知識體對應的培訓方案示例：

此外，《網絡安全法》第十九條規定，“各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育，并指導、督促有關單位做好網絡安全宣傳教育工作。“因此，網絡運營者在進行人員能力建設的同時，還應加強包括管理層在內全員網絡安全意識培養和重要性宣傳的工作。

普通員工是各項業務的執行者，員工信息安全意識的薄弱是組織信息安全最大的風險。內部員工無意的疏忽，往往會引發敏感信息泄露等安全事件的發生。內部員工的信息安全意識水平提升有助于減少信息安全風險，提升組織的總體信息安全水平。

組織應設計與提供貫穿員工整個職業生命周期的、多種層次、多種方式的信息安全意識宣貫，提高組織全體員工的信息安全意識水平。以下是各類信息安全意識教育形式示例：

4. 安全體系的持續改進

組織在經過合規差距分析并建成組織、管理和技術體系之后，要推進體系的運行。如果條件許可，組織還可以建立信息安全監控運行中心（SOC），對安全運行狀態進行檢測與管理。組織要持續地收集體系運行數據，對體系運行狀態進行測量，并根據測量結果建立信息安全績效考核機制，這樣才能把信息安全要求落實到業務流程和員工崗位之中。

組織要建立信息安全保障體系的PDCA循環模式，以推進體系建設的持續完善，全面提升組織的風險識別、安全防御、安全檢測、安全響應與安全恢復能力，最終實現風險可視化、防御主動化、運行自動化、管理流程化的安全目標，積極、主動、快速地應對網絡安全風險，保障業務與數據安全。