《網(wǎng)絡(luò)安全法實(shí)施指南》公布

序言

伴隨著在我國信息化規(guī)劃的不斷推進(jìn)和互聯(lián)網(wǎng)應(yīng)用的日趨普及化，網(wǎng)絡(luò)安全事件五花八門：互聯(lián)網(wǎng)侵入、黑客攻擊等違法活動威協(xié)了中國網(wǎng)絡(luò)信息安全；違法獲得、販賣公民信息、侵犯知識產(chǎn)權(quán)危害了我國公民的合法權(quán)益；傷害國防安全、社會穩(wěn)定與集體利益的不良記錄依靠互聯(lián)網(wǎng)快速散播。回過頭看海外，包含歐盟國家、國外、日本以內(nèi)的我國或機(jī)構(gòu)陸續(xù)制定了與網(wǎng)絡(luò)信息安全有關(guān)的法律法規(guī)。

因而，《網(wǎng)絡(luò)安全法》的制訂對國內(nèi)有關(guān)法律工作的重要性、完備性和迫切性來講非常重要也十分必需。這是貫徹落實(shí)黨中央決策部署的重要舉措，是維護(hù)網(wǎng)絡(luò)安全的客觀性必須，是維護(hù)保養(yǎng)大家合法權(quán)益的必然要求，也是我國參加互聯(lián)網(wǎng)技術(shù)全球化競爭和國際性整治的必然趨勢。

《網(wǎng)絡(luò)安全法》的頒布實(shí)施，最重要的意義取決于它把網(wǎng)絡(luò)安全工作以法律形式提升到國家安全戰(zhàn)略的相對高度，并把信息安全等級維護(hù)規(guī)章制度升高為法律法規(guī)，變成維護(hù)國家互聯(lián)網(wǎng)空間主權(quán)、安全性和發(fā)展趨勢權(quán)益的重要舉措。與此同時(shí)，它頒布也合乎維護(hù)網(wǎng)絡(luò)安全的客觀性必須，提高了全社會網(wǎng)絡(luò)信息安全維護(hù)的自我意識和工作能力，保證將來互聯(lián)網(wǎng)應(yīng)用更為安全性、對外開放和便捷。

重要具體內(nèi)容

√根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，對最近與該法有關(guān)的法律規(guī)定規(guī)范進(jìn)行了歸納總結(jié)，進(jìn)而為組織架構(gòu)在法律法規(guī)解決與執(zhí)行的實(shí)際操作中給予參照手冊；與此同時(shí)，本手冊還鑒別了其它國家和地區(qū)的有關(guān)條例和規(guī)范，進(jìn)而為中國組織架構(gòu)在解決、執(zhí)行《網(wǎng)絡(luò)安全法》時(shí)給予比照和參照具體內(nèi)容。

√本手冊從網(wǎng)絡(luò)安全防護(hù)、信息安全技術(shù)和個(gè)人信息保護(hù)等三方面的法律法規(guī)、政策法規(guī)監(jiān)管要求考慮，為組織架構(gòu)帶來了合規(guī)管理差距分析的參照層面及對應(yīng)的合規(guī)管理規(guī)定；與此同時(shí)，在合規(guī)管理解決執(zhí)行階段，從網(wǎng)站運(yùn)營安全性、網(wǎng)絡(luò)安全及重要信息基礎(chǔ)設(shè)施維護(hù)等三方面，就“有關(guān)肇事方”、“管理措施”及“技術(shù)措施”等三個(gè)維度匯總了落實(shí)措施關(guān)鍵點(diǎn)。

√為保證組織架構(gòu)建立和完善的信息內(nèi)容安全風(fēng)險(xiǎn)管理，本手冊以信息安全等級維護(hù)管理制度和網(wǎng)絡(luò)安全等級維護(hù)以及其他政策法規(guī)規(guī)定為根本，匯總并制定起了包含安全設(shè)置、安全工作和安全生產(chǎn)技術(shù)以內(nèi)的等級保護(hù)測評管理體系；與此同時(shí)，根據(jù)《網(wǎng)絡(luò)安全法》中對組織人員工作能力和認(rèn)識的規(guī)定，得出了對應(yīng)的文化教育實(shí)體模型和培訓(xùn)案例，最后完成機(jī)構(gòu)網(wǎng)絡(luò)信息安全的持續(xù)改善。

前言

2017年6月1日宣布實(shí)行的《網(wǎng)絡(luò)安全法》具備劃時(shí)代的含義。它不僅僅是我國第一部網(wǎng)絡(luò)安全的專業(yè)性綜合型法律，提出了解決網(wǎng)絡(luò)信息安全考驗(yàn)這一全球性問題的創(chuàng)新型國家，彰顯了黨和政府對網(wǎng)絡(luò)安全事件的十分重視，與此同時(shí)，它也是在我國網(wǎng)絡(luò)信息安全法制建設(shè)的關(guān)鍵階段目標(biāo)，促使將來在我國網(wǎng)絡(luò)安全防護(hù)工作中踏入法治化路軌，網(wǎng)絡(luò)信息安全領(lǐng)域?qū)⒂珊弦?guī)推動銜接到合規(guī)和強(qiáng)制推動并舉的新環(huán)節(jié)。

《網(wǎng)絡(luò)安全法》在互聯(lián)網(wǎng)空間主權(quán)、我國網(wǎng)絡(luò)安全等級維護(hù)規(guī)章制度、重要信息基礎(chǔ)設(shè)施維護(hù)、網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)營銷產(chǎn)品和服務(wù)供應(yīng)商責(zé)任、確保網(wǎng)絡(luò)安全，個(gè)人信息安全、重要信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境電商傳送、監(jiān)測預(yù)警與應(yīng)急預(yù)案等領(lǐng)域作出明文規(guī)定。因而，中國組織架構(gòu)，尤其是涉及到重要信息基礎(chǔ)設(shè)施的領(lǐng)域組織在貫徹《網(wǎng)絡(luò)安全法》時(shí)，一方面應(yīng)認(rèn)真履行好本身網(wǎng)絡(luò)安全工作的責(zé)任與義務(wù)，另一方面，還要根據(jù)《網(wǎng)絡(luò)安全法》的法規(guī)規(guī)定開展落地實(shí)施，合理提高自身的網(wǎng)絡(luò)信息安全維護(hù)水準(zhǔn)。

一、《網(wǎng)絡(luò)安全法》簡述

1.法律環(huán)境

2014年2月中間網(wǎng)絡(luò)信息安全和信息化管理領(lǐng)導(dǎo)組創(chuàng)立，意味著在我國把網(wǎng)絡(luò)信息安全提高到我國安全的相對高度并逐漸斟酌國家安全法撰寫工作中；2015年6月十二屆全國人大常委會決議了《網(wǎng)絡(luò)安全法（草案）》，2016年7月二次審議稿宣布在中國人大網(wǎng)發(fā)布，并向社會發(fā)展公開征求意見；2016年11月7日，經(jīng)歷全國人大常委會2次決議的關(guān)于我國網(wǎng)絡(luò)安全防護(hù)的法律法規(guī)《中華人民共和國網(wǎng)絡(luò)安全法》最后審議通過，并且于2017年6月1日宣布執(zhí)行。

與海外法律對比，《網(wǎng)絡(luò)安全法》經(jīng)歷三年就公布執(zhí)行無疑是迅速的。主要是因?yàn)槲覈F(xiàn)階段的網(wǎng)絡(luò)信息安全必然選擇。互聯(lián)網(wǎng)已深入地加入了我國社會經(jīng)濟(jì)日常生活的方方面面，網(wǎng)絡(luò)信息安全威協(xié)也隨著向社會經(jīng)濟(jì)的不同方面滲入，互聯(lián)網(wǎng)安全防范措施隨著不斷提升。

一方面，黨的十八大至今，我國主管機(jī)構(gòu)提升了我國網(wǎng)絡(luò)安全工作并進(jìn)行了至關(guān)重要的布署，對提升網(wǎng)絡(luò)信息安全法治建設(shè)提出了明晰的標(biāo)準(zhǔn)，制訂《網(wǎng)絡(luò)安全法》是融入我們國家網(wǎng)絡(luò)安全工作新形勢下、新任務(wù)，貫徹落實(shí)中央決策部署，確保網(wǎng)絡(luò)信息安全和發(fā)展趨勢權(quán)益的重大舉措，是貫徹落實(shí)國家總體安全觀的重要舉措。另一方面，中國是互聯(lián)網(wǎng)強(qiáng)國，都是遭遇網(wǎng)絡(luò)信息安全威協(xié)最嚴(yán)重的我國之一，急需解決創(chuàng)建和健全網(wǎng)絡(luò)安全的法律制度，提升全社會的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)信息安全確保水準(zhǔn)，使他們的互聯(lián)網(wǎng)更為安全性、更為對外開放、更為便捷，也愈發(fā)活力四射。

在這種趨勢下，制訂國家安全法是維護(hù)國家廣大人民群眾合法權(quán)益的必須，是維護(hù)網(wǎng)絡(luò)安全的客觀性必須，是貫徹落實(shí)國家總體安全觀的重要舉措。

2.法律實(shí)際意義

《網(wǎng)絡(luò)安全法》致力于確保在我國網(wǎng)絡(luò)信息安全，維護(hù)保養(yǎng)互聯(lián)網(wǎng)空間主權(quán)和國防安全、社會發(fā)展集體利益，維護(hù)中國公民、公司法人和其他組織的合法權(quán)利，推動社會經(jīng)濟(jì)信息化管理健康發(fā)展。其法律的含義關(guān)鍵反映在以下幾個(gè)方面：

該法從法律法規(guī)方面上把在我國網(wǎng)絡(luò)安全工作提升到國家安全戰(zhàn)略的相對高度，注重對重要信息基礎(chǔ)設(shè)施及私人信息數(shù)據(jù)信息的維護(hù)，明確了我國、主管機(jī)構(gòu)、互聯(lián)網(wǎng)使用者、運(yùn)營人及一般用戶分別的義務(wù)及其違反規(guī)定前的有關(guān)懲罰。

該法規(guī)的頒布對在我國網(wǎng)絡(luò)安全管理方法具備積極意義，是我國互聯(lián)網(wǎng)安全法規(guī)服務(wù)體系的一個(gè)關(guān)鍵里程碑式，為在我國網(wǎng)絡(luò)安全工作帶來了法律規(guī)定。

從公司視角看來，該法規(guī)將加強(qiáng)互聯(lián)網(wǎng)技術(shù)監(jiān)管力度，標(biāo)準(zhǔn)網(wǎng)絡(luò)環(huán)境紀(jì)律，為公司“互聯(lián)網(wǎng)技術(shù) ”服務(wù)的發(fā)展趨勢營造良好的自然環(huán)境。

從個(gè)體視角來講，在現(xiàn)階段私人信息因信息化管理發(fā)生系統(tǒng)漏洞而被泄漏并違反規(guī)定應(yīng)用，從而造成個(gè)人權(quán)利和權(quán)益屢遭傷害的新時(shí)代背景下，該法規(guī)對個(gè)人信息安全提出了明確規(guī)定，因此合理地確保了公民基本權(quán)利。

3.內(nèi)容概述

3.1法律法規(guī)具體內(nèi)容

《網(wǎng)絡(luò)安全法》全篇共7章79條。在其中，第三章“網(wǎng)絡(luò)運(yùn)行安全性”和第四章“網(wǎng)絡(luò)安全”各自對網(wǎng)絡(luò)運(yùn)營者、重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)行和本人信息化管理進(jìn)行了詳細(xì)描述。

《網(wǎng)絡(luò)安全法》章節(jié)目錄概述

3.2維護(hù)目標(biāo)

縱覽法律法規(guī)全篇，《網(wǎng)絡(luò)安全法》的保護(hù)區(qū)目標(biāo)關(guān)鍵對于第三章第二節(jié)“重要信息基礎(chǔ)設(shè)施的運(yùn)轉(zhuǎn)安全可靠”里的“重要信息基礎(chǔ)設(shè)施”和第四章“網(wǎng)絡(luò)安全”里的“私人信息”。

1)重要信息基礎(chǔ)設(shè)施

因?yàn)橹匾畔⒒A(chǔ)設(shè)施在國家網(wǎng)絡(luò)安全中具有至關(guān)重要的功效，因而，我國對關(guān)鍵領(lǐng)域和行業(yè)，及其別的一旦遭到破壞、缺失作用或是數(shù)據(jù)泄漏，很有可能嚴(yán)重威脅國防安全、需求側(cè)改革、集體利益的重要信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級維護(hù)機(jī)制的前提下，推行保護(hù)區(qū)。

重要信息基礎(chǔ)設(shè)施保護(hù)范圍：

政府部門和電力能源、金融業(yè)、交通出行、水利工程、衛(wèi)生醫(yī)療、文化教育、個(gè)人社保、生態(tài)環(huán)境保護(hù)、公共事業(yè)等行業(yè)領(lǐng)域的企業(yè)；

電信網(wǎng)絡(luò)、電視廣播網(wǎng)、互聯(lián)網(wǎng)技術(shù)等網(wǎng)絡(luò)信息，及其給予云計(jì)算技術(shù)、互聯(lián)網(wǎng)大數(shù)據(jù)和別的大中型公共資源互聯(lián)網(wǎng)服務(wù)的企業(yè)；

國防科工、大中型武器裝備、化工廠、食品藥品安全等行業(yè)領(lǐng)域科學(xué)研究生產(chǎn)單位；

電臺廣播、電視臺節(jié)目、新聞社等新聞單位；

別的重點(diǎn)單位。

*之上關(guān)鍵信息重要基礎(chǔ)設(shè)施建設(shè)的標(biāo)準(zhǔn)參照了通信管理局2017年7月公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》

2)私人信息

個(gè)體信息是指以電子器件或多種方式紀(jì)錄的可以獨(dú)立或與更多信息融合鑒別普通合伙人真實(shí)身份的各種各樣信息內(nèi)容，包含與明確普通合伙人有關(guān)的生物學(xué)特性、部位、方式等數(shù)據(jù)，如名字、出世日期、身份證號碼、本人用戶信息、家庭住址、聯(lián)系電話、指紋識別、虹魔等。

*之上本人信息的定義參照了全國各地網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)化技術(shù)聯(lián)合會2016年12月公布的《個(gè)人信息安全規(guī)范(征求意見稿)》

3.3維護(hù)方式

《網(wǎng)絡(luò)安全法》中涵蓋的維護(hù)方式關(guān)鍵有下列幾類：

1)執(zhí)行等級保護(hù)測評

《網(wǎng)絡(luò)安全法》第二十一條要求“網(wǎng)絡(luò)運(yùn)營者理應(yīng)按照網(wǎng)絡(luò)安全等級維護(hù)機(jī)制的規(guī)定，執(zhí)行以下安全保護(hù)責(zé)任，確?；ヂ?lián)網(wǎng)免遭影響、毀壞或是未經(jīng)授權(quán)的瀏覽，防范數(shù)據(jù)泄漏或是被盜取、偽造”。

2)網(wǎng)絡(luò)運(yùn)行安全性和重要信息基礎(chǔ)設(shè)施維護(hù)

在保證網(wǎng)絡(luò)運(yùn)行安全方面，要制訂安全管理制度，貫徹落實(shí)安全職責(zé)，布署安全措施，預(yù)防黑客攻擊（第21條）；保證互聯(lián)網(wǎng)產(chǎn)品與服務(wù)的安全系數(shù)和合規(guī)（第22條）；互聯(lián)網(wǎng)主要設(shè)備和網(wǎng)絡(luò)信息安全專用型商品的認(rèn)證證書和檢測服務(wù)（第23條）；創(chuàng)建網(wǎng)絡(luò)安全問題處理步驟，按時(shí)運(yùn)行應(yīng)急方案（第25條）；重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息安全與信息化管理應(yīng)保證“三同步”（第33條）；開設(shè)網(wǎng)絡(luò)信息安全專門機(jī)構(gòu)和責(zé)任人，按時(shí)培訓(xùn)考核，系統(tǒng)軟件與數(shù)據(jù)信息容災(zāi)備份，應(yīng)急方案并按時(shí)演習(xí)（第39條)；購置安全性產(chǎn)品服務(wù)要接納主管機(jī)構(gòu)的安全審查(第35條)；要與安全性產(chǎn)品服務(wù)方簽署保密協(xié)議書（第36條）；重要數(shù)據(jù)和私人信息跨境電商傳送（第37條）；最少每一年開展一次安全風(fēng)險(xiǎn)評估，并向主管機(jī)構(gòu)匯報(bào)評估結(jié)果；主管機(jī)構(gòu)對重要信息基礎(chǔ)設(shè)施開展抽樣檢查檢驗(yàn)與評定（第38、39條）。

3)個(gè)人信息安全

在個(gè)人隱私保護(hù)層面，機(jī)構(gòu)應(yīng)制訂敏感信息維護(hù)規(guī)章制度（第21(4)、37、40、45、47、48、50條）；網(wǎng)絡(luò)運(yùn)營者搜集、運(yùn)用私人信息時(shí)，要向客戶明確并獲得答應(yīng)，不可違反規(guī)定亂用私人信息（第22、41、44、45條）；網(wǎng)絡(luò)運(yùn)營者理應(yīng)采用技術(shù)措施和其它必要措施，保證其搜集的個(gè)人信息保護(hù)（第42條）；本人有權(quán)利規(guī)定網(wǎng)絡(luò)運(yùn)營者刪掉和修改其私人信息（第43條）；網(wǎng)絡(luò)運(yùn)營者會對其內(nèi)部結(jié)構(gòu)及外界客戶使用網(wǎng)絡(luò)個(gè)人行為開展監(jiān)管（第46、47、48條）；網(wǎng)絡(luò)運(yùn)營者理應(yīng)創(chuàng)建網(wǎng)絡(luò)安全舉報(bào)、舉報(bào)制度，相互配合主管機(jī)構(gòu)的調(diào)研與處理（第49、50條）。

4)網(wǎng)絡(luò)信息安全檢驗(yàn)與預(yù)警信息

為確保網(wǎng)絡(luò)信息安全，《網(wǎng)絡(luò)安全法》第二十一條還要求，“網(wǎng)絡(luò)運(yùn)營者理應(yīng)采用檢測、紀(jì)錄互聯(lián)網(wǎng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全問題的技術(shù)措施，并按規(guī)定存留有關(guān)的互聯(lián)網(wǎng)日志不少于六個(gè)月”，第五十二條要求，“承擔(dān)重要信息基礎(chǔ)設(shè)施安全保護(hù)工作中的單位，理應(yīng)不斷完善本行業(yè)、本行業(yè)的網(wǎng)絡(luò)信息安全監(jiān)測預(yù)警和信息內(nèi)容通報(bào)制度，并按規(guī)定申報(bào)網(wǎng)絡(luò)信息安全監(jiān)測預(yù)警信息內(nèi)容。”；第五十一條要求，國家層面上“我國網(wǎng)信辦單位理應(yīng)統(tǒng)籌兼顧相關(guān)部門提升網(wǎng)絡(luò)信息安全信息收集、剖析和通知工作中，按規(guī)定統(tǒng)一公布網(wǎng)絡(luò)信息安全監(jiān)測預(yù)警信息內(nèi)容。”

5)網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)對

《網(wǎng)絡(luò)安全法》第二十五條要求，“一般網(wǎng)絡(luò)運(yùn)營者理應(yīng)制訂網(wǎng)絡(luò)安全問題應(yīng)急方案，立即處理安全漏洞、網(wǎng)絡(luò)病毒、黑客攻擊、網(wǎng)上入侵等安全隱患；在產(chǎn)生傷害網(wǎng)絡(luò)安全的事情時(shí)，馬上運(yùn)行應(yīng)急方案，采取相應(yīng)的補(bǔ)救，并按規(guī)定向相關(guān)部門匯報(bào)。“；第三十四條要求，“重要信息基礎(chǔ)設(shè)施的運(yùn)營人除制訂網(wǎng)絡(luò)安全問題應(yīng)急方案外還應(yīng)按時(shí)開展演習(xí)”。針對領(lǐng)域監(jiān)管人來講，第五十三條要求，“承擔(dān)重要信息基礎(chǔ)設(shè)施安全保護(hù)工作中的機(jī)構(gòu)應(yīng)該制訂本行業(yè)、本行業(yè)的網(wǎng)絡(luò)安全問題應(yīng)急方案，并按時(shí)機(jī)構(gòu)演習(xí)”。國家層面，第三十九條要求，“網(wǎng)信辦單位按時(shí)機(jī)構(gòu)重要信息基礎(chǔ)設(shè)施的運(yùn)營人開展互聯(lián)網(wǎng)安全應(yīng)急演練，提升解決網(wǎng)絡(luò)安全問題的水準(zhǔn)和協(xié)同配合工作能力”。

6)信息安全技術(shù)人才的培養(yǎng)和安全防范意識宣傳策劃

《網(wǎng)絡(luò)安全法》第三十四條要求，重要信息基礎(chǔ)設(shè)施的經(jīng)營者還理應(yīng)按時(shí)對從業(yè)者開展網(wǎng)絡(luò)安全知識、專業(yè)技術(shù)培訓(xùn)和技能考核；第十九條則規(guī)定各個(gè)市人民政府、相關(guān)部門應(yīng)深入開展習(xí)慣性的網(wǎng)絡(luò)安全宣傳文化教育，并具體指導(dǎo)、催促有關(guān)單位搞好網(wǎng)絡(luò)信息安全宣傳教育工作，大眾媒體應(yīng)該有目的性地面向全國開展網(wǎng)絡(luò)安全宣傳文化教育。

7)崗位職責(zé)貫徹落實(shí)與違規(guī)處罰

為保證《網(wǎng)絡(luò)安全法》成功執(zhí)行，實(shí)行強(qiáng)有力，該法第六章“法律依據(jù)”對所涉及到責(zé)任主體的違反規(guī)定懲治進(jìn)行了詳盡要求。

二、《網(wǎng)絡(luò)安全法》執(zhí)行

為合理地推動《網(wǎng)絡(luò)安全法》的執(zhí)行，整體可分成有關(guān)政策法規(guī)鑒別、合規(guī)管理差距分析、合規(guī)管理相匹配執(zhí)行和管理體系不斷健全四個(gè)步驟。本一部分詳細(xì)說明前三個(gè)步驟，第三部分“網(wǎng)絡(luò)信息安全管理體系健全”敘述第四個(gè)流程。

1.有關(guān)政策法規(guī)鑒別

《網(wǎng)絡(luò)安全法》第八條要求：“國務(wù)院令電信網(wǎng)主管機(jī)構(gòu)、公安機(jī)關(guān)和別的相關(guān)行政機(jī)關(guān)按照此方法和有關(guān)法律、行政規(guī)章的要求，在自己崗位工作職責(zé)內(nèi)承擔(dān)網(wǎng)絡(luò)信息安全維護(hù)和監(jiān)管工作中。”因而，各網(wǎng)絡(luò)運(yùn)營者在執(zhí)行《網(wǎng)絡(luò)安全法》時(shí)，不但要深入了解《網(wǎng)絡(luò)安全法》的規(guī)定，還要參照別的配套設(shè)施的政策法規(guī)及規(guī)范，以保證《網(wǎng)絡(luò)安全法》的安全保障對策能有效落實(shí)。

近些年，主管機(jī)構(gòu)及安全管理標(biāo)準(zhǔn)化組織發(fā)布了好幾個(gè)與《網(wǎng)絡(luò)安全法》執(zhí)行有關(guān)的條例與規(guī)范，有些還處于征詢建議之中。為便于各種組織在執(zhí)行《網(wǎng)絡(luò)安全法》時(shí)進(jìn)行參照，把最主要的有關(guān)政策法規(guī)與規(guī)范目錄如下所示：

中國最近公布《網(wǎng)絡(luò)安全法》有關(guān)條例規(guī)范

海外相關(guān)法律與標(biāo)準(zhǔn)鑒別

機(jī)構(gòu)在執(zhí)行《網(wǎng)絡(luò)安全法》時(shí)，能夠依據(jù)本身的必須對其它國家和地區(qū)的有關(guān)條例和規(guī)范開展鑒別，其目標(biāo)一方面使中國組織參考外國的一些網(wǎng)絡(luò)信息安全最佳實(shí)踐，與此同時(shí)能夠?yàn)楹Ｍ鈾C(jī)構(gòu)在中國執(zhí)行網(wǎng)絡(luò)信息安全合規(guī)管理規(guī)定時(shí)，創(chuàng)建一個(gè)可以比照的參考系。

海外網(wǎng)絡(luò)信息安全有關(guān)政策法規(guī)

2.合規(guī)管理差距分析

以《網(wǎng)絡(luò)安全法》為基本，網(wǎng)絡(luò)運(yùn)營者需從網(wǎng)絡(luò)安全防護(hù)、信息安全技術(shù)和個(gè)人信息安全三方面充分考慮各類法律法規(guī)、政策法規(guī)的監(jiān)管要求，根據(jù)對機(jī)構(gòu)現(xiàn)況的掌握，對機(jī)構(gòu)現(xiàn)階段合規(guī)管理狀況開展差距分析。

《網(wǎng)絡(luò)安全法》合規(guī)管理差距分析

3.合規(guī)管理相匹配執(zhí)行

《網(wǎng)絡(luò)安全法》實(shí)際合規(guī)管理執(zhí)行時(shí)，能從網(wǎng)站運(yùn)營安全性、網(wǎng)絡(luò)安全及重要信息基礎(chǔ)設(shè)施維護(hù)三個(gè)方面，敘述相匹配的維護(hù)標(biāo)準(zhǔn)和相匹配條文，各自從“有關(guān)肇事方”、“管理措施”及“技術(shù)措施”三個(gè)維度剖析其落實(shí)措施關(guān)鍵點(diǎn)。下列舉例子。

3.1網(wǎng)站運(yùn)營安全管理對策

3.2網(wǎng)絡(luò)安全控制方法

3.3重要信息基礎(chǔ)設(shè)施安全管理對策

三、網(wǎng)絡(luò)信息安全管理體系健全

依照《網(wǎng)絡(luò)安全法》執(zhí)行網(wǎng)絡(luò)信息安全控制方法，是現(xiàn)階段中國各種機(jī)構(gòu)在網(wǎng)絡(luò)信息安全層面的關(guān)鍵實(shí)踐活動，但是我們也需要保持清醒地見到，貫徹落實(shí)法律法規(guī)的合規(guī)管理規(guī)定僅僅機(jī)構(gòu)網(wǎng)絡(luò)信息安全的最基本要求，政策法規(guī)不太可能考慮周全。因而，即使機(jī)構(gòu)逐一貫徹落實(shí)了法律規(guī)定的需要，也只是超過了合規(guī)管理的基本要求，也不要確保結(jié)構(gòu)的網(wǎng)絡(luò)信息安全管理體系做到一個(gè)健全的水準(zhǔn)。

因而，在合規(guī)管理的前提下，咱們提議機(jī)構(gòu)依據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，根據(jù)等級保護(hù)測評的辦法來進(jìn)一步完善網(wǎng)絡(luò)信息安全保障機(jī)制，根據(jù)工作人員安全教育培訓(xùn)與意識教育來提高機(jī)構(gòu)的人員安全工作能力，根據(jù)不斷安全風(fēng)險(xiǎn)評估與IT財(cái)務(wù)審計(jì)來推動安全管理體系不斷健全。

1.等級保護(hù)測評有關(guān)規(guī)范標(biāo)準(zhǔn)

信息安全等級維護(hù)制度是我國網(wǎng)絡(luò)信息安全保障工作的基本制度、基本上對策和基本上方式，是推動信息化管理健康發(fā)展，維護(hù)國家安全、公共秩序和集體利益的根本保障。

機(jī)構(gòu)能夠根據(jù)合規(guī)管理差距分析結(jié)論并參考網(wǎng)絡(luò)安全等級維護(hù)和別的政策法規(guī)對網(wǎng)絡(luò)信息安全的規(guī)定，不斷完善機(jī)構(gòu)網(wǎng)絡(luò)信息安全保障機(jī)制，布署并健全安全性管理模式和安全措施，不斷平穩(wěn)地提高網(wǎng)絡(luò)信息安全水準(zhǔn)。

到現(xiàn)在為止，我國制訂與施行了與等級保護(hù)測評有關(guān)的好幾個(gè)國家行業(yè)標(biāo)準(zhǔn)，一些重點(diǎn)行業(yè)也制定了本行業(yè)的信息安全等級維護(hù)規(guī)范，等級保護(hù)測評的方式近些年在中國獲得普遍的使用。

早已公布的等級保護(hù)測評相關(guān)標(biāo)準(zhǔn)：

已經(jīng)征詢建議的等級保護(hù)測評規(guī)范修改草案

為協(xié)助我國貫徹落實(shí)《網(wǎng)絡(luò)安全法》，等級保護(hù)測評規(guī)范的名字將由原先的GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》改成“網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級維護(hù)基本要求”，規(guī)范由原先的一個(gè)標(biāo)準(zhǔn)變動為好幾個(gè)部份構(gòu)成的規(guī)范，各自為：

等級保護(hù)測評目標(biāo)由原先的信息管理系統(tǒng)，調(diào)節(jié)為：安全級別維護(hù)的目標(biāo)包含互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)、信息管理系統(tǒng)、互聯(lián)網(wǎng)大數(shù)據(jù)、云計(jì)算服務(wù)、物聯(lián)網(wǎng)技術(shù)、工控系統(tǒng)等。

等級保護(hù)測評有關(guān)的評定手冊、評測手冊、設(shè)計(jì)方案技術(shù)標(biāo)準(zhǔn)、評測規(guī)定、評測全過程手冊等相關(guān)標(biāo)準(zhǔn)也發(fā)布了相對應(yīng)的修訂本（征求意見）。

2.等級保護(hù)測評系統(tǒng)的制定

等級保護(hù)測評的設(shè)計(jì)方案分成安全設(shè)置設(shè)計(jì)方案、安全工作設(shè)計(jì)方案及安全生產(chǎn)技術(shù)設(shè)計(jì)方案三個(gè)方面的具體內(nèi)容，產(chǎn)生網(wǎng)絡(luò)信息安全保障機(jī)制的組織體系、對策管理體系、技術(shù)體系及運(yùn)作管理體系。

2.1整體安全設(shè)置設(shè)計(jì)方案

整體策略設(shè)計(jì)的目標(biāo)是產(chǎn)生機(jī)構(gòu)基本綱領(lǐng)的安全設(shè)置文檔，包含明確安全方針和安全設(shè)置兩方面的信息。安全方針是表明安全生產(chǎn)工作的重任和意向，界定網(wǎng)絡(luò)信息安全的目標(biāo)，要求網(wǎng)絡(luò)信息安全義務(wù)組織和崗位職責(zé)，創(chuàng)建安全生產(chǎn)工作運(yùn)行模式等；安全設(shè)置是表明安全生產(chǎn)工作的首要戰(zhàn)略，包含安全性組織架構(gòu)區(qū)劃對策、業(yè)務(wù)管理系統(tǒng)等級分類對策、信息數(shù)據(jù)等級分類對策、等級保護(hù)測評目標(biāo)互聯(lián)對策、信息流廣告控制方法等。

根據(jù)戰(zhàn)略方針與對策的設(shè)計(jì)方案，便于機(jī)構(gòu)能夠融合等級保護(hù)測評基本要求系列產(chǎn)品規(guī)范、領(lǐng)域基本要求和安全保護(hù)特別要求，搭建組織等級保護(hù)測評目標(biāo)的安全生產(chǎn)技術(shù)系統(tǒng)架構(gòu)和安全風(fēng)險(xiǎn)管理構(gòu)造。針對新創(chuàng)建的等級保護(hù)測評目標(biāo)，應(yīng)在項(xiàng)目立項(xiàng)時(shí)確立其安全性保護(hù)等級，并根據(jù)對應(yīng)的保護(hù)等級規(guī)定開展整體安全設(shè)置設(shè)計(jì)方案。

2.2安全風(fēng)險(xiǎn)管理設(shè)計(jì)方案

依據(jù)等級保護(hù)測評基本要求系列產(chǎn)品規(guī)范、領(lǐng)域基本要求、安全性需求分析報(bào)告等，設(shè)計(jì)方案等級保護(hù)測評目標(biāo)安全風(fēng)險(xiǎn)管理架構(gòu)。關(guān)鍵是以安全制度、安全管理機(jī)構(gòu)、人員安全管理方法、系統(tǒng)建設(shè)管理方法、運(yùn)維服務(wù)管理方法五個(gè)方面開展設(shè)計(jì)方案。

安全風(fēng)險(xiǎn)管理設(shè)計(jì)成果可分成四層。第一層為整體戰(zhàn)略方針、安全設(shè)置，根據(jù)網(wǎng)絡(luò)信息安全整體戰(zhàn)略方針、安全設(shè)置確立組織網(wǎng)絡(luò)信息安全運(yùn)行的目標(biāo)、范疇、標(biāo)準(zhǔn)等。第二層為網(wǎng)絡(luò)安全管理規(guī)章制度，根據(jù)對網(wǎng)絡(luò)信息安全活動中的各種具體內(nèi)容創(chuàng)建管理方案，管束網(wǎng)絡(luò)信息安全有關(guān)個(gè)人行為。第三層為安全性標(biāo)準(zhǔn)規(guī)范、安全操作規(guī)程，根據(jù)對管理者或檢驗(yàn)人員實(shí)行的日常管理行為創(chuàng)建安全操作規(guī)程，標(biāo)準(zhǔn)網(wǎng)絡(luò)安全管理規(guī)章制度的實(shí)際技術(shù)實(shí)現(xiàn)關(guān)鍵點(diǎn)。第四層為紀(jì)錄、表格，用以在網(wǎng)絡(luò)安全管理規(guī)章制度、安全操作規(guī)程執(zhí)行時(shí)需填好的表格和需保存的操作記錄。

2.3安全性技術(shù)體系設(shè)計(jì)方案

依據(jù)機(jī)構(gòu)整體安全設(shè)置文檔、GB/T22239、領(lǐng)域基本要求和安全需求，設(shè)計(jì)方案等級保護(hù)測評目標(biāo)的安全生產(chǎn)技術(shù)體系架構(gòu)。等級保護(hù)測評目標(biāo)的安全生產(chǎn)技術(shù)安全防護(hù)管理體系由從外到內(nèi)的“深度防御力”管理體系組成，最先根據(jù)“物理環(huán)境安全防范”維護(hù)網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)設(shè)備及其別的設(shè)備設(shè)施免受地震災(zāi)害、火災(zāi)事故、洪水災(zāi)害、偷盜等安全事故造成的損壞，隨后根據(jù)“通訊網(wǎng)絡(luò)信息安全”維護(hù)曝露于外界的通信網(wǎng)絡(luò)和通訊設(shè)備，根據(jù)“互聯(lián)網(wǎng)界限安全防范”對等級保護(hù)測評目標(biāo)執(zhí)行界限安全防范，內(nèi)部結(jié)構(gòu)不一樣等級評定目標(biāo)盡可能各自布署在相對應(yīng)保護(hù)等級的內(nèi)部結(jié)構(gòu)安全區(qū)域，低級別評定目標(biāo)布署在高級安全區(qū)域時(shí)遵照“就高維護(hù)”標(biāo)準(zhǔn)，針對內(nèi)部結(jié)構(gòu)安全區(qū)域?qū)?zhí)行“服務(wù)器機(jī)器設(shè)備安全防范”和“運(yùn)用和網(wǎng)絡(luò)信息安全安全防護(hù)”，根據(jù)“安全性管理處”對全部等級保護(hù)測評目標(biāo)執(zhí)行統(tǒng)一的安全技術(shù)管理。

等級保護(hù)測評目標(biāo)的安全生產(chǎn)技術(shù)體系架構(gòu)見下圖所示：

依據(jù)安全性技術(shù)架構(gòu)的設(shè)計(jì)方案，機(jī)構(gòu)能夠找尋相對應(yīng)的技術(shù)性與商品來執(zhí)行安全管理對策。安全生產(chǎn)技術(shù)與商品的選用，請參照安全性調(diào)研分析組織i春秋發(fā)布的“網(wǎng)絡(luò)信息安全領(lǐng)域全景圖片”（http://all.aqniu.com/）。

網(wǎng)絡(luò)信息安全全景圖片現(xiàn)階段共分成17大安全領(lǐng)域，59個(gè)細(xì)分行業(yè)，包括約200家安全性公司和有關(guān)組織，較為全方位地對流行的安全管理與商品進(jìn)行了詳細(xì)介紹，能夠供客戶在挑選技術(shù)性與商品解決方法時(shí)進(jìn)行參照。

3.網(wǎng)絡(luò)信息安全文化教育與學(xué)習(xí)培訓(xùn)

《網(wǎng)絡(luò)安全法》第三十四條要求，重要信息基礎(chǔ)設(shè)施的經(jīng)營者還理應(yīng)執(zhí)行對從業(yè)者開展網(wǎng)絡(luò)安全知識、專業(yè)技術(shù)培訓(xùn)和技能考核的責(zé)任。

網(wǎng)絡(luò)信息安全文化教育與學(xué)習(xí)培訓(xùn)是實(shí)行合理信息化管理的重要基礎(chǔ)，機(jī)構(gòu)要周期性地開展網(wǎng)絡(luò)信息安全文化教育與培訓(xùn)規(guī)劃，要在職工中產(chǎn)生一個(gè)切實(shí)可行、狠下功夫的氣氛，文化教育的方式不僅生動活潑，還得緊密合理。機(jī)構(gòu)可以選擇選用下列NIST根據(jù)人物角色與崗位職責(zé)的、框架式的安全知識教育實(shí)體模型：

機(jī)構(gòu)可依據(jù)各職位工作人員網(wǎng)絡(luò)信息安全能力建設(shè)要求，設(shè)計(jì)方案將來3到5年網(wǎng)絡(luò)安全培訓(xùn)整體規(guī)劃，并應(yīng)對各職位的作業(yè)特點(diǎn)，制訂各職位網(wǎng)絡(luò)信息安全工作能力需求表，及其由專業(yè)知識組成的課程內(nèi)容。依據(jù)機(jī)構(gòu)的真實(shí)情況可使用下列根據(jù)人物角色與崗位職責(zé)的、框架式的課題設(shè)計(jì)。以下是根據(jù)職位與網(wǎng)絡(luò)信息安全專業(yè)知識體相對應(yīng)的培訓(xùn)實(shí)施方案實(shí)例：

除此之外，《網(wǎng)絡(luò)安全法》第十九條要求，“各級黨委市人民政府以及相關(guān)部門理應(yīng)深入開展習(xí)慣性的網(wǎng)絡(luò)安全宣傳文化教育，并具體指導(dǎo)、催促有關(guān)單位搞好網(wǎng)絡(luò)信息安全宣傳教育工作。“因而，網(wǎng)絡(luò)運(yùn)營者在做好工作人員能力建設(shè)的與此同時(shí)，還應(yīng)提升包含高管以內(nèi)全體人員網(wǎng)絡(luò)安全意識塑造和必要性宣傳策劃的工作中。

普通職工是各類業(yè)務(wù)流程的實(shí)施者，職工信息安全意識的欠缺是機(jī)構(gòu)網(wǎng)絡(luò)信息安全較大的風(fēng)險(xiǎn)性。內(nèi)部人員不經(jīng)意的忽略，往往會引起比較敏感數(shù)據(jù)泄露等安全事故的出現(xiàn)。內(nèi)部人員的信息安全意識水平提升有利于降低網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)性，增強(qiáng)結(jié)構(gòu)的整體網(wǎng)絡(luò)信息安全水準(zhǔn)。

機(jī)構(gòu)應(yīng)設(shè)計(jì)方案與給予圍繞職工全部崗位生命期的、多種多樣層級、多種方式的信息安全意識貫徹落實(shí)，提升機(jī)構(gòu)全體人員的信息安全意識水準(zhǔn)。以下是各種信息安全意識教育模式實(shí)例：

4.安全管理體系的持續(xù)改善

機(jī)構(gòu)在通過合規(guī)管理差距分析并完工機(jī)構(gòu)、管理方法和技術(shù)體系以后，要推動管理體系的運(yùn)轉(zhuǎn)。假如標(biāo)準(zhǔn)批準(zhǔn)，機(jī)構(gòu)還能夠創(chuàng)建網(wǎng)絡(luò)信息安全監(jiān)管運(yùn)作核心（SOC），對安全性運(yùn)行狀態(tài)開展檢查與管理方法。機(jī)構(gòu)要不斷地搜集管理體系運(yùn)行數(shù)據(jù)，對管理體系運(yùn)行狀態(tài)開展精確測量，并依據(jù)測量結(jié)果創(chuàng)建網(wǎng)絡(luò)信息安全績效考評體制，如何才能把網(wǎng)絡(luò)信息安全規(guī)定貫徹落實(shí)到工作流程和職工職位當(dāng)中。

機(jī)構(gòu)要創(chuàng)建網(wǎng)絡(luò)信息安全保障機(jī)制的PDCA循環(huán)模式，以推動服務(wù)體系的不斷健全，全面提高機(jī)構(gòu)的風(fēng)險(xiǎn)分析、安全性防御力、檢測服務(wù)、安全性回應(yīng)與安全性恢復(fù)力，最后完成風(fēng)險(xiǎn)性數(shù)據(jù)可視化、防御力積極化、運(yùn)作自動化技術(shù)、管理方法系統(tǒng)化的安全計(jì)劃，積極主動、積極、快速地解決網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)性，確保業(yè)務(wù)流程與網(wǎng)絡(luò)信息安全。