今日頭條
官方微信
官方抖音
資訊頻道《網絡安全法》自2017年6月1日起實施。
《網絡安全法》共7章79條。第一章是總則,明確了立法目的,本法調整范圍、調整對象、主要任務等內容;第二章是網絡安全支持與促進;第三章是網絡運行安全,包括一般規(guī)定和關鍵信息基礎設施的運行安全;第四章是網絡信息安全;第五章是監(jiān)測預警與應急處置,主要規(guī)定了網絡運營者及有關職能部門的責任義務;第六章是法律責任;第七章是附則。
網絡安全法確立了國家網絡安全等級保護制度,明確了關鍵信息基礎設施保護,關鍵信息基礎設施重要數(shù)據跨境傳輸要求。
接下來的內容摘自2018版《網絡安全法與網絡安全等級保護制度》培訓教程一書,e小安將書中對等級保護、對關鍵信息基礎設施的重點條款解讀搬運過來,便于大家日常開展工作時,有基礎性、全局性的把握。
第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務。
解讀:
本條規(guī)定了國家實行網絡安全等級保護制度,標志著從1994年的國務院條例(國務院令第147號)上升到國家法律;標志著國家實施十余年的信息安全等級保護制度進入2.0階段;標志著以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度依法全面實施。中央關于加強社會治安防控體系建設的意見、公安改革若干重大問題的框架意見要求“健全完善信息安全等級保護制度”。習近平總書記等中央領導批示要求:健全完善以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度。黨政機關、企事業(yè)單位、其他組織、個人等網絡運營者,必須依法落實網絡安法實施監(jiān)管。有關網絡運營者落實網絡安全等級保護制度的具體義務,見2.4節(jié)。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
解讀:
本條規(guī)定了國家關鍵信息基礎設施的保護要求。關系國家重大利益、人民群眾生命財產安全和社會生產生活秩序,一旦遭到破壞、喪失功能或者數(shù)據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統(tǒng)和數(shù)據資源,屬于關鍵信息基礎設施。網絡運營者應當在第三級以上的網絡中,確定關鍵信息基礎設施。關鍵信息基礎設施運營者,一是落實網絡安全等級保護制度,開展定級備案、安全建設整改、等級測評、安全自查等工作,建設關鍵信息基礎設施綜合防御體系,確保關鍵信息基礎設施安全;二是在網絡安全等級保護制度基礎上實施重點保護。
第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數(shù)據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規(guī)程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施,并按照規(guī)定留存相關的網絡日志不少于六個月;
(四)采取數(shù)據分類、重要數(shù)據備份和加密等措施;
(五)法律、行政法規(guī)規(guī)定的其他義務。
解讀:
本條規(guī)定了國家實行網絡安全等級保護制度,網絡運營者按照等級保護制度要求,依照網絡安全等級保護基本要求、安全設計技術要求、測評要求,定級指南,實施指南等一系列國家標準和行業(yè)標準,依法開展網絡系統(tǒng)定級、備案、安全建設整改等級測評、安全檢查等強制性規(guī)定性工作,從管理和技術兩方面,采取防護措施,按照網絡系統(tǒng)的等級,分級開展防護保護,保護網絡安全,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數(shù)據泄露或者被竊取取、篡改。網網絡安全等級保護標,涵蓋了網絡、信息系統(tǒng)、信息、云計算、大數(shù)據、物聯(lián)網網、工控系統(tǒng)、移動互聯(lián)等護對象的保護要求、測評要求和安全設計技術要求,明確了新的定級方法,網運營者應該按照新標準開展網絡安全等級保護工作。
為了突出重點,本條還專門提出網絡運營者應落實的幾個關鍵措施:一是制定內部管理制度和規(guī)范,落實責任制;二是落實防范網絡攻擊的技術措施;三是落實監(jiān)測和記錄措施,要求網絡日志留存六個月;四是落實數(shù)據保護措施,包括分類、備份加密等措施;五是落實法律法規(guī)的其他措施。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
解讀:
國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。
本條規(guī)定了關鍵信息基礎設施保護,以及與與網絡安全等級保護制度的關系。關系國家重大利益、人民群眾生命財產安全和社會生產生活秩序,一旦遭到破壞、喪失功能或者數(shù)據泄露,可能嚴重危害國家安全、國計民生、公共利利益的網絡設施、信息系統(tǒng)和數(shù)據資源等,屬于關鍵信息基礎設施。習近平總書記指出:我國網絡安全保障和防護仍處于較低水平,不僅體現(xiàn)在硬件上,也體現(xiàn)在軟件上,更體現(xiàn)在安全意識和安全標準上;網絡屬非傳統(tǒng)領域,這方面的風險與威脅更具有殺傷力和破壞性,必須引起我們高度重視;我國關鍵信息基礎設施防控還比較薄弱,各部門必須守土盡責,密切配合,完善預案,積極應對,切實強化國家關鍵信息基礎設施防護,確保整個網絡安全;堅決改變只重技術不重安全的做法,加快構建關鍵信息基礎設施安全保障體系,實現(xiàn)全天候全方位感知和有效防護。
第三十二條按照國務院規(guī)定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃,指指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。
解讀:
本條規(guī)定了負責關鍵信息基礎設施安全保護工作的部門組織開展關鍵信息基時確保了網如設施安全保護、監(jiān)督和指導等工作。一是行業(yè)主管部門要組織制定并實施本行業(yè)、本領域關鍵信息基礎設施安全規(guī)劃,監(jiān)督、指導本行業(yè)、本領域關鍵信息基礎設施安全保護工作,落實主管責任。二是國家網信、公安、保密、密碼、安全等部部門,按照法律賦予的職責,根據任務分工,分別組織制定并實施關鍵信息基礎設施安全保護劃行下列統(tǒng)籌協(xié)調,監(jiān)督檢查指導行業(yè)主管部門、網絡運營者落實安全規(guī)劃,開展關鍵信息基礎設施安全保護各項工作,落實責任制,加強考核和督辦。
第三十三條建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的員進行性能,并保證安全技術措施同步規(guī)劃、同步建設、同步使用。
解讀:
本條規(guī)定了關鍵信息基礎設施的功能性能要求和“三同步”要求。重要行業(yè)部門建設關鍵信息基礎設施時,著重考慮兩個要素:一個是功能、性能要求;另一個是安全要求。建設關鍵信息基礎設施投資較大,在規(guī)劃設計階段,要充分論證,以滿足業(yè)務需求,保證業(yè)務的連續(xù)性和穩(wěn)定性。同時,關鍵信息基礎設施在規(guī)劃設計階段,一定要同步規(guī)劃、同步設計安全技術措施和管理措施,安全保護設施與信息化設施同步建設、同步使用,確保關鍵信息基礎設施的功能、性能能正常發(fā)揮。為了保證該項規(guī)定的落實,業(yè)務部門和信息化部門在制定網絡、系統(tǒng)建設方案時,一定要確定關鍵信息基礎設施安全保護等級,根據其安全等級,按照國家標準和行業(yè)標準同步制定安全建設方案,聘請專家進行評審,方案通過后方可進行建設、運行。關鍵信息基礎設施在上線之前,還要進行源代碼檢測、等級測評、風險評估,確保網絡系統(tǒng)運行安全和數(shù)據、信息安全。
第三十四條除本法第二十一條的規(guī)定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務
(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查
(二)定期對從業(yè)人員進行網絡安全教育、技術培訓和技能考核;
(三)對重要系統(tǒng)和數(shù)據庫進行容災備份;
(四)制定網絡安全事件應急預案,并定期進行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務。
解讀:
本條規(guī)定了關鍵信息基礎設施運營者應落實的重點措施。關鍵信息基礎設施運營者除落實本法第二十一條規(guī)定的措施外,還要落實幾項重點措施。
一是建立完善領導體系,成立專門的網絡安全管理機構,明確專門負責網絡安全的領導,確保政令暢通。
二是對負責人、管理員、運維人員等關鍵崗位人員進行背景審查,確保關鍵崗位、部門的人員可靠。
三是建設或利用合作單位培訓、訓練環(huán)境,采取網上網下等多種形式對關鍵崗位人員、從業(yè)人員進行意識教育、網絡安全技術培訓及攻防對抗演練,提高網絡安全業(yè)務能力和實戰(zhàn)能力。四是對有關崗位人員進行分級分類管理,分類考核,將考核成績納人年終考評。五是對重要系統(tǒng)和數(shù)據庫進行容災備份,包括同城、異地方式及冷備、熱備方式,保證系統(tǒng)運行安全、數(shù)據和信息安全。六是制定網絡安全事件應急預案,備建隊伍、裝備,建立與有關部門、企業(yè)的配合機制,并定期進行演練,以檢驗預案的有效性和針對性。六是落實《國家安全法》《反恐怖主義法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》等法律、行政法規(guī)規(guī)定的其他義務。
第三十五條關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
解讀:
本條規(guī)定了非常態(tài)的網絡產品和服務的國家安全審查機制。2015年出臺的《國家安全法》確立了國家安全審查制度。在采購網絡產品和服務時,如果影響國家安全,用戶按照世界貿易組織規(guī)則,可以按照國家安全例外原則,對采購的產品和服務進行限制。關鍵信息基礎設施安全涉及國家安全,因此,關鍵信息基礎設施運營若網絡產品和服務時,對可能影響國家安全的,應當由國家網信部門會同國務院門組織開展國家安全審查,審查通過的,方可采購。本條規(guī)定了國家安全審查機制是非常態(tài)化的,只有在可能影響國家安全的特殊情況下才能啟啟動,不是對網絡產品和服務開展的常態(tài)的網絡安全認證和檢測。
第三十六條關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務與責任。
解讀:
本條規(guī)定了關鍵信息基礎設施運營者、服務商在采購網絡產品和服務時的安全責任和義務,防范外包服務安全,關注供應鏈安全。產品和服務是關鍵信息基礎設施建設、運維中的重要內容,是供應鏈安全的核心,而供應鏈安全又是容易被用戶疏忽的網絡安全的重要內容。因此,關鍵信息基礎設施運營者在采購網絡產品和服務時要采購符合國家有關規(guī)定的網絡產品和服務,慎重選擇提供者;二要與網絡產品和服務提供者簽訂安全保密協(xié)議,明確其安全保密責任和義務;三要采取有效措施,監(jiān)督網絡產品和服務提供者落實安全保密責任和義務。
第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
解讀:
本條規(guī)定了對關鍵信息基礎設施運營者的數(shù)據留存和提供的要求。大數(shù)據涉及國家安全的方方面面,其廣泛應用帶來的安全挑戰(zhàn)日漸凸顯,應切實采取措施,加強對關鍵信息基礎設施和大數(shù)據安全的監(jiān)管和防護。國家將出臺關鍵信息基礎設施數(shù)據對外提供的安全評估辦法,有關部門將對關鍵信息基礎設施運營者的數(shù)據留存和提供進行監(jiān)督、檢査,以確保重要數(shù)據安全符合國家法律法規(guī)和有關標準要求。數(shù)據保護的主要環(huán)節(jié)包括數(shù)據采集、存儲、處理、應用、流動、提供和銷毀。大數(shù)據的基本特征是體量大、種類多、聚合快、價值高,受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成嚴重影響,因此,大數(shù)據安全保護的原則是以數(shù)據為核心,以數(shù)據保護環(huán)節(jié)為主線,落實不同安全保護等級的數(shù)據在保護環(huán)節(jié)中的基本要求。
在我國境內運營中收集和產生的個人信息和重要數(shù)據,應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當進行安全評估。個人信息出境,應向個人信息主體說明數(shù)據出境的目的、范圍、內容、接受方及接收方所在的國家或地區(qū),并經其同意。行業(yè)主管部門負責本行業(yè)數(shù)據出境安全評估工作,定期組織開展本行業(yè)數(shù)據出境安全檢查。
網絡運營者應在數(shù)據出境前,自行組織對數(shù)據出境進行安全評估,并對評估結果負責。數(shù)據出境安全評估應重點評估以下內容:數(shù)據據出境的必要性;涉及個人信息情況,包括個人信息的數(shù)量、范圍、類型、敏感程度,以及個人信息主體是否同意其個人信息出境等;涉及重要數(shù)據情況,包括重要數(shù)據的數(shù)量、范圍、類型及其敏感程度等;數(shù)據接收方的安全保護措施、能力和水平,以及所在國家和地區(qū)的網絡安全環(huán)境等;數(shù)據出境及再轉移后被泄露、毀損、篡改、濫用等風險;數(shù)據出境及出境數(shù)據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險。
第三十八條關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
解讀:
本條規(guī)定了關鍵信息基礎設施運營者開展安全檢測評估的規(guī)定。安全檢測評估活動主要包括等級測評、風險評估、滲透測試等第三方檢測機構的技術服務活動。關鍵信息基礎設施運營者開展檢測評估,分為兩種方式。一種方式是自行檢測評估,利用自己的技術力量開展,屬于自評估性質;另一種方式是委托網絡安全服務機構開展評估,是按照國家有關要求實施。對于后一種方式,關鍵信息基礎設施運營者要按照國家網絡安全等級保護制度要求,聘請符合有關要求的第三方測評機構,對第三級以上網絡系統(tǒng),每年開展一次等級測評、風險評估工作。這兩種方式不能混淆,不能相互替代,都要開展。
第三十九條國家網信部門應當統(tǒng)籌協(xié)調有關部門對關鍵信息基礎設施的安全保護采取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協(xié)同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享;
(四)對網絡安全事件的應急處置與網絡功能的恢復等,提供技術支持和協(xié)助。
解讀:
本條規(guī)定了關鍵信息基礎設施保護中應當統(tǒng)籌協(xié)調采取的措施。國家網信部門應當統(tǒng)籌協(xié)調有關部門積極支持,網絡安全職能部門、行業(yè)主管部門、信息安全企業(yè)等充分發(fā)揮作用,形成合力,支持關鍵信息基礎設施運營者對關鍵信息基礎設施的安全保護采取安全監(jiān)測、通報預警、態(tài)勢感知、風險評估、應急演練、信息共享、應急處置等措施,建立關鍵信息基礎設施綜合防御體系,提高綜合防御能力。
來源:e安在線
北京市公安局海淀分局備案號:11010802023656號