信息來源：安全牛

前言

隨著我國信息化建設(shè)的不斷推進(jìn)和互聯(lián)網(wǎng)應(yīng)用的日趨普及，網(wǎng)絡(luò)安全問題層出不窮：網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等非法活動威脅了我國信息安全；非法獲取、倒賣公民信息、侵犯知識產(chǎn)權(quán)損害了我國公民的合法利益；危害國家安全、社會穩(wěn)定與公共利益的不良信息借助網(wǎng)絡(luò)迅速傳播。反觀國外，包括歐盟、美國、日本在內(nèi)的國家或組織紛紛制定了與網(wǎng)絡(luò)安全相關(guān)的法律。

因此，《網(wǎng)絡(luò)安全法》的制定對我國相關(guān)立法工作的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實黨中央決策部署的重要舉措，是維護(hù)網(wǎng)絡(luò)安全的客觀需要，是維護(hù)大眾切身利益的必然要求，也是我國參與互聯(lián)網(wǎng)國際競爭和國際治理的必然選擇。

《網(wǎng)絡(luò)安全法》的頒布實施，最重要的意義在于它把網(wǎng)絡(luò)安全工作以法律形式提高到了國家安全戰(zhàn)略的高度，并將信息安全等級保護(hù)制度上升為法律，成為維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益的重要舉措。同時，它的出臺也符合維護(hù)網(wǎng)絡(luò)安全的客觀需要，提高了全社會網(wǎng)絡(luò)安全保護(hù)的意識和能力，確保今后網(wǎng)絡(luò)使用更加安全、開放和便利。

關(guān)鍵內(nèi)容

√ 基于《網(wǎng)絡(luò)安全法》要求，對近期與該法相關(guān)的法規(guī)標(biāo)準(zhǔn)進(jìn)行了歸納總結(jié)，從而為組織機(jī)構(gòu)在法律應(yīng)對與實施的具體操作中提供參考指南；同時，本指南還識別了其他國家和地區(qū)的相關(guān)法規(guī)和標(biāo)準(zhǔn)，從而為國內(nèi)組織機(jī)構(gòu)在應(yīng)對、實施《網(wǎng)絡(luò)安全法》時提供對比和參考內(nèi)容。

√ 本指南從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)和個人信息保護(hù)等三方面的法律、法規(guī)監(jiān)管要求出發(fā)，為組織機(jī)構(gòu)提供了合規(guī)差距分析的參考維度及相應(yīng)的合規(guī)要求；同時，在合規(guī)應(yīng)對實施環(huán)節(jié)，從網(wǎng)絡(luò)運(yùn)營安全、網(wǎng)絡(luò)信息安全及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等三方面，就“相關(guān)責(zé)任方”、“管理措施”及“技術(shù)措施”等三個維度總結(jié)了具體實施要點。

√ 為確保組織機(jī)構(gòu)建立完善的信息安全管理體系，本指南以信息安全等級保護(hù)制度和網(wǎng)絡(luò)安全等級保護(hù)及其他法規(guī)要求為基礎(chǔ)，總結(jié)并設(shè)計出了包括安全策略、安全管理和安全技術(shù)在內(nèi)的等級保護(hù)體系；同時，基于《網(wǎng)絡(luò)安全法》中對組織人員能力和意識的要求，給出了相應(yīng)的教育模型和培訓(xùn)案例，最終實現(xiàn)組織信息安全的持續(xù)改進(jìn)。

引言

2017年6月1日正式實施的《網(wǎng)絡(luò)安全法》具有里程碑式的意義。它不僅是我國第一部網(wǎng)絡(luò)安全的專門性綜合性立法，提出了應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)這一全球性問題的中國方案，彰顯了黨和國家對網(wǎng)絡(luò)安全問題的高度重視，同時，它還是我國網(wǎng)絡(luò)安全法治建設(shè)的重要里程碑，使得今后我國網(wǎng)絡(luò)安全管理工作步入法制化軌道，信息安全行業(yè)將由合規(guī)性驅(qū)動過渡到合規(guī)性和強(qiáng)制性驅(qū)動并重的新階段。

《網(wǎng)絡(luò)安全法》在網(wǎng)絡(luò)空間主權(quán)、國家網(wǎng)絡(luò)安全等級保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者義務(wù)、保障網(wǎng)絡(luò)信息安全，個人信息保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸、監(jiān)測預(yù)警與應(yīng)急處置等方面做出明確規(guī)定。因此，國內(nèi)組織機(jī)構(gòu)，特別是涉及關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)機(jī)構(gòu)在踐行《網(wǎng)絡(luò)安全法》時，一方面應(yīng)切實履行好自身網(wǎng)絡(luò)安全工作的責(zé)任與義務(wù)，另一方面，還需要依據(jù)《網(wǎng)絡(luò)安全法》的法律要求進(jìn)行落地實施，有效提高自身的網(wǎng)絡(luò)安全保護(hù)水平。

一、《網(wǎng)絡(luò)安全法》概述

1. 立法背景

2014年2月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，標(biāo)志著我國把網(wǎng)絡(luò)安全提升到了國家安全的高度并開始醞釀網(wǎng)絡(luò)安全法編寫工作；2015年6月十二屆全國人大常委會審議了《網(wǎng)絡(luò)安全法（草案）》，2016年7月二次審議稿正式在中國人大網(wǎng)公布，并向社會公開征求意見；2016年11月7日，歷經(jīng)全國人大常委會兩次審議的關(guān)于我國網(wǎng)絡(luò)安全管理的法律《中華人民共和國網(wǎng)絡(luò)安全法》最終審議通過，并于2017年6月1日正式實施。

與國外立法相比，《網(wǎng)絡(luò)安全法》歷經(jīng)三年就發(fā)布實施無疑是快速的。這是因為中國當(dāng)前的網(wǎng)絡(luò)安全迫切要求。網(wǎng)絡(luò)已經(jīng)深刻地融入了中國經(jīng)濟(jì)社會生活的各個方面，網(wǎng)絡(luò)安全威脅也隨之向經(jīng)濟(jì)社會的各個層面滲透，網(wǎng)絡(luò)安全的重要性隨之不斷提高。

一方面，黨的十八大以來，國家主管部門加強(qiáng)了國家網(wǎng)絡(luò)安全工作并做出了重要的部署，對加強(qiáng)網(wǎng)絡(luò)安全法制建設(shè)提出了明確的要求，制定《網(wǎng)絡(luò)安全法》是適應(yīng)我們國家網(wǎng)絡(luò)安全工作新形勢、新任務(wù)，落實中央決策部署，保障網(wǎng)絡(luò)安全和發(fā)展利益的重大舉措，是落實國家總體安全觀的重要舉措。另一方面，中國是網(wǎng)絡(luò)大國，也是面臨網(wǎng)絡(luò)安全威脅最嚴(yán)重的國家之一，迫切需要建立和完善網(wǎng)絡(luò)安全的法律制度，提高全社會的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全保障水平，使我們的網(wǎng)絡(luò)更加安全、更加開放、更加便利，也更加充滿活力。

在這樣的形勢下，制定網(wǎng)絡(luò)安全法是維護(hù)國家廣大人民群眾切身利益的需要，是維護(hù)網(wǎng)絡(luò)安全的客觀需要，是落實國家總體安全觀的重要舉措。

2. 立法意義

《網(wǎng)絡(luò)安全法》旨在保障我國網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展。其立法的意義主要體現(xiàn)在以下幾點：

• 該法從法律層面上把我國網(wǎng)絡(luò)安全工作提高到了國家安全戰(zhàn)略的高度，強(qiáng)調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施及個人信息數(shù)據(jù)的保護(hù)，明確了國家、主管部門、網(wǎng)絡(luò)所有者、運(yùn)營者及普通用戶各自的責(zé)任以及違規(guī)后的相關(guān)處罰。
• 該法律的出臺對我國互聯(lián)網(wǎng)安全管理具有重大意義，是我國網(wǎng)絡(luò)安全法律法規(guī)體系建設(shè)的一個重要里程碑，為我國網(wǎng)絡(luò)安全工作提供了法律依據(jù)。
• 從企業(yè)角度來看，該法律將強(qiáng)化互聯(lián)網(wǎng)監(jiān)管力度，規(guī)范網(wǎng)絡(luò)空間秩序，為企業(yè)“互聯(lián)網(wǎng)+”業(yè)務(wù)的發(fā)展?fàn)I造良好的環(huán)境。
• 從個人角度來看，在當(dāng)前個人信息因信息管理出現(xiàn)漏洞而被泄露并違法使用，進(jìn)而導(dǎo)致個人權(quán)利和利益頻遭侵害的背景下，該法律對個人信息保護(hù)提出了明確要求，從而有效地保障了公民權(quán)利。

3. 內(nèi)容概述

3.1 法律內(nèi)容

《網(wǎng)絡(luò)安全法》全文共7章79條。其中，第三章“網(wǎng)絡(luò)運(yùn)行安全”和第四章“網(wǎng)絡(luò)信息安全”分別對網(wǎng)絡(luò)運(yùn)營者、關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)行和個人信息管理做了詳細(xì)說明。

《網(wǎng)絡(luò)安全法》章節(jié)概覽

3.2 保護(hù)對象

縱觀法律全文，《網(wǎng)絡(luò)安全法》的重點保護(hù)對象主要針對第三章第二節(jié) “關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”中的“關(guān)鍵信息基礎(chǔ)設(shè)施”和第四章“網(wǎng)絡(luò)信息安全”中的“個人信息”。

1) 關(guān)鍵信息基礎(chǔ)設(shè)施

由于關(guān)鍵信息基礎(chǔ)設(shè)施在國家網(wǎng)絡(luò)安全中有著舉足輕重的作用，因此，國家對重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：

• 政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；
• 電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；
• 國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；
• 廣播電臺、電視臺、通訊社等新聞單位；
• 其他重點單位。

* 以上關(guān)鍵信息關(guān)鍵基礎(chǔ)設(shè)施的范圍參考了網(wǎng)信辦2017年7月發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》

2) 個人信息

個人信息是指以電子或其他方式記錄的能夠單獨或與其他信息結(jié)合識別自然人身份的各種信息，包括與確定自然人相關(guān)的生物特征、位置、行為等信息，如姓名、出生日期、身份證號、個人賬號信息、住址、電話號碼、指紋、虹膜等。

*以上個人信息的定義參考了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2016年12月發(fā)布的《個人信息安全規(guī)范(征求意見稿)》

3.3 保護(hù)方法

《網(wǎng)絡(luò)安全法》中涉及的保護(hù)方法主要有以下幾種：

1) 實施等級保護(hù)

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。

2) 網(wǎng)絡(luò)運(yùn)行安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

在確保網(wǎng)絡(luò)運(yùn)行安全方面，要制定安全制度，落實安全職責(zé)，部署安全技術(shù)措施，防范網(wǎng)絡(luò)攻擊（第21條）；確保網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性和合規(guī)性（第22條）；網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測（第23條）；建立網(wǎng)絡(luò)安全事件處置流程，及時啟動應(yīng)急預(yù)案（第25條）；關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全與信息化應(yīng)做到“三同步”（第33條）；設(shè)立信息安全專門機(jī)構(gòu)和負(fù)責(zé)人，定期培訓(xùn)考核，系統(tǒng)與數(shù)據(jù)容災(zāi)備份，應(yīng)急預(yù)案并定期演練（第39條)；采購安全產(chǎn)品與服務(wù)要接受主管部門的安全審查(第35條)；要與安全產(chǎn)品與服務(wù)方簽訂保密協(xié)議（第36條）；重要數(shù)據(jù)和個人信息跨境傳輸（第37條）；至少每年進(jìn)行一次安全評估，并向主管部門上報評估結(jié)果；主管部門對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行抽查檢測與評估（第38、39條）。

3) 個人信息保護(hù)

在個人信息保護(hù)方面，組織應(yīng)制定敏感信息保護(hù)制度（第21(4)、37、40、45、47、48、50條）；網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息時，要向用戶明示并取得同意，不得超范圍濫用個人信息（第22、41、44、45條）；網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全（第42條）；個人有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除和更改其個人信息（第43條）；網(wǎng)絡(luò)運(yùn)營者要對其內(nèi)部及外部用戶使用網(wǎng)絡(luò)行為進(jìn)行監(jiān)督（第46、47、48條）；網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報制度，配合主管部門的調(diào)查與處置（第49、50條）。

4) 網(wǎng)絡(luò)安全檢測與預(yù)警

為保障網(wǎng)絡(luò)安全，《網(wǎng)絡(luò)安全法》第二十一條還規(guī)定，“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月”， 第五十二條規(guī)定，“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息?！保坏谖迨粭l規(guī)定，國家層面上“國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息?！?

5) 網(wǎng)絡(luò)安全應(yīng)急管理

《網(wǎng)絡(luò)安全法》第二十五條規(guī)定，“普通網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報告?！?；第三十四條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者除制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案外還應(yīng)定期進(jìn)行演練”。對于行業(yè)監(jiān)管者而言，第五十三條規(guī)定，“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練”。國家層面，第三十九條規(guī)定，“網(wǎng)信部門定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力”。

6) 網(wǎng)絡(luò)安全技術(shù)人才培養(yǎng)和安全意識宣傳

《網(wǎng)絡(luò)安全法》第三十四條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核； 第十九條則要求各級人民政府、有關(guān)部門應(yīng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育，并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作，大眾媒體應(yīng)有針對性地面向社會進(jìn)行網(wǎng)絡(luò)安全宣傳教育。

7) 職責(zé)落實與違規(guī)處罰

為確?！毒W(wǎng)絡(luò)安全法》順利實施，執(zhí)行有力，該法第六章“法律責(zé)任”對所涉及責(zé)任主體的違法懲處進(jìn)行了詳細(xì)規(guī)定。

二、《網(wǎng)絡(luò)安全法》實施

為有效地推進(jìn)《網(wǎng)絡(luò)安全法》的實施，總體可分為相關(guān)法規(guī)識別、合規(guī)差距分析、合規(guī)對應(yīng)實施和體系持續(xù)完善四個步驟。本部分詳細(xì)描述前三個步驟，第三部分“信息安全體系完善”描述第四個步驟。

1. 相關(guān)法規(guī)識別

《網(wǎng)絡(luò)安全法》第八條規(guī)定：“國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作?！币虼?，各網(wǎng)絡(luò)運(yùn)營者在實施《網(wǎng)絡(luò)安全法》時，不僅要深入了解《網(wǎng)絡(luò)安全法》的要求，還需要參考其他配套的法規(guī)及標(biāo)準(zhǔn)，以確?！毒W(wǎng)絡(luò)安全法》的安全控制措施能有效落實。

近年來，主管部門及安全標(biāo)準(zhǔn)化機(jī)構(gòu)發(fā)布了多個與《網(wǎng)絡(luò)安全法》實施相關(guān)的法規(guī)與標(biāo)準(zhǔn)，有的還處在征求意見當(dāng)中。為方便各類機(jī)構(gòu)在實施《網(wǎng)絡(luò)安全法》時加以參考，把最重要的相關(guān)法規(guī)與標(biāo)準(zhǔn)列表如下：

國內(nèi)近期發(fā)布《網(wǎng)絡(luò)安全法》相關(guān)法規(guī)標(biāo)準(zhǔn)

• 國外相關(guān)法律與規(guī)范識別

組織在實施《網(wǎng)絡(luò)安全法》時，可以根據(jù)自身的需要對其他國家和地區(qū)的相關(guān)法規(guī)和標(biāo)準(zhǔn)進(jìn)行識別，其目的一方面使國內(nèi)機(jī)構(gòu)借鑒國外的一些網(wǎng)絡(luò)安全最佳實踐，同時可以為國外組織在國內(nèi)實施網(wǎng)絡(luò)安全合規(guī)要求時，建立一個可以對比的參照系。

國外網(wǎng)絡(luò)安全相關(guān)法規(guī)

2. 合規(guī)差距分析

以《網(wǎng)絡(luò)安全法》為基礎(chǔ)，網(wǎng)絡(luò)運(yùn)營者應(yīng)從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)和個人信息保護(hù)三方面綜合考慮各項法律、法規(guī)的監(jiān)管要求，通過對組織現(xiàn)狀的了解，對組織當(dāng)前合規(guī)情況進(jìn)行差距分析。

《網(wǎng)絡(luò)安全法》合規(guī)差距分析

3. 合規(guī)對應(yīng)實施

《網(wǎng)絡(luò)安全法》具體合規(guī)實施時，可以從網(wǎng)絡(luò)運(yùn)營安全、網(wǎng)絡(luò)信息安全及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)三個方面，描述對應(yīng)的保護(hù)要求和對應(yīng)條款，分別從“相關(guān)責(zé)任方”、“管理措施”及“技術(shù)措施”三個維度分析其具體實施要點。以下舉例說明。

3.1 網(wǎng)絡(luò)運(yùn)營安全控制措施

3.2 網(wǎng)絡(luò)信息安全控制措施

3.3 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施

三、信息安全體系完善

按照《網(wǎng)絡(luò)安全法》實施網(wǎng)絡(luò)安全控制措施，是當(dāng)前國內(nèi)各類組織在信息安全方面的重要實踐，但我們也要清醒地看到，落實法律的合規(guī)要求只是組織信息安全的最基本要求，法規(guī)不可能面面俱到。因此，就算組織逐條落實了法規(guī)的要求，也只是達(dá)到了合規(guī)的基本要求，也不能保證組織的信息安全體系達(dá)到一個完善的水平。

因此，在合規(guī)的基礎(chǔ)上，我們建議組織根據(jù)《網(wǎng)絡(luò)安全法》的要求，通過等級保護(hù)的方法來進(jìn)一步完善信息安全保障體系，通過人員安全培訓(xùn)與意識教育來提升組織的人員安全能力，通過持續(xù)安全評估與IT審計來推進(jìn)安全體系持續(xù)完善。

1. 等級保護(hù)相關(guān)規(guī)范標(biāo)準(zhǔn)

信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國家安全、社會秩序和公共利益的根本保障。

組織可以基于合規(guī)差距分析結(jié)果并參照網(wǎng)絡(luò)安全等級保護(hù)和其他法規(guī)對信息安全的要求，建立健全組織信息安全保障體系，部署并完善安全管理策略和安全技術(shù)措施，持續(xù)穩(wěn)定地提升信息安全水平。

到目前為止，國家制定與頒布了與等級保護(hù)相關(guān)的多個國家標(biāo)準(zhǔn)，一些重點行業(yè)也制定了本行業(yè)的信息安全等級保護(hù)標(biāo)準(zhǔn)，等級保護(hù)的方法近年來在國內(nèi)得到廣泛的應(yīng)用。

已經(jīng)發(fā)布的等級保護(hù)相關(guān)標(biāo)準(zhǔn)：

• 計算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則(GB 17859-1999)（基礎(chǔ)類標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級保護(hù)基本要求(GB/T 22239-2008)（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全保護(hù)等級定級指南(GB/T 22240-2008)（應(yīng)用類定級標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級保護(hù)實施指南(GB/T 25058-2010)（基礎(chǔ)類標(biāo)準(zhǔn)）
• 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求(GB/T 25070-2010)（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級保護(hù)測評要求(GB/T 28448-2012)（應(yīng)用類測評標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全等級保護(hù)測評過程指南(GB/T 28449-2012)（應(yīng)用類測評標(biāo)準(zhǔn)）
• 信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2006)（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全管理要求(GB/T 20269-2006)（應(yīng)用類管理標(biāo)準(zhǔn)）
• 信息系統(tǒng)安全工程管理要求(GB/T 20282-2006)（應(yīng)用類管理標(biāo)準(zhǔn)）

正在征求意見的等級保護(hù)標(biāo)準(zhǔn)修訂稿

為配合國家落實《網(wǎng)絡(luò)安全法》，等級保護(hù)標(biāo)準(zhǔn)的名稱將由原來的GB/T22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》改為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求”，標(biāo)準(zhǔn)由原來的一個標(biāo)準(zhǔn)變更為多個部分組成的標(biāo)準(zhǔn)，分別為：

• GB/T 22239.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求-第1部分 安全通用要求
• GB/T 22239.2 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求-第2部分 云計算安全擴(kuò)展要求
• GB/T 22239.3 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求-第3部分 移動互聯(lián)安全擴(kuò)展要求
• GB/T 22239.4 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求-第4部分 物聯(lián)網(wǎng)安全擴(kuò)展要求
• GB/T 22239.5 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求-第5部分 工業(yè)控制安全擴(kuò)展要求
• GB/T 22239.6 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求-第6部分 大數(shù)據(jù)安全擴(kuò)展要求

等級保護(hù)對象由原來的信息系統(tǒng)，調(diào)整為：安全等級保護(hù)的對象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)等。

等級保護(hù)相關(guān)的定級指南、測評指南、設(shè)計技術(shù)要求、測評要求、測評過程指南等相關(guān)標(biāo)準(zhǔn)也發(fā)布了相應(yīng)的修訂版（征求意見稿）。

2. 等級保護(hù)體系的設(shè)計

等級保護(hù)的設(shè)計分為安全策略設(shè)計、安全管理設(shè)計及安全技術(shù)設(shè)計三個方面的內(nèi)容，形成信息安全保障體系的組織體系、策略體系、技術(shù)體系及運(yùn)行體系。

2.1 總體安全策略設(shè)計

總體策略設(shè)計的目標(biāo)是形成組織綱領(lǐng)性的安全策略文件，包括確定安全方針和安全策略兩方面的內(nèi)容。安全方針是闡明安全工作的使命和意愿，定義信息安全的總體目標(biāo)，規(guī)定信息安全責(zé)任機(jī)構(gòu)和職責(zé)，建立安全工作運(yùn)行模式等；安全策略是說明安全工作的主要策略，包括安全組織機(jī)構(gòu)劃分策略、業(yè)務(wù)系統(tǒng)分級策略、數(shù)據(jù)信息分級策略、等級保護(hù)對象互連策略、信息流控制策略等。

通過方針與策略的設(shè)計，以便組織可以結(jié)合等級保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求和安全保護(hù)特殊要求，構(gòu)建機(jī)構(gòu)等級保護(hù)對象的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。對于新建的等級保護(hù)對象，應(yīng)在立項時明確其安全保護(hù)等級，并按照相應(yīng)的保護(hù)等級要求進(jìn)行總體安全策略設(shè)計。

2.2 安全管理體系設(shè)計

根據(jù)等級保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求、安全需求分析報告等，設(shè)計等級保護(hù)對象安全管理體系框架。主要是從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個方面進(jìn)行設(shè)計。

安全管理體系設(shè)計成果可分為四層。第一層為總體方針、安全策略，通過信息安全總體方針、安全策略明確機(jī)構(gòu)信息安全工作的總體目標(biāo)、范圍、原則等。第二層為信息安全管理制度，通過對信息安全活動中的各類內(nèi)容建立管理制度，約束信息安全相關(guān)行為。第三層為安全技術(shù)標(biāo)準(zhǔn)、操作規(guī)程，通過對管理人員或操作人員執(zhí)行的日常管理行為建立操作規(guī)程，規(guī)范信息安全管理制度的具體技術(shù)實現(xiàn)細(xì)節(jié)。第四層為記錄、表單，用于在信息安全管理制度、操作規(guī)程實施時需填寫的表單和需保留的操作記錄。

2.3 安全技術(shù)體系設(shè)計

根據(jù)組織總體安全策略文件、GB/T 22239、行業(yè)基本要求和安全需求，設(shè)計等級保護(hù)對象的安全技術(shù)體系架構(gòu)。等級保護(hù)對象的安全技術(shù)防護(hù)體系由從外到內(nèi)的“縱深防御”體系構(gòu)成，首先通過“物理環(huán)境安全防護(hù)”保護(hù)服務(wù)器、網(wǎng)絡(luò)設(shè)備以及其他設(shè)備設(shè)施免遭地震、火災(zāi)、水災(zāi)、盜竊等事故導(dǎo)致的破壞，然后通過“通信網(wǎng)絡(luò)安全防護(hù)”保護(hù)暴露于外部的通信線路和通信設(shè)備，通過“網(wǎng)絡(luò)邊界安全防護(hù)”對等級保護(hù)對象實施邊界安全防護(hù)，內(nèi)部不同級別定級對象盡量分別部署在相應(yīng)保護(hù)等級的內(nèi)部安全區(qū)域，低級別定級對象部署在高等級安全區(qū)域時遵循“就高保護(hù)”原則，對于內(nèi)部安全區(qū)域?qū)嵤爸鳈C(jī)設(shè)備安全防護(hù)”和“應(yīng)用和數(shù)據(jù)安全防護(hù)”，通過“安全管理中心”對整個等級保護(hù)對象實施統(tǒng)一的安全技術(shù)管理。

等級保護(hù)對象的安全技術(shù)體系架構(gòu)見下圖所示：

根據(jù)安全技術(shù)架構(gòu)的設(shè)計，組織可以尋找相應(yīng)的技術(shù)與產(chǎn)品來實施安全控制措施。安全技術(shù)與產(chǎn)品的選擇，請參考安全調(diào)查分析機(jī)構(gòu)安全牛推出的 “網(wǎng)絡(luò)安全行業(yè)全景圖”（http://all.aqniu.com/）。

網(wǎng)絡(luò)安全全景圖目前共分為17大安全領(lǐng)域，59個細(xì)分領(lǐng)域，包含約200家安全企業(yè)和相關(guān)機(jī)構(gòu)，比較全面地對主流的安全技術(shù)與產(chǎn)品進(jìn)行了介紹，可以供用戶在選擇技術(shù)與產(chǎn)品解決方案時加以參考。

3. 信息安全教育與培訓(xùn)

《網(wǎng)絡(luò)安全法》第三十四條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核的義務(wù)。

信息安全教育與培訓(xùn)是實施有效信息管理的重要基礎(chǔ)，組織要周期性地進(jìn)行信息安全教育與培訓(xùn)規(guī)劃，要在員工中形成一個行之有效、常抓不懈的氛圍，教育的形式既要生動有趣，又要緊湊有效。組織可以考慮采用以下NIST基于角色與職責(zé)的、框架式的安全教育模型：

組織可根據(jù)各崗位人員信息安全能力建設(shè)需求，設(shè)計未來3到5年信息安全培訓(xùn)規(guī)劃，并針對各崗位的工作特征，制定各崗位信息安全能力需求表，以及由知識組合成的課程。根據(jù)組織的實際情況可采用以下基于角色與職責(zé)的、框架式的課程設(shè)計。以下是基于崗位與信息安全知識體對應(yīng)的培訓(xùn)方案示例：

此外，《網(wǎng)絡(luò)安全法》第十九條規(guī)定，“各級人民政府及其有關(guān)部門應(yīng)當(dāng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育，并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作?！耙虼耍W(wǎng)絡(luò)運(yùn)營者在進(jìn)行人員能力建設(shè)的同時，還應(yīng)加強(qiáng)包括管理層在內(nèi)全員網(wǎng)絡(luò)安全意識培養(yǎng)和重要性宣傳的工作。

普通員工是各項業(yè)務(wù)的執(zhí)行者，員工信息安全意識的薄弱是組織信息安全最大的風(fēng)險。內(nèi)部員工無意的疏忽，往往會引發(fā)敏感信息泄露等安全事件的發(fā)生。內(nèi)部員工的信息安全意識水平提升有助于減少信息安全風(fēng)險，提升組織的總體信息安全水平。

組織應(yīng)設(shè)計與提供貫穿員工整個職業(yè)生命周期的、多種層次、多種方式的信息安全意識宣貫，提高組織全體員工的信息安全意識水平。以下是各類信息安全意識教育形式示例：

4. 安全體系的持續(xù)改進(jìn)

組織在經(jīng)過合規(guī)差距分析并建成組織、管理和技術(shù)體系之后，要推進(jìn)體系的運(yùn)行。如果條件許可，組織還可以建立信息安全監(jiān)控運(yùn)行中心（SOC），對安全運(yùn)行狀態(tài)進(jìn)行檢測與管理。組織要持續(xù)地收集體系運(yùn)行數(shù)據(jù)，對體系運(yùn)行狀態(tài)進(jìn)行測量，并根據(jù)測量結(jié)果建立信息安全績效考核機(jī)制，這樣才能把信息安全要求落實到業(yè)務(wù)流程和員工崗位之中。

組織要建立信息安全保障體系的PDCA循環(huán)模式，以推進(jìn)體系建設(shè)的持續(xù)完善，全面提升組織的風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)與安全恢復(fù)能力，最終實現(xiàn)風(fēng)險可視化、防御主動化、運(yùn)行自動化、管理流程化的安全目標(biāo)，積極、主動、快速地應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，保障業(yè)務(wù)與數(shù)據(jù)安全。