信息來源：安全牛

前言

隨著我國信息化建設(shè)的不斷推進(jìn)和互聯(lián)網(wǎng)應(yīng)用的日趨普及，網(wǎng)絡(luò)安全問題層出不窮：網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等非法活動(dòng)威脅了我國信息安全；非法獲取、倒賣公民信息、侵犯知識(shí)產(chǎn)權(quán)損害了我國公民的合法利益；危害國家安全、社會(huì)穩(wěn)定與公共利益的不良信息借助網(wǎng)絡(luò)迅速傳播。反觀國外，包括歐盟、美國、日本在內(nèi)的國家或組織紛紛制定了與網(wǎng)絡(luò)安全相關(guān)的法律。

因此，《網(wǎng)絡(luò)安全法》的制定對(duì)我國相關(guān)立法工作的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實(shí)黨中央決策部署的重要舉措，是維護(hù)網(wǎng)絡(luò)安全的客觀需要，是維護(hù)大眾切身利益的必然要求，也是我國參與互聯(lián)網(wǎng)國際競(jìng)爭(zhēng)和國際治理的必然選擇。

《網(wǎng)絡(luò)安全法》的頒布實(shí)施，最重要的意義在于它把網(wǎng)絡(luò)安全工作以法律形式提高到了國家安全戰(zhàn)略的高度，并將信息安全等級(jí)保護(hù)制度上升為法律，成為維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益的重要舉措。同時(shí)，它的出臺(tái)也符合維護(hù)網(wǎng)絡(luò)安全的客觀需要，提高了全社會(huì)網(wǎng)絡(luò)安全保護(hù)的意識(shí)和能力，確保今后網(wǎng)絡(luò)使用更加安全、開放和便利。

關(guān)鍵內(nèi)容

√ 基于《網(wǎng)絡(luò)安全法》要求，對(duì)近期與該法相關(guān)的法規(guī)標(biāo)準(zhǔn)進(jìn)行了歸納總結(jié)，從而為組織機(jī)構(gòu)在法律應(yīng)對(duì)與實(shí)施的具體操作中提供參考指南；同時(shí)，本指南還識(shí)別了其他國家和地區(qū)的相關(guān)法規(guī)和標(biāo)準(zhǔn)，從而為國內(nèi)組織機(jī)構(gòu)在應(yīng)對(duì)、實(shí)施《網(wǎng)絡(luò)安全法》時(shí)提供對(duì)比和參考內(nèi)容。

√ 本指南從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)和個(gè)人信息保護(hù)等三方面的法律、法規(guī)監(jiān)管要求出發(fā)，為組織機(jī)構(gòu)提供了合規(guī)差距分析的參考維度及相應(yīng)的合規(guī)要求；同時(shí)，在合規(guī)應(yīng)對(duì)實(shí)施環(huán)節(jié)，從網(wǎng)絡(luò)運(yùn)營(yíng)安全、網(wǎng)絡(luò)信息安全及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等三方面，就“相關(guān)責(zé)任方”、“管理措施”及“技術(shù)措施”等三個(gè)維度總結(jié)了具體實(shí)施要點(diǎn)。

√ 為確保組織機(jī)構(gòu)建立完善的信息安全管理體系，本指南以信息安全等級(jí)保護(hù)制度和網(wǎng)絡(luò)安全等級(jí)保護(hù)及其他法規(guī)要求為基礎(chǔ)，總結(jié)并設(shè)計(jì)出了包括安全策略、安全管理和安全技術(shù)在內(nèi)的等級(jí)保護(hù)體系；同時(shí)，基于《網(wǎng)絡(luò)安全法》中對(duì)組織人員能力和意識(shí)的要求，給出了相應(yīng)的教育模型和培訓(xùn)案例，最終實(shí)現(xiàn)組織信息安全的持續(xù)改進(jìn)。

引言

2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》具有里程碑式的意義。它不僅是我國第一部網(wǎng)絡(luò)安全的專門性綜合性立法，提出了應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)這一全球性問題的中國方案，彰顯了黨和國家對(duì)網(wǎng)絡(luò)安全問題的高度重視，同時(shí)，它還是我國網(wǎng)絡(luò)安全法治建設(shè)的重要里程碑，使得今后我國網(wǎng)絡(luò)安全管理工作步入法制化軌道，信息安全行業(yè)將由合規(guī)性驅(qū)動(dòng)過渡到合規(guī)性和強(qiáng)制性驅(qū)動(dòng)并重的新階段。

《網(wǎng)絡(luò)安全法》在網(wǎng)絡(luò)空間主權(quán)、國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者義務(wù)、保障網(wǎng)絡(luò)信息安全，個(gè)人信息保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸、監(jiān)測(cè)預(yù)警與應(yīng)急處置等方面做出明確規(guī)定。因此，國內(nèi)組織機(jī)構(gòu)，特別是涉及關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)機(jī)構(gòu)在踐行《網(wǎng)絡(luò)安全法》時(shí)，一方面應(yīng)切實(shí)履行好自身網(wǎng)絡(luò)安全工作的責(zé)任與義務(wù)，另一方面，還需要依據(jù)《網(wǎng)絡(luò)安全法》的法律要求進(jìn)行落地實(shí)施，有效提高自身的網(wǎng)絡(luò)安全保護(hù)水平。

一、《網(wǎng)絡(luò)安全法》概述

1. 立法背景

2014年2月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，標(biāo)志著我國把網(wǎng)絡(luò)安全提升到了國家安全的高度并開始醞釀網(wǎng)絡(luò)安全法編寫工作；2015年6月十二屆全國人大常委會(huì)審議了《網(wǎng)絡(luò)安全法（草案）》，2016年7月二次審議稿正式在中國人大網(wǎng)公布，并向社會(huì)公開征求意見；2016年11月7日，歷經(jīng)全國人大常委會(huì)兩次審議的關(guān)于我國網(wǎng)絡(luò)安全管理的法律《中華人民共和國網(wǎng)絡(luò)安全法》最終審議通過，并于2017年6月1日正式實(shí)施。

與國外立法相比，《網(wǎng)絡(luò)安全法》歷經(jīng)三年就發(fā)布實(shí)施無疑是快速的。這是因?yàn)橹袊?dāng)前的網(wǎng)絡(luò)安全迫切要求。網(wǎng)絡(luò)已經(jīng)深刻地融入了中國經(jīng)濟(jì)社會(huì)生活的各個(gè)方面，網(wǎng)絡(luò)安全威脅也隨之向經(jīng)濟(jì)社會(huì)的各個(gè)層面滲透，網(wǎng)絡(luò)安全的重要性隨之不斷提高。

一方面，黨的十八大以來，國家主管部門加強(qiáng)了國家網(wǎng)絡(luò)安全工作并做出了重要的部署，對(duì)加強(qiáng)網(wǎng)絡(luò)安全法制建設(shè)提出了明確的要求，制定《網(wǎng)絡(luò)安全法》是適應(yīng)我們國家網(wǎng)絡(luò)安全工作新形勢(shì)、新任務(wù)，落實(shí)中央決策部署，保障網(wǎng)絡(luò)安全和發(fā)展利益的重大舉措，是落實(shí)國家總體安全觀的重要舉措。另一方面，中國是網(wǎng)絡(luò)大國，也是面臨網(wǎng)絡(luò)安全威脅最嚴(yán)重的國家之一，迫切需要建立和完善網(wǎng)絡(luò)安全的法律制度，提高全社會(huì)的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全保障水平，使我們的網(wǎng)絡(luò)更加安全、更加開放、更加便利，也更加充滿活力。

在這樣的形勢(shì)下，制定網(wǎng)絡(luò)安全法是維護(hù)國家廣大人民群眾切身利益的需要，是維護(hù)網(wǎng)絡(luò)安全的客觀需要，是落實(shí)國家總體安全觀的重要舉措。

2. 立法意義

《網(wǎng)絡(luò)安全法》旨在保障我國網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。其立法的意義主要體現(xiàn)在以下幾點(diǎn)：

• 該法從法律層面上把我國網(wǎng)絡(luò)安全工作提高到了國家安全戰(zhàn)略的高度，強(qiáng)調(diào)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施及個(gè)人信息數(shù)據(jù)的保護(hù)，明確了國家、主管部門、網(wǎng)絡(luò)所有者、運(yùn)營(yíng)者及普通用戶各自的責(zé)任以及違規(guī)后的相關(guān)處罰。
• 該法律的出臺(tái)對(duì)我國互聯(lián)網(wǎng)安全管理具有重大意義，是我國網(wǎng)絡(luò)安全法律法規(guī)體系建設(shè)的一個(gè)重要里程碑，為我國網(wǎng)絡(luò)安全工作提供了法律依據(jù)。
• 從企業(yè)角度來看，該法律將強(qiáng)化互聯(lián)網(wǎng)監(jiān)管力度，規(guī)范網(wǎng)絡(luò)空間秩序，為企業(yè)“互聯(lián)網(wǎng)+”業(yè)務(wù)的發(fā)展?fàn)I造良好的環(huán)境。
• 從個(gè)人角度來看，在當(dāng)前個(gè)人信息因信息管理出現(xiàn)漏洞而被泄露并違法使用，進(jìn)而導(dǎo)致個(gè)人權(quán)利和利益頻遭侵害的背景下，該法律對(duì)個(gè)人信息保護(hù)提出了明確要求，從而有效地保障了公民權(quán)利。

3. 內(nèi)容概述

3.1 法律內(nèi)容

《網(wǎng)絡(luò)安全法》全文共7章79條。其中，第三章“網(wǎng)絡(luò)運(yùn)行安全”和第四章“網(wǎng)絡(luò)信息安全”分別對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者、關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)行和個(gè)人信息管理做了詳細(xì)說明。

《網(wǎng)絡(luò)安全法》章節(jié)概覽

3.2 保護(hù)對(duì)象

縱觀法律全文，《網(wǎng)絡(luò)安全法》的重點(diǎn)保護(hù)對(duì)象主要針對(duì)第三章第二節(jié) “關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”中的“關(guān)鍵信息基礎(chǔ)設(shè)施”和第四章“網(wǎng)絡(luò)信息安全”中的“個(gè)人信息”。

1) 關(guān)鍵信息基礎(chǔ)設(shè)施

由于關(guān)鍵信息基礎(chǔ)設(shè)施在國家網(wǎng)絡(luò)安全中有著舉足輕重的作用，因此，國家對(duì)重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：

• 政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；
• 電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；
• 國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；
• 廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位；
• 其他重點(diǎn)單位。

* 以上關(guān)鍵信息關(guān)鍵基礎(chǔ)設(shè)施的范圍參考了網(wǎng)信辦2017年7月發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》

2) 個(gè)人信息

個(gè)人信息是指以電子或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人身份的各種信息，包括與確定自然人相關(guān)的生物特征、位置、行為等信息，如姓名、出生日期、身份證號(hào)、個(gè)人賬號(hào)信息、住址、電話號(hào)碼、指紋、虹膜等。

*以上個(gè)人信息的定義參考了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年12月發(fā)布的《個(gè)人信息安全規(guī)范(征求意見稿)》

3.3 保護(hù)方法

《網(wǎng)絡(luò)安全法》中涉及的保護(hù)方法主要有以下幾種：

1) 實(shí)施等級(jí)保護(hù)

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。

2) 網(wǎng)絡(luò)運(yùn)行安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

在確保網(wǎng)絡(luò)運(yùn)行安全方面，要制定安全制度，落實(shí)安全職責(zé)，部署安全技術(shù)措施，防范網(wǎng)絡(luò)攻擊（第21條）；確保網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性和合規(guī)性（第22條）；網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測(cè)（第23條）；建立網(wǎng)絡(luò)安全事件處置流程，及時(shí)啟動(dòng)應(yīng)急預(yù)案（第25條）；關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全與信息化應(yīng)做到“三同步”（第33條）；設(shè)立信息安全專門機(jī)構(gòu)和負(fù)責(zé)人，定期培訓(xùn)考核，系統(tǒng)與數(shù)據(jù)容災(zāi)備份，應(yīng)急預(yù)案并定期演練（第39條)；采購安全產(chǎn)品與服務(wù)要接受主管部門的安全審查(第35條)；要與安全產(chǎn)品與服務(wù)方簽訂保密協(xié)議（第36條）；重要數(shù)據(jù)和個(gè)人信息跨境傳輸（第37條）；至少每年進(jìn)行一次安全評(píng)估，并向主管部門上報(bào)評(píng)估結(jié)果；主管部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行抽查檢測(cè)與評(píng)估（第38、39條）。

3) 個(gè)人信息保護(hù)

在個(gè)人信息保護(hù)方面，組織應(yīng)制定敏感信息保護(hù)制度（第21(4)、37、40、45、47、48、50條）；網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息時(shí)，要向用戶明示并取得同意，不得超范圍濫用個(gè)人信息（第22、41、44、45條）；網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全（第42條）；個(gè)人有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除和更改其個(gè)人信息（第43條）；網(wǎng)絡(luò)運(yùn)營(yíng)者要對(duì)其內(nèi)部及外部用戶使用網(wǎng)絡(luò)行為進(jìn)行監(jiān)督（第46、47、48條）；網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度，配合主管部門的調(diào)查與處置（第49、50條）。

4) 網(wǎng)絡(luò)安全檢測(cè)與預(yù)警

為保障網(wǎng)絡(luò)安全，《網(wǎng)絡(luò)安全法》第二十一條還規(guī)定，“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”， 第五十二條規(guī)定，“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息?！?；第五十一條規(guī)定，國家層面上“國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息?！?

5) 網(wǎng)絡(luò)安全應(yīng)急管理

《網(wǎng)絡(luò)安全法》第二十五條規(guī)定，“普通網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告?！埃坏谌臈l規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者除制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案外還應(yīng)定期進(jìn)行演練”。對(duì)于行業(yè)監(jiān)管者而言，第五十三條規(guī)定，“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練”。國家層面，第三十九條規(guī)定，“網(wǎng)信部門定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力”。

6) 網(wǎng)絡(luò)安全技術(shù)人才培養(yǎng)和安全意識(shí)宣傳

《網(wǎng)絡(luò)安全法》第三十四條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核； 第十九條則要求各級(jí)人民政府、有關(guān)部門應(yīng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育，并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作，大眾媒體應(yīng)有針對(duì)性地面向社會(huì)進(jìn)行網(wǎng)絡(luò)安全宣傳教育。

7) 職責(zé)落實(shí)與違規(guī)處罰

為確?！毒W(wǎng)絡(luò)安全法》順利實(shí)施，執(zhí)行有力，該法第六章“法律責(zé)任”對(duì)所涉及責(zé)任主體的違法懲處進(jìn)行了詳細(xì)規(guī)定。

二、《網(wǎng)絡(luò)安全法》實(shí)施

為有效地推進(jìn)《網(wǎng)絡(luò)安全法》的實(shí)施，總體可分為相關(guān)法規(guī)識(shí)別、合規(guī)差距分析、合規(guī)對(duì)應(yīng)實(shí)施和體系持續(xù)完善四個(gè)步驟。本部分詳細(xì)描述前三個(gè)步驟，第三部分“信息安全體系完善”描述第四個(gè)步驟。

1. 相關(guān)法規(guī)識(shí)別

《網(wǎng)絡(luò)安全法》第八條規(guī)定：“國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。”因此，各網(wǎng)絡(luò)運(yùn)營(yíng)者在實(shí)施《網(wǎng)絡(luò)安全法》時(shí)，不僅要深入了解《網(wǎng)絡(luò)安全法》的要求，還需要參考其他配套的法規(guī)及標(biāo)準(zhǔn)，以確保《網(wǎng)絡(luò)安全法》的安全控制措施能有效落實(shí)。

近年來，主管部門及安全標(biāo)準(zhǔn)化機(jī)構(gòu)發(fā)布了多個(gè)與《網(wǎng)絡(luò)安全法》實(shí)施相關(guān)的法規(guī)與標(biāo)準(zhǔn)，有的還處在征求意見當(dāng)中。為方便各類機(jī)構(gòu)在實(shí)施《網(wǎng)絡(luò)安全法》時(shí)加以參考，把最重要的相關(guān)法規(guī)與標(biāo)準(zhǔn)列表如下：

國內(nèi)近期發(fā)布《網(wǎng)絡(luò)安全法》相關(guān)法規(guī)標(biāo)準(zhǔn)

• 國外相關(guān)法律與規(guī)范識(shí)別

組織在實(shí)施《網(wǎng)絡(luò)安全法》時(shí)，可以根據(jù)自身的需要對(duì)其他國家和地區(qū)的相關(guān)法規(guī)和標(biāo)準(zhǔn)進(jìn)行識(shí)別，其目的一方面使國內(nèi)機(jī)構(gòu)借鑒國外的一些網(wǎng)絡(luò)安全最佳實(shí)踐，同時(shí)可以為國外組織在國內(nèi)實(shí)施網(wǎng)絡(luò)安全合規(guī)要求時(shí)，建立一個(gè)可以對(duì)比的參照系。

國外網(wǎng)絡(luò)安全相關(guān)法規(guī)

2. 合規(guī)差距分析

以《網(wǎng)絡(luò)安全法》為基礎(chǔ)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)和個(gè)人信息保護(hù)三方面綜合考慮各項(xiàng)法律、法規(guī)的監(jiān)管要求，通過對(duì)組織現(xiàn)狀的了解，對(duì)組織當(dāng)前合規(guī)情況進(jìn)行差距分析。

《網(wǎng)絡(luò)安全法》合規(guī)差距分析

3. 合規(guī)對(duì)應(yīng)實(shí)施

《網(wǎng)絡(luò)安全法》具體合規(guī)實(shí)施時(shí)，可以從網(wǎng)絡(luò)運(yùn)營(yíng)安全、網(wǎng)絡(luò)信息安全及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)三個(gè)方面，描述對(duì)應(yīng)的保護(hù)要求和對(duì)應(yīng)條款，分別從“相關(guān)責(zé)任方”、“管理措施”及“技術(shù)措施”三個(gè)維度分析其具體實(shí)施要點(diǎn)。以下舉例說明。

3.1 網(wǎng)絡(luò)運(yùn)營(yíng)安全控制措施

3.2 網(wǎng)絡(luò)信息安全控制措施

3.3 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施

三、信息安全體系完善

按照《網(wǎng)絡(luò)安全法》實(shí)施網(wǎng)絡(luò)安全控制措施，是當(dāng)前國內(nèi)各類組織在信息安全方面的重要實(shí)踐，但我們也要清醒地看到，落實(shí)法律的合規(guī)要求只是組織信息安全的最基本要求，法規(guī)不可能面面俱到。因此，就算組織逐條落實(shí)了法規(guī)的要求，也只是達(dá)到了合規(guī)的基本要求，也不能保證組織的信息安全體系達(dá)到一個(gè)完善的水平。

因此，在合規(guī)的基礎(chǔ)上，我們建議組織根據(jù)《網(wǎng)絡(luò)安全法》的要求，通過等級(jí)保護(hù)的方法來進(jìn)一步完善信息安全保障體系，通過人員安全培訓(xùn)與意識(shí)教育來提升組織的人員安全能力，通過持續(xù)安全評(píng)估與IT審計(jì)來推進(jìn)安全體系持續(xù)完善。

1. 等級(jí)保護(hù)相關(guān)規(guī)范標(biāo)準(zhǔn)

信息安全等級(jí)保護(hù)制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國家安全、社會(huì)秩序和公共利益的根本保障。

組織可以基于合規(guī)差距分析結(jié)果并參照網(wǎng)絡(luò)安全等級(jí)保護(hù)和其他法規(guī)對(duì)信息安全的要求，建立健全組織信息安全保障體系，部署并完善安全管理策略和安全技術(shù)措施，持續(xù)穩(wěn)定地提升信息安全水平。

到目前為止，國家制定與頒布了與等級(jí)保護(hù)相關(guān)的多個(gè)國家標(biāo)準(zhǔn)，一些重點(diǎn)行業(yè)也制定了本行業(yè)的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)，等級(jí)保護(hù)的方法近年來在國內(nèi)得到廣泛的應(yīng)用。

已經(jīng)發(fā)布的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)：

• 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則(GB 17859-1999)（基礎(chǔ)類標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008)（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南(GB/T 22240-2008)（應(yīng)用類定級(jí)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(GB/T 25058-2010)（基礎(chǔ)類標(biāo)準(zhǔn)）
• 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求(GB/T 25070-2010)（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T 28448-2012)（應(yīng)用類測(cè)評(píng)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南(GB/T 28449-2012)（應(yīng)用類測(cè)評(píng)標(biāo)準(zhǔn)）
• 信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2006)（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全管理要求(GB/T 20269-2006)（應(yīng)用類管理標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全工程管理要求(GB/T 20282-2006)（應(yīng)用類管理標(biāo)準(zhǔn)）

正在征求意見的等級(jí)保護(hù)標(biāo)準(zhǔn)修訂稿

為配合國家落實(shí)《網(wǎng)絡(luò)安全法》，等級(jí)保護(hù)標(biāo)準(zhǔn)的名稱將由原來的GB/T22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”，標(biāo)準(zhǔn)由原來的一個(gè)標(biāo)準(zhǔn)變更為多個(gè)部分組成的標(biāo)準(zhǔn)，分別為：

• GB/T 22239.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求-第1部分 安全通用要求
• GB/T 22239.2 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求-第2部分 云計(jì)算安全擴(kuò)展要求
• GB/T 22239.3 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求-第3部分 移動(dòng)互聯(lián)安全擴(kuò)展要求
• GB/T 22239.4 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求-第4部分 物聯(lián)網(wǎng)安全擴(kuò)展要求
• GB/T 22239.5 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求-第5部分 工業(yè)控制安全擴(kuò)展要求
• GB/T 22239.6 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求-第6部分 大數(shù)據(jù)安全擴(kuò)展要求

等級(jí)保護(hù)對(duì)象由原來的信息系統(tǒng)，調(diào)整為：安全等級(jí)保護(hù)的對(duì)象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)等。

等級(jí)保護(hù)相關(guān)的定級(jí)指南、測(cè)評(píng)指南、設(shè)計(jì)技術(shù)要求、測(cè)評(píng)要求、測(cè)評(píng)過程指南等相關(guān)標(biāo)準(zhǔn)也發(fā)布了相應(yīng)的修訂版（征求意見稿）。

2. 等級(jí)保護(hù)體系的設(shè)計(jì)

等級(jí)保護(hù)的設(shè)計(jì)分為安全策略設(shè)計(jì)、安全管理設(shè)計(jì)及安全技術(shù)設(shè)計(jì)三個(gè)方面的內(nèi)容，形成信息安全保障體系的組織體系、策略體系、技術(shù)體系及運(yùn)行體系。

2.1 總體安全策略設(shè)計(jì)

總體策略設(shè)計(jì)的目標(biāo)是形成組織綱領(lǐng)性的安全策略文件，包括確定安全方針和安全策略兩方面的內(nèi)容。安全方針是闡明安全工作的使命和意愿，定義信息安全的總體目標(biāo)，規(guī)定信息安全責(zé)任機(jī)構(gòu)和職責(zé)，建立安全工作運(yùn)行模式等；安全策略是說明安全工作的主要策略，包括安全組織機(jī)構(gòu)劃分策略、業(yè)務(wù)系統(tǒng)分級(jí)策略、數(shù)據(jù)信息分級(jí)策略、等級(jí)保護(hù)對(duì)象互連策略、信息流控制策略等。

通過方針與策略的設(shè)計(jì)，以便組織可以結(jié)合等級(jí)保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求和安全保護(hù)特殊要求，構(gòu)建機(jī)構(gòu)等級(jí)保護(hù)對(duì)象的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。對(duì)于新建的等級(jí)保護(hù)對(duì)象，應(yīng)在立項(xiàng)時(shí)明確其安全保護(hù)等級(jí)，并按照相應(yīng)的保護(hù)等級(jí)要求進(jìn)行總體安全策略設(shè)計(jì)。

2.2 安全管理體系設(shè)計(jì)

根據(jù)等級(jí)保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求、安全需求分析報(bào)告等，設(shè)計(jì)等級(jí)保護(hù)對(duì)象安全管理體系框架。主要是從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面進(jìn)行設(shè)計(jì)。

安全管理體系設(shè)計(jì)成果可分為四層。第一層為總體方針、安全策略，通過信息安全總體方針、安全策略明確機(jī)構(gòu)信息安全工作的總體目標(biāo)、范圍、原則等。第二層為信息安全管理制度，通過對(duì)信息安全活動(dòng)中的各類內(nèi)容建立管理制度，約束信息安全相關(guān)行為。第三層為安全技術(shù)標(biāo)準(zhǔn)、操作規(guī)程，通過對(duì)管理人員或操作人員執(zhí)行的日常管理行為建立操作規(guī)程，規(guī)范信息安全管理制度的具體技術(shù)實(shí)現(xiàn)細(xì)節(jié)。第四層為記錄、表單，用于在信息安全管理制度、操作規(guī)程實(shí)施時(shí)需填寫的表單和需保留的操作記錄。

2.3 安全技術(shù)體系設(shè)計(jì)

根據(jù)組織總體安全策略文件、GB/T 22239、行業(yè)基本要求和安全需求，設(shè)計(jì)等級(jí)保護(hù)對(duì)象的安全技術(shù)體系架構(gòu)。等級(jí)保護(hù)對(duì)象的安全技術(shù)防護(hù)體系由從外到內(nèi)的“縱深防御”體系構(gòu)成，首先通過“物理環(huán)境安全防護(hù)”保護(hù)服務(wù)器、網(wǎng)絡(luò)設(shè)備以及其他設(shè)備設(shè)施免遭地震、火災(zāi)、水災(zāi)、盜竊等事故導(dǎo)致的破壞，然后通過“通信網(wǎng)絡(luò)安全防護(hù)”保護(hù)暴露于外部的通信線路和通信設(shè)備，通過“網(wǎng)絡(luò)邊界安全防護(hù)”對(duì)等級(jí)保護(hù)對(duì)象實(shí)施邊界安全防護(hù)，內(nèi)部不同級(jí)別定級(jí)對(duì)象盡量分別部署在相應(yīng)保護(hù)等級(jí)的內(nèi)部安全區(qū)域，低級(jí)別定級(jí)對(duì)象部署在高等級(jí)安全區(qū)域時(shí)遵循“就高保護(hù)”原則，對(duì)于內(nèi)部安全區(qū)域?qū)?shí)施“主機(jī)設(shè)備安全防護(hù)”和“應(yīng)用和數(shù)據(jù)安全防護(hù)”，通過“安全管理中心”對(duì)整個(gè)等級(jí)保護(hù)對(duì)象實(shí)施統(tǒng)一的安全技術(shù)管理。

等級(jí)保護(hù)對(duì)象的安全技術(shù)體系架構(gòu)見下圖所示：

根據(jù)安全技術(shù)架構(gòu)的設(shè)計(jì)，組織可以尋找相應(yīng)的技術(shù)與產(chǎn)品來實(shí)施安全控制措施。安全技術(shù)與產(chǎn)品的選擇，請(qǐng)參考安全調(diào)查分析機(jī)構(gòu)安全牛推出的 “網(wǎng)絡(luò)安全行業(yè)全景圖”（http://all.aqniu.com/）。

網(wǎng)絡(luò)安全全景圖目前共分為17大安全領(lǐng)域，59個(gè)細(xì)分領(lǐng)域，包含約200家安全企業(yè)和相關(guān)機(jī)構(gòu)，比較全面地對(duì)主流的安全技術(shù)與產(chǎn)品進(jìn)行了介紹，可以供用戶在選擇技術(shù)與產(chǎn)品解決方案時(shí)加以參考。

3. 信息安全教育與培訓(xùn)

《網(wǎng)絡(luò)安全法》第三十四條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核的義務(wù)。

信息安全教育與培訓(xùn)是實(shí)施有效信息管理的重要基礎(chǔ)，組織要周期性地進(jìn)行信息安全教育與培訓(xùn)規(guī)劃，要在員工中形成一個(gè)行之有效、常抓不懈的氛圍，教育的形式既要生動(dòng)有趣，又要緊湊有效。組織可以考慮采用以下NIST基于角色與職責(zé)的、框架式的安全教育模型：

組織可根據(jù)各崗位人員信息安全能力建設(shè)需求，設(shè)計(jì)未來3到5年信息安全培訓(xùn)規(guī)劃，并針對(duì)各崗位的工作特征，制定各崗位信息安全能力需求表，以及由知識(shí)組合成的課程。根據(jù)組織的實(shí)際情況可采用以下基于角色與職責(zé)的、框架式的課程設(shè)計(jì)。以下是基于崗位與信息安全知識(shí)體對(duì)應(yīng)的培訓(xùn)方案示例：

此外，《網(wǎng)絡(luò)安全法》第十九條規(guī)定，“各級(jí)人民政府及其有關(guān)部門應(yīng)當(dāng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育，并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作。“因此，網(wǎng)絡(luò)運(yùn)營(yíng)者在進(jìn)行人員能力建設(shè)的同時(shí)，還應(yīng)加強(qiáng)包括管理層在內(nèi)全員網(wǎng)絡(luò)安全意識(shí)培養(yǎng)和重要性宣傳的工作。

普通員工是各項(xiàng)業(yè)務(wù)的執(zhí)行者，員工信息安全意識(shí)的薄弱是組織信息安全最大的風(fēng)險(xiǎn)。內(nèi)部員工無意的疏忽，往往會(huì)引發(fā)敏感信息泄露等安全事件的發(fā)生。內(nèi)部員工的信息安全意識(shí)水平提升有助于減少信息安全風(fēng)險(xiǎn)，提升組織的總體信息安全水平。

組織應(yīng)設(shè)計(jì)與提供貫穿員工整個(gè)職業(yè)生命周期的、多種層次、多種方式的信息安全意識(shí)宣貫，提高組織全體員工的信息安全意識(shí)水平。以下是各類信息安全意識(shí)教育形式示例：

4. 安全體系的持續(xù)改進(jìn)

組織在經(jīng)過合規(guī)差距分析并建成組織、管理和技術(shù)體系之后，要推進(jìn)體系的運(yùn)行。如果條件許可，組織還可以建立信息安全監(jiān)控運(yùn)行中心（SOC），對(duì)安全運(yùn)行狀態(tài)進(jìn)行檢測(cè)與管理。組織要持續(xù)地收集體系運(yùn)行數(shù)據(jù)，對(duì)體系運(yùn)行狀態(tài)進(jìn)行測(cè)量，并根據(jù)測(cè)量結(jié)果建立信息安全績(jī)效考核機(jī)制，這樣才能把信息安全要求落實(shí)到業(yè)務(wù)流程和員工崗位之中。

組織要建立信息安全保障體系的PDCA循環(huán)模式，以推進(jìn)體系建設(shè)的持續(xù)完善，全面提升組織的風(fēng)險(xiǎn)識(shí)別、安全防御、安全檢測(cè)、安全響應(yīng)與安全恢復(fù)能力，最終實(shí)現(xiàn)風(fēng)險(xiǎn)可視化、防御主動(dòng)化、運(yùn)行自動(dòng)化、管理流程化的安全目標(biāo)，積極、主動(dòng)、快速地應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障業(yè)務(wù)與數(shù)據(jù)安全。