安全牛發布《網路安全法實施指南》

前言

隨著信息化建設的不斷推進和互聯網應用的日趨普及，網路安全問題層出不窮：網路入侵、網路攻擊等非法活動威脅了信息安全；非法獲取、倒賣公民信息、侵犯知識產權損害了公民的合法利益；危害國家安全、社會穩定與公共利益的不良信息藉助網路迅速傳播。反觀國外，包括歐盟、美國、日本在內的國家或組織紛紛制定了與網路安全相關的法律。

因此，《網路安全法》的制定對相關立法工作的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實黨中央決策部署的重要舉措，是維護網路安全的客觀需要，是維護大眾切身利益的必然要求，也是參與互聯網國際競爭和國際治理的必然選擇。

《網路安全法》的頒布實施，最重要的意義在於它把網路安全工作以法律形式提高到了國家安全戰略的高度，並將信息安全等級保護制度上升為法律，成為維護國家網路空間主權、安全和發展利益的重要舉措。同時，它的出台也符合維護網路安全的客觀需要，提高了全社會網路安全保護的意識和能力，確保今後網路使用更加安全、開放和便利。

關鍵內容

√ 基於《網路安全法》要求，對近期與該法相關的法規標準進行了歸納總結，從而為組織機構在法律應對與實施的具體操作中提供參考指南；同時，本指南還識別了其他國家和地區的相關法規和標準，從而為國內組織機構在應對、實施《網路安全法》時提供對比和參考內容。

√ 本指南從網路安全管理、網路安全技術和個人信息保護等三方面的法律、法規監管要求出發，為組織機構提供了合規差距分析的參考維度及相應的合規要求；同時，在合規應對實施環節，從網路運營安全、網路信息安全及關鍵信息基礎設施保護等三方面，就「相關責任方」、「管理措施」及「技術措施」等三個維度總結了具體實施要點。

√ 為確保組織機構建立完善的信息安全管理體系，本指南以信息安全等級保護制度和網路安全等級保護及其他法規要求為基礎，總結並設計出了包括安全策略、安全管理和安全技術在內的等級保護體系；同時，基於《網路安全法》中對組織人員能力和意識的要求，給出了相應的教育模型和培訓案例，最終實現組織信息安全的持續改進。

引言

2017年6月1日正式實施的《網路安全法》具有里程碑式的意義。它不僅是第一部網路安全的專門性綜合性立法，提出了應對網路安全挑戰這一全球性問題的方案，彰顯了黨和國家對網路安全問題的高度重視，同時，它還是網路安全法治建設的重要里程碑，使得今後網路安全管理工作步入法制化軌道，信息安全行業將由合規性驅動過渡到合規性和強制性驅動並重的新階段。

《網路安全法》在網路空間主權、國家網路安全等級保護制度、關鍵信息基礎設施保護、網路運營者、網路產品和服務提供者義務、保障網路信息安全，個人信息保護、關鍵信息基礎設施重要數據跨境傳輸、監測預警與應急處置等方面做出明確規定。因此，國內組織機構，特別是涉及關鍵信息基礎設施的行業機構在踐行《網路安全法》時，一方面應切實履行好自身網路安全工作的責任與義務，另一方面，還需要依據《網路安全法》的法律要求進行落地實施，有效提高自身的網路安全保護水平。

一、《網路安全法》概述

1. 立法背景

2014年2月中央網路安全和信息化領導小組成立，標誌著把網路安全提升到了國家安全的高度並開始醞釀網路安全法編寫工作；2015年6月十二屆全國人大常委會審議了《網路安全法（草案）》，2016年7月二次審議稿正式在人大網公布，並向社會公開徵求意見；2016年11月7日，歷經全國人大常委會兩次審議的關於網路安全管理的法律《中華人民共和國網路安全法》最終審議通過，並於2017年6月1日正式實施。

與國外立法相比，《網路安全法》歷經三年就發布實施無疑是快速的。這是因為當前的網路安全迫切要求。網路已經深刻地融入了經濟社會生活的各個方面，網路安全威脅也隨之向經濟社會的各個層面滲透，網路安全的重要性隨之不斷提高。

一方面，黨的十八大以來，國家主管部門加強了國家網路安全工作並做出了重要的部署，對加強網路安全法制建設提出了明確的要求，制定《網路安全法》是適應我們國家網路安全工作新形勢、新任務，落實中央決策部署，保障網路安全和發展利益的重大舉措，是落實國家總體安全觀的重要舉措。另一方面，是網路大國，也是面臨網路安全威脅最嚴重的國家之一，迫切需要建立和完善網路安全的法律制度，提高全社會的網路安全意識和網路安全保障水平，使我們的網路更加安全、更加開放、更加便利，也更加充滿活力。

在這樣的形勢下，制定網路安全法是維護國家廣大人民群眾切身利益的需要，是維護網路安全的客觀需要，是落實國家總體安全觀的重要舉措。

2. 立法意義

《網路安全法》旨在保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展。其立法的意義主要體現在以下幾點：

該法從法律層面上把網路安全工作提高到了國家安全戰略的高度，強調對關鍵信息基礎設施及個人信息數據的保護，明確了國家、主管部門、網路所有者、運營者及普通用戶各自的責任以及違規后的相關處罰。
該法律的出台對互聯網安全管理具有重大意義，是網路安全法律法規體系建設的一個重要里程碑，為網路安全工作提供了法律依據。
從企業角度來看，該法律將強化互聯網監管力度，規範網路空間秩序，為企業「互聯網+」業務的發展營造良好的環境。
從個人角度來看，在當前個人信息因信息管理出現漏洞而被泄露並違法使用，進而導致個人權利和利益頻遭侵害的背景下，該法律對個人信息保護提出了明確要求，從而有效地保障了公民權利。

3. 內容概述

3.1 法律內容

《網路安全法》全文共7章79條。其中，第三章「網路運行安全」和第四章「網路信息安全」分別對網路運營者、關鍵信息基礎設施的網路運行和個人信息管理做了詳細說明。

《網路安全法》章節概覽

3.2 保護對象

縱觀法律全文，《網路安全法》的重點保護對象主要針對第三章第二節「關鍵信息基礎設施的運行安全」中的「關鍵信息基礎設施」和第四章「網路信息安全」中的「個人信息」。

1) 關鍵信息基礎設施

由於關鍵信息基礎設施在國家網路安全中有著舉足輕重的作用，因此，國家對重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。

關鍵信息基礎設施保護範圍：

政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；
電信網、廣播電視網、互聯網等信息網路，以及提供雲計算、大數據和其他大型公共信息網路服務的單位；
國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；
廣播電台、電視台、通訊社等新聞單位；
其他重點單位。

* 以上關鍵信息關鍵基礎設施的範圍參考了網信辦2017年7月發布的《關鍵信息基礎設施安全保護條例（徵求意見稿）》

2) 個人信息

個人信息是指以電子或其他方式記錄的能夠單獨或與其他信息結合識別自然人身份的各種信息，包括與確定自然人相關的生物特徵、位置、行為等信息，如姓名、出生日期、身份證號、個人賬號信息、住址、電話號碼、指紋、虹膜等。

*以上個人信息的定義參考了全國信息安全標準化技術委員會2016年12月發布的《個人信息安全規範(徵求意見稿)》

3.3 保護方法

《網路安全法》中涉及的保護方法主要有以下幾種：

1) 實施等級保護

《網路安全法》第二十一條規定「網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改」。

2) 網路運行安全和關鍵信息基礎設施保護

在確保網路運行安全方面，要制定安全制度，落實安全職責，部署安全技術措施，防範網路攻擊（第21條）；確保網路產品和服務的安全性和合規性（第22條）；網路關鍵設備和網路安全專用產品的安全認證和安全檢測（第23條）；建立網路安全事件處置流程，及時啟動應急預案（第25條）；關鍵信息基礎設施的網路安全與信息化應做到「三同步」（第33條）；設立信息安全專門機構和負責人，定期培訓考核，系統與數據容災備份，應急預案並定期演練（第39條)；採購安全產品與服務要接受主管部門的安全審查(第35條)；要與安全產品與服務方簽訂保密協議（第36條）；重要數據和個人信息跨境傳輸（第37條）；至少每年進行一次安全評估，並向主管部門上報評估結果；主管部門對關鍵信息基礎設施進行抽查檢測與評估（第38、39條）。

3) 個人信息保護

在個人信息保護方面，組織應制定敏感信息保護制度（第21(4)、37、40、45、47、48、50條）；網路運營者收集、使用個人信息時，要向用戶明示並取得同意，不得超範圍濫用個人信息（第22、41、44、45條）；網路運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全（第42條）；個人有權要求網路運營者刪除和更改其個人信息（第43條）；網路運營者要對其內部及外部用戶使用網路行為進行監督（第46、47、48條）；網路運營者應當建立網路信息安全投訴、舉報制度，配合主管部門的調查與處置（第49、50條）。

4) 網路安全檢測與預警

為保障網路安全，《網路安全法》第二十一條還規定，「網路運營者應當採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月」，第五十二條規定，「負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網路安全監測預警和信息通報制度，並按照規定報送網路安全監測預警信息。」；第五十一條規定，國家層面上「國家網信部門應當統籌協調有關部門加強網路安全信息收集、分析和通報工作，按照規定統一發布網路安全監測預警信息。」

5) 網路安全應急管理

《網路安全法》第二十五條規定，「普通網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。「；第三十四條規定，「關鍵信息基礎設施的運營者除制定網路安全事件應急預案外還應定期進行演練」。對於行業監管者而言，第五十三條規定，「負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網路安全事件應急預案，並定期組織演練」。國家層面，第三十九條規定，「網信部門定期組織關鍵信息基礎設施的運營者進行網路安全應急演練，提高應對網路安全事件的水平和協同配合能力」。

6) 網路安全技術人才培養和安全意識宣傳

《網路安全法》第三十四條規定，關鍵信息基礎設施的運營者還應當定期對從業人員進行網路安全教育、技術培訓和技能考核；第十九條則要求各級人民政府、有關部門應組織開展經常性的網路安全宣傳教育，並指導、督促有關單位做好網路安全宣傳教育工作，大眾媒體應有針對性地面向社會進行網路安全宣傳教育。

7) 職責落實與違規處罰

為確保《網路安全法》順利實施，執行有力，該法第六章「法律責任」對所涉及責任主體的違法懲處進行了詳細規定。

二、《網路安全法》實施

為有效地推進《網路安全法》的實施，總體可分為相關法規識別、合規差距分析、合規對應實施和體系持續完善四個步驟。本部分詳細描述前三個步驟，第三部分「信息安全體系完善」描述第四個步驟。

1. 相關法規識別

《網路安全法》第八條規定：「國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責範圍內負責網路安全保護和監督管理工作。」因此，各網路運營者在實施《網路安全法》時，不僅要深入了解《網路安全法》的要求，還需要參考其他配套的法規及標準，以確保《網路安全法》的安全控制措施能有效落實。

近年來，主管部門及安全標準化機構發布了多個與《網路安全法》實施相關的法規與標準，有的還處在徵求意見當中。為方便各類機構在實施《網路安全法》時加以參考，把最重要的相關法規與標準列表如下：

國內近期發布《網路安全法》相關法規標準

國外相關法律與規範識別

組織在實施《網路安全法》時，可以根據自身的需要對其他國家和地區的相關法規和標準進行識別，其目的一方面使國內機構借鑒國外的一些網路安全最佳實踐，同時可以為國外組織在國內實施網路安全合規要求時，建立一個可以對比的參照系。

國外網路安全相關法規

2. 合規差距分析

以《網路安全法》為基礎，網路運營者應從網路安全管理、網路安全技術和個人信息保護三方面綜合考慮各項法律、法規的監管要求，通過對組織現狀的了解，對組織當前合規情況進行差距分析。

《網路安全法》合規差距分析

3. 合規對應實施

《網路安全法》具體合規實施時，可以從網路運營安全、網路信息安全及關鍵信息基礎設施保護三個方面，描述對應的保護要求和對應條款，分別從「相關責任方」、「管理措施」及「技術措施」三個維度分析其具體實施要點。以下舉例說明。

3.1 網路運營安全控制措施

3.2 網路信息安全控制措施

3.3 關鍵信息基礎設施安全控制措施

三、信息安全體系完善

按照《網路安全法》實施網路安全控制措施，是當前國內各類組織在信息安全方面的重要實踐，但我們也要清醒地看到，落實法律的合規要求只是組織信息安全的最基本要求，法規不可能面面俱到。因此，就算組織逐條落實了法規的要求，也只是達到了合規的基本要求，也不能保證組織的信息安全體系達到一個完善的水平。

因此，在合規的基礎上，我們建議組織根據《網路安全法》的要求，通過等級保護的方法來進一步完善信息安全保障體系，通過人員安全培訓與意識教育來提升組織的人員安全能力，通過持續安全評估與IT審計來推進安全體系持續完善。

1. 等級保護相關規範標準

信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。

組織可以基於合規差距分析結果並參照網路安全等級保護和其他法規對信息安全的要求，建立健全組織信息安全保障體系，部署並完善安全管理策略和安全技術措施，持續穩定地提升信息安全水平。

到目前為止，國家制定與頒布了與等級保護相關的多個國家標準，一些重點行業也制定了本行業的信息安全等級保護標準，等級保護的方法近年來在國內得到廣泛的應用。

已經發布的等級保護相關標準：

計算機信息系統安全等級保護劃分準則(GB 17859-1999)（基礎類標準）
信息系統安全等級保護基本要求(GB/T 22239-2008)（應用類建設標準）
信息系統安全保護等級定級指南(GB/T 22240-2008)（應用類定級標準）
信息系統安全等級保護實施指南(GB/T 25058-2010)（基礎類標準）
信息系統等級保護安全設計技術要求(GB/T 25070-2010)（應用類建設標準）
信息系統安全等級保護測評要求(GB/T 28448-2012)（應用類測評標準）
信息系統安全等級保護測評過程指南(GB/T 28449-2012)（應用類測評標準）
信息系統通用安全技術要求(GB/T 20271-2006)（應用類建設標準）
信息系統安全管理要求(GB/T 20269-2006)（應用類管理標準）
信息系統安全工程管理要求(GB/T 20282-2006)（應用類管理標準）

正在徵求意見的等級保護標準修訂稿

為配合國家落實《網路安全法》，等級保護標準的名稱將由原來的GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》改為「信息安全技術網路安全等級保護基本要求」，標準由原來的一個標準變更為多個部分組成的標準，分別為：

GB/T 22239.1 信息安全技術網路安全等級保護基本要求-第1部分安全通用要求
GB/T 22239.2 信息安全技術網路安全等級保護基本要求-第2部分雲計算安全擴展要求
GB/T 22239.3 信息安全技術網路安全等級保護基本要求-第3部分移動互聯安全擴展要求
GB/T 22239.4 信息安全技術網路安全等級保護基本要求-第4部分物聯網安全擴展要求
GB/T 22239.5 信息安全技術網路安全等級保護基本要求-第5部分工業控制安全擴展要求
GB/T 22239.6 信息安全技術網路安全等級保護基本要求-第6部分大數據安全擴展要求

等級保護對象由原來的信息系統，調整為：安全等級保護的對象包括網路基礎設施、信息系統、大數據、雲計算平台、物聯網、工控系統等。

等級保護相關的定級指南、測評指南、設計技術要求、測評要求、測評過程指南等相關標準也發布了相應的修訂版（徵求意見稿）。

2. 等級保護體系的設計

等級保護的設計分為安全策略設計、安全管理設計及安全技術設計三個方面的內容，形成信息安全保障體系的組織體系、策略體系、技術體系及運行體系。

2.1 總體安全策略設計

總體策略設計的目標是形成組織綱領性的安全策略文件，包括確定安全方針和安全策略兩方面的內容。安全方針是闡明安全工作的使命和意願，定義信息安全的總體目標，規定信息安全責任機構和職責，建立安全工作運行模式等；安全策略是說明安全工作的主要策略，包括安全組織機構劃分策略、業務系統分級策略、數據信息分級策略、等級保護對象互連策略、信息流控制策略等。

通過方針與策略的設計，以便組織可以結合等級保護基本要求系列標準、行業基本要求和安全保護特殊要求，構建機構等級保護對象的安全技術體系結構和安全管理體系結構。對於新建的等級保護對象，應在立項時明確其安全保護等級，並按照相應的保護等級要求進行總體安全策略設計。

2.2 安全管理體系設計

根據等級保護基本要求系列標準、行業基本要求、安全需求分析報告等，設計等級保護對象安全管理體系框架。主要是從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面進行設計。

安全管理體系設計成果可分為四層。第一層為總體方針、安全策略，通過信息安全總體方針、安全策略明確機構信息安全工作的總體目標、範圍、原則等。第二層為信息安全管理制度，通過對信息安全活動中的各類內容建立管理制度，約束信息安全相關行為。第三層為安全技術標準、操作規程，通過對管理人員或操作人員執行的日常管理行為建立操作規程，規範信息安全管理制度的具體技術實現細節。第四層為記錄、表單，用於在信息安全管理制度、操作規程實施時需填寫的表單和需保留的操作記錄。

2.3 安全技術體系設計

根據組織總體安全策略文件、GB/T 22239、行業基本要求和安全需求，設計等級保護對象的安全技術體系架構。等級保護對象的安全技術防護體系由從外到內的「縱深防禦」體系構成，首先通過「物理環境安全防護」保護伺服器、網路設備以及其他設備設施免遭地震、火災、水災、盜竊等事故導致的破壞，然後通過「通信網路安全防護」保護暴露於外部的通信線路和通信設備，通過「網路邊界安全防護」對等級保護對象實施邊界安全防護，內部不同級別定級對象盡量分別部署在相應保護等級的內部安全區域，低級別定級對象部署在高等級安全區域時遵循「就高保護」原則，對於內部安全區域將實施「主機設備安全防護」和「應用和數據安全防護」，通過「安全管理中心」對整個等級保護對象實施統一的安全技術管理。

等級保護對象的安全技術體系架構見下圖所示：

根據安全技術架構的設計，組織可以尋找相應的技術與產品來實施安全控制措施。安全技術與產品的選擇，請參考安全調查分析機構安全牛推出的 「網路安全行業全景圖」（http://all.aqniu.com/）。

網路安全全景圖目前共分為17大安全領域，59個細分領域，包含約200家安全企業和相關機構，比較全面地對主流的安全技術與產品進行了介紹，可以供用戶在選擇技術與產品解決方案時加以參考。

3. 信息安全教育與培訓

《網路安全法》第三十四條規定，關鍵信息基礎設施的運營者還應當履行對從業人員進行網路安全教育、技術培訓和技能考核的義務。

信息安全教育與培訓是實施有效信息管理的重要基礎，組織要周期性地進行信息安全教育與培訓規劃，要在員工中形成一個行之有效、常抓不懈的氛圍，教育的形式既要生動有趣，又要緊湊有效。組織可以考慮採用以下NIST基於角色與職責的、框架式的安全教育模型：

組織可根據各崗位人員信息安全能力建設需求，設計未來3到5年信息安全培訓規劃，並針對各崗位的工作特徵，制定各崗位信息安全能力需求表，以及由知識組合成的課程。根據組織的實際情況可採用以下基於角色與職責的、框架式的課程設計。以下是基於崗位與信息安全知識體對應的培訓方案示例：

此外，《網路安全法》第十九條規定，「各級人民政府及其有關部門應當組織開展經常性的網路安全宣傳教育，並指導、督促有關單位做好網路安全宣傳教育工作。「因此，網路運營者在進行人員能力建設的同時，還應加強包括管理層在內全員網路安全意識培養和重要性宣傳的工作。

普通員工是各項業務的執行者，員工信息安全意識的薄弱是組織信息安全最大的風險。內部員工無意的疏忽，往往會引發敏感信息泄露等安全事件的發生。內部員工的信息安全意識水平提升有助於減少信息安全風險，提升組織的總體信息安全水平。

組織應設計與提供貫穿員工整個職業生命周期的、多種層次、多種方式的信息安全意識宣貫，提高組織全體員工的信息安全意識水平。以下是各類信息安全意識教育形式示例：

4. 安全體系的持續改進

組織在經過合規差距分析並建成組織、管理和技術體系之後，要推進體系的運行。如果條件許可，組織還可以建立信息安全監控運行中心（SOC），對安全運行狀態進行檢測與管理。組織要持續地收集體系運行數據，對體系運行狀態進行測量，並根據測量結果建立信息安全績效考核機制，這樣才能把信息安全要求落實到業務流程和員工崗位之中。

組織要建立信息安全保障體系的PDCA循環模式，以推進體系建設的持續完善，全面提升組織的風險識別、安全防禦、安全檢測、安全響應與安全恢復能力，最終實現風險可視化、防禦主動化、運行自動化、管理流程化的安全目標，積極、主動、快速地應對網路安全風險，保障業務與數據安全。