今日頭條
官方微信
官方抖音
資訊頻道《網絡安全法》自2017年6月1日起實施。
《網絡安全法》共7章79條。第一章是總則,明確了立法目的,本法調整范圍、調整對象、主要任務等內容;第二章是網絡安全支持與促進;第三章是網絡運行安全,包括一般規定和關鍵信息基礎設施的運行安全;第四章是網絡信息安全;第五章是監測預警與應急處置,主要規定了網絡運營者及有關職能部門的責任義務;第六章是法律責任;第七章是附則。
網絡安全法確立了國家網絡安全等級保護制度,明確了關鍵信息基礎設施保護,關鍵信息基礎設施重要數據跨境傳輸要求。
接下來的內容摘自2018版《網絡安全法與網絡安全等級保護制度》培訓教程一書,e小安將書中對等級保護、對關鍵信息基礎設施的重點條款解讀搬運過來,便于大家日常開展工作時,有基礎性、全局性的把握。
第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務。
解讀:
本條規定了國家實行網絡安全等級保護制度,標志著從1994年的國務院條例(國務院令第147號)上升到國家法律;標志著國家實施十余年的信息安全等級保護制度進入2.0階段;標志著以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度依法全面實施。中央關于加強社會治安防控體系建設的意見、公安改革若干重大問題的框架意見要求“健全完善信息安全等級保護制度”。習近平總書記等中央領導批示要求:健全完善以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度。黨政機關、企事業單位、其他組織、個人等網絡運營者,必須依法落實網絡安法實施監管。有關網絡運營者落實網絡安全等級保護制度的具體義務,見2.4節。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
解讀:
本條規定了國家關鍵信息基礎設施的保護要求。關系國家重大利益、人民群眾生命財產安全和社會生產生活秩序,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統和數據資源,屬于關鍵信息基礎設施。網絡運營者應當在第三級以上的網絡中,確定關鍵信息基礎設施。關鍵信息基礎設施運營者,一是落實網絡安全等級保護制度,開展定級備案、安全建設整改、等級測評、安全自查等工作,建設關鍵信息基礎設施綜合防御體系,確保關鍵信息基礎設施安全;二是在網絡安全等級保護制度基礎上實施重點保護。
第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
解讀:
本條規定了國家實行網絡安全等級保護制度,網絡運營者按照等級保護制度要求,依照網絡安全等級保護基本要求、安全設計技術要求、測評要求,定級指南,實施指南等一系列國家標準和行業標準,依法開展網絡系統定級、備案、安全建設整改等級測評、安全檢查等強制性規定性工作,從管理和技術兩方面,采取防護措施,按照網絡系統的等級,分級開展防護保護,保護網絡安全,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取取、篡改。網網絡安全等級保護標,涵蓋了網絡、信息系統、信息、云計算、大數據、物聯網網、工控系統、移動互聯等護對象的保護要求、測評要求和安全設計技術要求,明確了新的定級方法,網運營者應該按照新標準開展網絡安全等級保護工作。
為了突出重點,本條還專門提出網絡運營者應落實的幾個關鍵措施:一是制定內部管理制度和規范,落實責任制;二是落實防范網絡攻擊的技術措施;三是落實監測和記錄措施,要求網絡日志留存六個月;四是落實數據保護措施,包括分類、備份加密等措施;五是落實法律法規的其他措施。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
解讀:
國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。
本條規定了關鍵信息基礎設施保護,以及與與網絡安全等級保護制度的關系。關系國家重大利益、人民群眾生命財產安全和社會生產生活秩序,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利利益的網絡設施、信息系統和數據資源等,屬于關鍵信息基礎設施。習近平總書記指出:我國網絡安全保障和防護仍處于較低水平,不僅體現在硬件上,也體現在軟件上,更體現在安全意識和安全標準上;網絡屬非傳統領域,這方面的風險與威脅更具有殺傷力和破壞性,必須引起我們高度重視;我國關鍵信息基礎設施防控還比較薄弱,各部門必須守土盡責,密切配合,完善預案,積極應對,切實強化國家關鍵信息基礎設施防護,確保整個網絡安全;堅決改變只重技術不重安全的做法,加快構建關鍵信息基礎設施安全保障體系,實現全天候全方位感知和有效防護。
第三十二條按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指指導和監督關鍵信息基礎設施運行安全保護工作。
解讀:
本條規定了負責關鍵信息基礎設施安全保護工作的部門組織開展關鍵信息基時確保了網如設施安全保護、監督和指導等工作。一是行業主管部門要組織制定并實施本行業、本領域關鍵信息基礎設施安全規劃,監督、指導本行業、本領域關鍵信息基礎設施安全保護工作,落實主管責任。二是國家網信、公安、保密、密碼、安全等部部門,按照法律賦予的職責,根據任務分工,分別組織制定并實施關鍵信息基礎設施安全保護劃行下列統籌協調,監督檢查指導行業主管部門、網絡運營者落實安全規劃,開展關鍵信息基礎設施安全保護各項工作,落實責任制,加強考核和督辦。
第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的員進行性能,并保證安全技術措施同步規劃、同步建設、同步使用。
解讀:
本條規定了關鍵信息基礎設施的功能性能要求和“三同步”要求。重要行業部門建設關鍵信息基礎設施時,著重考慮兩個要素:一個是功能、性能要求;另一個是安全要求。建設關鍵信息基礎設施投資較大,在規劃設計階段,要充分論證,以滿足業務需求,保證業務的連續性和穩定性。同時,關鍵信息基礎設施在規劃設計階段,一定要同步規劃、同步設計安全技術措施和管理措施,安全保護設施與信息化設施同步建設、同步使用,確保關鍵信息基礎設施的功能、性能能正常發揮。為了保證該項規定的落實,業務部門和信息化部門在制定網絡、系統建設方案時,一定要確定關鍵信息基礎設施安全保護等級,根據其安全等級,按照國家標準和行業標準同步制定安全建設方案,聘請專家進行評審,方案通過后方可進行建設、運行。關鍵信息基礎設施在上線之前,還要進行源代碼檢測、等級測評、風險評估,確保網絡系統運行安全和數據、信息安全。
第三十四條除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務
(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查
(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;
(三)對重要系統和數據庫進行容災備份;
(四)制定網絡安全事件應急預案,并定期進行演練;
(五)法律、行政法規規定的其他義務。
解讀:
本條規定了關鍵信息基礎設施運營者應落實的重點措施。關鍵信息基礎設施運營者除落實本法第二十一條規定的措施外,還要落實幾項重點措施。
一是建立完善領導體系,成立專門的網絡安全管理機構,明確專門負責網絡安全的領導,確保政令暢通。
二是對負責人、管理員、運維人員等關鍵崗位人員進行背景審查,確保關鍵崗位、部門的人員可靠。
三是建設或利用合作單位培訓、訓練環境,采取網上網下等多種形式對關鍵崗位人員、從業人員進行意識教育、網絡安全技術培訓及攻防對抗演練,提高網絡安全業務能力和實戰能力。四是對有關崗位人員進行分級分類管理,分類考核,將考核成績納人年終考評。五是對重要系統和數據庫進行容災備份,包括同城、異地方式及冷備、熱備方式,保證系統運行安全、數據和信息安全。六是制定網絡安全事件應急預案,備建隊伍、裝備,建立與有關部門、企業的配合機制,并定期進行演練,以檢驗預案的有效性和針對性。六是落實《國家安全法》《反恐怖主義法》《中華人民共和國計算機信息系統安全保護條例》等法律、行政法規規定的其他義務。
第三十五條關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
解讀:
本條規定了非常態的網絡產品和服務的國家安全審查機制。2015年出臺的《國家安全法》確立了國家安全審查制度。在采購網絡產品和服務時,如果影響國家安全,用戶按照世界貿易組織規則,可以按照國家安全例外原則,對采購的產品和服務進行限制。關鍵信息基礎設施安全涉及國家安全,因此,關鍵信息基礎設施運營若網絡產品和服務時,對可能影響國家安全的,應當由國家網信部門會同國務院門組織開展國家安全審查,審查通過的,方可采購。本條規定了國家安全審查機制是非常態化的,只有在可能影響國家安全的特殊情況下才能啟啟動,不是對網絡產品和服務開展的常態的網絡安全認證和檢測。
第三十六條關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。
解讀:
本條規定了關鍵信息基礎設施運營者、服務商在采購網絡產品和服務時的安全責任和義務,防范外包服務安全,關注供應鏈安全。產品和服務是關鍵信息基礎設施建設、運維中的重要內容,是供應鏈安全的核心,而供應鏈安全又是容易被用戶疏忽的網絡安全的重要內容。因此,關鍵信息基礎設施運營者在采購網絡產品和服務時要采購符合國家有關規定的網絡產品和服務,慎重選擇提供者;二要與網絡產品和服務提供者簽訂安全保密協議,明確其安全保密責任和義務;三要采取有效措施,監督網絡產品和服務提供者落實安全保密責任和義務。
第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
解讀:
本條規定了對關鍵信息基礎設施運營者的數據留存和提供的要求。大數據涉及國家安全的方方面面,其廣泛應用帶來的安全挑戰日漸凸顯,應切實采取措施,加強對關鍵信息基礎設施和大數據安全的監管和防護。國家將出臺關鍵信息基礎設施數據對外提供的安全評估辦法,有關部門將對關鍵信息基礎設施運營者的數據留存和提供進行監督、檢査,以確保重要數據安全符合國家法律法規和有關標準要求。數據保護的主要環節包括數據采集、存儲、處理、應用、流動、提供和銷毀。大數據的基本特征是體量大、種類多、聚合快、價值高,受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成嚴重影響,因此,大數據安全保護的原則是以數據為核心,以數據保護環節為主線,落實不同安全保護等級的數據在保護環節中的基本要求。
在我國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當進行安全評估。個人信息出境,應向個人信息主體說明數據出境的目的、范圍、內容、接受方及接收方所在的國家或地區,并經其同意。行業主管部門負責本行業數據出境安全評估工作,定期組織開展本行業數據出境安全檢查。
網絡運營者應在數據出境前,自行組織對數據出境進行安全評估,并對評估結果負責。數據出境安全評估應重點評估以下內容:數據據出境的必要性;涉及個人信息情況,包括個人信息的數量、范圍、類型、敏感程度,以及個人信息主體是否同意其個人信息出境等;涉及重要數據情況,包括重要數據的數量、范圍、類型及其敏感程度等;數據接收方的安全保護措施、能力和水平,以及所在國家和地區的網絡安全環境等;數據出境及再轉移后被泄露、毀損、篡改、濫用等風險;數據出境及出境數據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險。
第三十八條關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
解讀:
本條規定了關鍵信息基礎設施運營者開展安全檢測評估的規定。安全檢測評估活動主要包括等級測評、風險評估、滲透測試等第三方檢測機構的技術服務活動。關鍵信息基礎設施運營者開展檢測評估,分為兩種方式。一種方式是自行檢測評估,利用自己的技術力量開展,屬于自評估性質;另一種方式是委托網絡安全服務機構開展評估,是按照國家有關要求實施。對于后一種方式,關鍵信息基礎設施運營者要按照國家網絡安全等級保護制度要求,聘請符合有關要求的第三方測評機構,對第三級以上網絡系統,每年開展一次等級測評、風險評估工作。這兩種方式不能混淆,不能相互替代,都要開展。
第三十九條國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享;
(四)對網絡安全事件的應急處置與網絡功能的恢復等,提供技術支持和協助。
解讀:
本條規定了關鍵信息基礎設施保護中應當統籌協調采取的措施。國家網信部門應當統籌協調有關部門積極支持,網絡安全職能部門、行業主管部門、信息安全企業等充分發揮作用,形成合力,支持關鍵信息基礎設施運營者對關鍵信息基礎設施的安全保護采取安全監測、通報預警、態勢感知、風險評估、應急演練、信息共享、應急處置等措施,建立關鍵信息基礎設施綜合防御體系,提高綜合防御能力。
來源:e安在線
北京市公安局海淀分局備案號:11010802023656號