《網路安全法》最全知識手冊，你要的乾貨都在這裡！

「《網路安全法》6月1日起正式實施了

背景了解嗎？

具體內容知道嗎？

熱點話題呢？

什麼！都不知道？」

沒關係！這裡有本秘籍！

背景介紹篇

壹

問：為什麼要制定這部法？

答：主要是因為在當今的信息化時代，網路已經深刻地融入了我們的經濟社會生活的各個方面，網路安全這個問題已經成為關係國家安全和發展、關係廣大人民群眾切身利益的重大問題。在這個大背景下，制定網路安全法是落實黨中央決策部署的重要舉措,是維護網路安全、國家安全的迫切需要；是維護網路空間國家主權的迫切需要；是深化網路安全等級保護制度是；保護國家關鍵信息基礎設施和大數據安全的迫切需要；是打擊網路違法犯罪、維護廣大人民群眾利益的迫切需要；是參與互聯網國際競爭和國際治理的迫切需要。

貳

問：有什麼亮點和特色？

答：《網路安全法》的亮點包含六方面：第一，網路安全法明確了網路空間主權的原則。第二，明確了網路產品和服務提供者的安全義務。第三，明確了網路運營者的安全義務。第四，進一步完善了個人信息保護規則。第五，建立了關鍵信息基礎設施安全保護制度。第六，確立了關鍵信息基礎設施重要數據跨境傳輸的規則。

叄

問：《網路安全法》有關準備工作進展如何？

答：《網路安全法》公布后，各部門、各地方以及廣大企業、科研單位和院校開展了多種形式的學習宣傳貫徹活動，法律所確定的重要理念、基本要求正在深入人心。目前，有關部門正在按照法律要求抓緊研究起草相關制度文件，包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網路關鍵設備和網路安全專用產品目錄等。其中，《網路產品和服務安全審查辦法（試行）》等配套制度文件已經公開發布。國家標準化部門正抓緊組織制定《個人信息安全規範》等國家標準。總體上看，各項工作都在按計劃推進。

熱點科普篇

壹

問：什麼是網路安全？

答：網路安全是指通過採取必要措施，防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網路處於穩定可靠運行的狀態，以及保障網路數據的完整性、保密性、可用性的能力。

貳

問：誰是網路運營者？

答：網安法適用除軍事網路的安全保護相關單位和個人以外的所有單位和個人。包含了：網路運營者、主管單位、信息安全產品廠商、信息安全服務商、硬體廠商、應用軟體廠商、集成商以及個人。基本涵蓋了所有從事網路安全及信息化的單位、用戶、主管單位和個人。

網路運營者指網路的所有者、管理者和網路服務提供者。系統託管出去，但是責任主體還是單位本身，不會因為託管了責任主體發生改變。

叄

問：《網路安全法》提出的「安全可信」是什麼含義？

答：安全可信與自主可控、安全可控一樣，至少包括以下三個方面含義：

一是保障用戶對數據可控，產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數據，損害用戶對自己數據的控制權；

二是保障用戶對系統可控，產品或服務提供者不應通過網路非法控制和操縱用戶設備，損害用戶對自己所擁有、使用設備和系統的控制權；

三是保障用戶的選擇權，產品和服務提供者不應利用用戶對其產品和服務的依賴性，限制用戶選擇使用其他產品和服務，或停止提供合理的安全技術支持，迫使用戶更新換代，損害用戶的網路安全和利益。

安全可信沒有國別和地區差異，國內外企業和產品都應該符合安全可信的要求。

肆

問：關鍵信息基礎設施的範圍如何確定？將採取什麼措施加強關鍵信息基礎設施保護？

答：關鍵信息基礎設施保護制度的目的是要確保涉及國家安全、國計民生、公共利益的信息系統和設施的安全，與等級保護制度相比所涉及的範圍相對較小。從各國的情況看，具體明確關鍵信息基礎設施相當複雜，是一個在實踐中不斷完善、不斷調整的過程。目前國家互聯網信息辦公室正會同有關部門按照《網路安全法》的要求，抓緊研究制定相關指導性文件和標準，指導相關行業領域明確關鍵信息基礎設施的具體範圍。

加強關鍵信息基礎設施保護，首先是按照《網路安全法》的要求，抓緊制定相關配套制度和標準。要重點做好以下幾方面工作：一是要加強關鍵信息基礎設施保護工作的統籌，強化頂層設計和整體防護，避免多頭分散、各自為政的情況發生。二是要建立完善責任制，政府主要是加強指導監管，關鍵信息基礎設施運營者要承擔起保護的主體責任。三是要加強對從業人員的網路安全教育、技術培訓和技能考核，切實提高網路安全意識和水平。四是要做好網路安全信息共享、應急處置等基礎性工作，提升關鍵信息基礎設施保護能力。五是要加強關鍵信息基礎設施保護中的國際合作。

伍

問：近期有外國協會和機構建議推遲實施《網路安全法》，擔心《網路安全法》會製造貿易壁壘、限制國外企業和技術產品進入市場，對此有什麼評論？

答：借鑒國際通行做法，根據本國國情，制定相關法律、行政法規，並依法對網路進行管理，完全是各國主權範圍內的事情。

制定和實施《網路安全法》，其目的是要維護國家網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的權益，而不是要限制國外企業、技術、產品進入市場，不是要限制數據依法有序自由流動。

法規細則篇

壹

問：此次網路安全法主要是針對那些範圍？

答：管理監督範圍：第二條 在中華人民共和國境內建設、運營、維護和使用網路，以及網路安全的監督管理，適用本法。

針對境內外的防護打擊範圍：第五條 國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網路違法犯罪活動，維護網路空間安全和秩序。

貳

問：國家主管部門的責任有哪些？

答：主管部門責任：第八條 國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責範圍內負責網路安全保護和監督管理工作。

行業組織責任：第十一條 網路相關行業組織按照章程，加強行業自律，制定網路安全行為規範，指導會員加強網路安全保護，提高網路安全保護水平，促進行業健康發展。

公民個人義務：第十四條 任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理；不屬於本部門職責的，應當及時移送有權處理的部門，並且有關部門應當對舉報人的相關信息予以保密，保護舉報人的合法權益。

叄

問：網路運營者的責任義務有哪些？

答：網路運營者要守法經營：第九條 網路運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網路安全保護義務，接受政府和社會的監督，承擔社會責任。

網路建設必需安全先行：第十條 建設、運營網路或者通過網路提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，採取技術措施和其他必要措施，保障網路安全、穩定運行，有效應對網路安全事件，防範網路違法犯罪活動，維護網路數據的完整性、保密性和可用性。

肆

問：保護與打擊對象有哪些？

答：網路安全法保護的對象與目標：第十二條 國家保護公民、法人和其他組織依法使用網路的權利，促進網路接入普及，提升網路服務水平，為社會提供安全、便利的網路服務，保障網路信息依法有序自由流動。

網路安全法打擊的目標：任何個人和組織使用網路應當遵守憲法法律，遵守公共秩序，尊重社會公德，不得危害網路安全，不得利用網路從事危害國家安全、榮譽和利益，煽動顛覆國家政權、推翻社會主義制度，煽動分裂國家、破壞國家統一，宣揚恐怖主義、極端主義，宣揚民族仇恨、民族歧視，傳播暴力、淫穢色情信息，編造、傳播虛假信息擾亂經濟秩序和社會秩序，以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。

對未成年人的保護：第十三條 國家支持研究開發有利於未成年人健康成長的網路產品和服務，依法懲治利用網路從事危害未成年人身心健康的活動，為未成年人提供安全、健康的網路環境。

伍

問：對網路運營者管理的基本要求有哪些？

答：（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；

（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；

（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

陸

問：對設備廠商的要求有哪些？

答：一般性要求是符合標準，不能有後門，發現漏洞要公布，提供補丁：第二十二條網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序；發現其網路產品、服務存在安全缺陷、漏洞等風險時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。

持續維護能力，這條很重要，皮包公司或OEM應逐步被剔除：網路產品、服務的提供者應當為其產品、服務持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。

採集用戶隱私信息要聲明：網路產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示並取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。

增強要求標準，產品要測評認證，CII中產品需要建立銷售許可制度：第二十三條網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄，並推動安全認證和安全檢測結果互認，避免重複認證、檢測。

柒

問：《網路安全法》規定，「網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供」，這條如何執行？

答：國家互聯網信息辦公室、工業和信息化部、公安部、國家認監委即將發布第一批網路關鍵設備和網路安全專用產品目錄。列入這一目錄的設備和產品，應該按照有關國家標準的強制性要求，由具備資格的機構進行認證或檢測。此前，已經按照國家有關規定檢測符合要求或認證合格的，在有效期內無須進行認證或檢測。

捌

問：《網路安全法》規定，「網路運營者應當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息」，這是否會侵害個人隱私，妨礙網上言論自由？

答：堅持積極利用、科學發展、依法管理、確保安全的方針，在推進互聯網發展，加強互聯網管理過程中，充分保障人權和言論自由，充分尊重廣大人民群眾的知情權、參與權、表達權和監督權。同時，也強調任何人、任何機構都應該對自己在網上的言行負責，個人的自由不應以損害他人的自由和社會公共利益為代價，任何人和機構都有義務自覺維護網路秩序，自覺維護網路安全。

對這條規定有兩點理解：1.針對的是用戶公開發布的信息，而不是個人通信信息，不會損害個人隱私。2.要求停止傳輸的是違法信息，不存在妨礙言論自由問題。

壹

問：應該採取哪些措施積極落實網路安全法要求？

答：網路信息安全

對存儲和處理大量個人信息的信息系統要重點檢查數據容災備份、用戶許可權控制和數據使用審計、重要敏感信息加密、防攻擊等數據保護措施落實情況，實施風險控制和補償措施如加密、脫敏等。

網路組織安全

在組織機構統一的應急預案框架下制定不同事件的應急預案。定期對應急預案進行演練,根據不同的應急恢復內容，確定演練的周期。

網路使用安全

不破壞網路自身的安全：不製作惡意軟體；在合法的授權下，以科研為目的的作品要進行妥善管理。

不為非法活動提供條件：單位內部針對信息安全漏洞的分析工具以及分析結果，應當妥善管理，避免為不法分子所用。

網路運行安全

網路運營者：按照網路安全等級保護制度的要求，履行安全保護義務；對相關負責人員和單位員工開展網路安全相關教育與法規制度培訓。關鍵信息基礎設施運營者：在網路安全等級保護的基礎上，實施重點保護；自行或委託網路安全服務機構對個人信息和重要數據實施安全風險評估（每年至少一次）。採購網路產品與服務要確認開發編碼安全、身份安全等，系統建設同步開展安全規劃、安全設計等。

貳

問：有哪些安全解決方案可以讓企業符合網路安全法要求？

答：針對網路安全法的重要規定和企業面臨的安全問題，360企業安全推出系列安全解決方案，全面護航政企網路安全！

▲360發布國內首個業務安全解決方案 1個月限時免費試用