《网络安全法》自2017年6月1日起实施。
《网络安全法》共7章79条。第一章是总则,明确了立法目的,本法调整范围、调整对象、主要任务等内容;第二章是网络安全支持与促进;第三章是网络运行安全,包括一般规定和关键信息基础设施的运行安全;第四章是网络信息安全;第五章是监测预警与应急处置,主要规定了网络运营者及有关职能部门的责任义务;第六章是法律责任;第七章是附则。
网络安全法确立了国家网络安全等级保护制度,明确了关键信息基础设施保护,关键信息基础设施重要数据跨境传输要求。
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。
解读:
本条规定了国家实行网络安全等级保护制度,标志着从1994年的国务院条例(国务院令第147号)上升到国家法律;标志着国家实施十余年的信息安全等级保护制度进入2.0阶段;标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。习近平总书记等中央领导批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。党政机关、企事业单位、其他组织、个人等网络运营者,必须依法落实网络安法实施监管。有关网络运营者落实网络安全等级保护制度的具体义务,见2.4节。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
解读:
本条规定了国家关键信息基础设施的保护要求。关系国家重大利益、人民群众生命财产安全和社会生产生活秩序,一旦遭到破坏、丧失功能或者数据泄露,可能严重
危害国家安全、国计民生、公共利益的网络设施、信息系统和数据资源,属于关键信息基础设施。网络运营者应当在第三级以上的网络中,确定关键信息基础设施。关键信息基础设施运营者,一是落实网络安全等级保护制度,开展定级备案、安全建设整改、等级测评、安全自查等工作,建设关键信息基础设施综合防御体系,确保关键信息基础设施安全;二是在网络安全等级保护制度基础上实施重点保护。
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
解读:
本条规定了国家实行网络安全等级保护制度,网络运营者按照等级保护制度要求,依照网络安全等级保护基本要求、安全设计技术要求、测评要求,定级指南,实施指南等一系列国家标准和行业标准,依法开展网络系统定级、备案、安全建设整改等级测评、安全检查等强制性规定性工作,从管理和技术两方面,采取防护措施,按照网络系统的等级,分级开展防护保护,保护网络安全,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取取、篡改。网网络安全等级保护标,涵盖了网络、信息系统、信息、云计算、大数据、物联网网、工控系统、移动互联等护对象的保护要求、测评要求和安全设计技术要求,明确了新的定级方法,网运营者应该按照新标准开展网络安全等级保护工作。
为了突出重点,本条还专门提出网络运营者应落实的几个关键措施:一是制定内部管理制度和规范,落实责任制;二是落实防范网络攻击的技术措施;三是落实监测
和记录措施,要求网络日志留存六个月;四是落实数据保护措施,包括分类、备份加密等措施;五是落实法律法规的其他措施。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护
制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
解读:
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
本条规定了关键信息基础设施保护,以及与与网络安全等级保护制度的关系。关系国家重大利益、人民群众生命财产安全和社会生产生活秩序,一旦遭到破坏、丧失
功能或者数据泄露,可能严重危害国家安全、国计民生、公共利利益的网络设施、信息系统和数据资源等,属于关键信息基础设施。习近平总书记指出:我国网络安全保障和防护仍处于较低水平,不仅体现在硬件上,也体现在软件上,更体现在安全意识和安全标准上;网络属非传统领域,这方面的风险与威胁更具有杀伤力和破坏性,必须引起我们高度重视;我国关键信息基础设施防控还比较薄弱,各部门必须守土尽责,密切配合,完善预案,积极应对,切实强化国家关键信息基础设施防护,确保整个网络安全;坚决改变只重技术不重安全的做法,加快构建关键信息基础设施安全保障体系,实现全天候全方位感知和有效防护。
第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指指导和监督关键信息基础设施运行安全保护工作。
解读:
本条规定了负责关键信息基础设施安全保护工作的部门组织开展关键信息基时确保了网如设施安全保护、监督和指导等工作。一是行业主管部门要组织制定并实施本行业、本领域关键信息基础设施安全规划,监督、指导本行业、本领域关键信息基础设施安全保护工作,落实主管责任。二是国家网信、公安、保密、密码、安全等部部门,按照法律赋予的职责,根据任务分工,分别组织制定并实施关键信息基础设施安全保护划行下列
统筹协调,监督检查指导行业主管部门、网络运营者落实安全规划,开展关键信息基础设施安全保护各项工作,落实责任制,加强考核和督办。
第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的员进行性能,并保证安全技术措施同步规划、同步建设、同步使用。
解读:
本条规定了关键信息基础设施的功能性能要求和“三同步”要求。重要行业部门建设关键信息基础设施时,着重考虑两个要素:一个是功能、性能要求;另一个是安
全要求。建设关键信息基础设施投资较大,在规划设计阶段,要充分论证,以满足业务需求,保证业务的连续性和稳定性。同时,关键信息基础设施在规划设计阶段,一定要同步规划、同步设计安全技术措施和管理措施,安全保护设施与信息化设施同步建设、同步使用,确保关键信息基础设施的功能、性能能正常发挥。为了保证该项规定的落实,业务部门和信息化部门在制定网络、系统建设方案时,一定要确定关键信息基础设施安全保护等级,根据其安全等级,按照国家标准和行业标准同步制定安全建设方案,聘请专家进行评审,方案通过后方可进行建设、运行。关键信息基础设施在上线之前,还要进行源代码检测、等级测评、风险评估,确保网络系统运行安全和数据、信息安全。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
解读:
本条规定了关键信息基础设施运营者应落实的重点措施。关键信息基础设施运营者除落实本法第二十一条规定的措施外,还要落实几项重点措施。
一是建立完善领导体系,成立专门的网络安全管理机构,明确专门负责网络安全的领导,确保政令畅通。
二是对负责人、管理员、运维人员等关键岗位人员进行背景审查,确保关键岗位、部门的人员可靠。
三是建设或利用合作单位培训、训练环境,采取网上网下等多种形式对关键岗位人员、从业人员进行意识教育、网络安全技术培训及攻防对抗演练,提高网络安全业务能力和实战能力。四是对有关岗位人员进行分级分类管理,分类考核,将考核成绩纳人年终考评。五是对重要系统和数据库进行容灾备份,包括同城、异地方式及冷备、热备方式,保证系统运行安全、数据和信息安全。六是制定网络安全事件应急预案,备建队伍、装备,建立与有关部门、企业的配合机制,并定期进行演练,以检验预案的有效性和针对性。六是落实《国家安全法》《反恐怖主义法》《中华人民共和国计算机信息系统安全保护条例》等法律、行政法规规定的其他义务。
第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
解读:
本条规定了非常态的网络产品和服务的国家安全审查机制。2015年出台的《国家安全法》确立了国家安全审查制度。在采购网络产品和服务时,如果影响国家安全,用户按照世界贸易组织规则,可以按照国家安全例外原则,对采购的产品和服务进行限制。关键信息基础设施安全涉及国家安全,因此,关键信息基础设施运营若网络产品和服务时,对可能影响国家安全的,应当由国家网信部门会同国务院门组织开展国家安全审查,审查通过的,方可采购。本条规定了国家安全审查机制是非常态化的,只有在可能影响国家安全的特殊情况下才能启启动,不是对网络产品和服务开展的常态的网络安全认证和检测。
第三十六条关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
解读:
本条规定了关键信息基础设施运营者、服务商在采购网络产品和服务时的安全责任和义务,防范外包服务安全,关注供应链安全。产品和服务是关键信息基础设施建设、运维中的重要内容,是供应链安全的核心,而供应链安全又是容易被用户疏忽的网络安全的重要内容。因此,关键信息基础设施运营者在采购网络产品和服务时要采购符合国家有关规定的网络产品和服务,慎重选择提供者;二要与网络产品和服务提供者签订安全保密协议,明确其安全保密责任和义务;三要采取有效措施,监督网络产品和服务提供者落实安全保密责任和义务。
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
解读:
本条规定了对关键信息基础设施运营者的数据留存和提供的要求。大数据涉及国家安全的方方面面,其广泛应用带来的安全挑战日渐凸显,应切实采取措施,加强对关键信息基础设施和大数据安全的监管和防护。国家将出台关键信息基础设施数据对外提供的安全评估办法,有关部门将对关键信息基础设施运营者的数据留存和提供进行监督、检査,以确保重要数据安全符合国家法律法规和有关标准要求。数据保护的主要环节包括数据采集、存储、处理、应用、流动、提供和销毁。大数据的基本特征是体量大、种类多、聚合快、价值高,受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成严重影响,因此,大数据安全保护的原则是以数据为核心,以数据保护环节为主线,落实不同安全保护等级的数据在保护环节中的基本要求。
在我国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接受方及接收方所在的国家或地区,并经其同意。行业主管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。
网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。数据出境安全评估应重点评估以下内容:数据据出境的必要性;涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;数据出境及再转移后被泄露、毁损、篡改、滥用等风险;数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险。
第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
解读:
本条规定了关键信息基础设施运营者开展安全检测评估的规定。安全检测评估活动主要包括等级测评、风险评估、渗透测试等第三方检测机构的技术服务活动。关
键信息基础设施运营者开展检测评估,分为两种方式。一种方式是自行检测评估,利用自己的技术力量开展,属于自评估性质;另一种方式是委托网络安全服务机构开展评估,是按照国家有关要求实施。对于后一种方式,关键信息基础设施运营者要按照国家网络安全等级保护制度要求,聘请符合有关要求的第三方测评机构,对第三级以上网络系统,每年开展一次等级测评、风险评估工作。这两种方式不能混淆,不能相互替代,都要开展。
第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
解读:
本条规定了关键信息基础设施保护中应当统筹协调采取的措施。国家网信部门应当统筹协调有关部门积极支持,网络安全职能部门、行业主管部门、信息安全企业
等充分发挥作用,形成合力,支持关键信息基础设施运营者对关键信息基础设施的安全保护采取安全监测、通报预警、态势感知、风险评估、应急演练、信息共享、应急处置等措施,建立关键信息基础设施综合防御体系,提高综合防御能力。
