前言

       随着我國(guó)信息化建設的不斷推進和互聯網應用的日(rì)趨普及，網絡安全問(wèn)題層出不窮：網絡入侵、網絡攻擊等非法活動威脅了我國(guó)信息安全；非法獲取、倒賣公民(mín)信息、侵犯知識産權損害了我國(guó)公民(mín)的合法利益；危害國(guó)家安全、社會穩定與公共利益的不良信息借助網絡迅速傳播。反觀國(guó)外，包括歐盟、美國(guó)、日(rì)本在内的國(guó)家或組織紛紛制定了與網絡安全相(xiàng)關的法律。 

       因此，《網絡安全法》的制定對我國(guó)相(xiàng)關立法工(gōng)作(zuò)的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實黨中央決策部署的重要舉措，是維護網絡安全的客觀需要，是維護大(dà)衆切身(shēn)利益的必然要求，也是我國(guó)參與互聯網國(guó)際競争和國(guó)際治理(lǐ)的必然選擇。

     《網絡安全法》的頒布實施，最重要的意義在于它把網絡安全工(gōng)作(zuò)以法律形式提高到了國(guó)家安全戰略的高度，并将信息安全等級保護制度上升爲法律，成爲維護國(guó)家網絡空間主權、安全和發展利益的重要舉措。同時，它的出台也符合維護網絡安全的客觀需要，提高了全社會網絡安全保護的意識和能力，确保今後網絡使用更加安全、開放(fàng)和便利。

關鍵内容

√ 基于《網絡安全法》要求，對近期與該法相(xiàng)關的法規标準進行了歸納總結，從(cóng)而爲組織機(jī)構在法律應對與實施的具體(tǐ)操作(zuò)中提供參考指南(nán)；同時，本指南(nán)還(hái)識别了其他(tā)國(guó)家和地區的相(xiàng)關法規和标準，從(cóng)而爲國(guó)内組織機(jī)構在應對、實施《網絡安全法》時提供對比和參考内容。

√ 本指南(nán)從(cóng)網絡安全管理(lǐ)、網絡安全技術(shù)和個人(rén)信息保護等三方面的法律、法規監管要求出發，爲組織機(jī)構提供了合規差距分(fēn)析的參考維度及相(xiàng)應的合規要求；同時，在合規應對實施環節，從(cóng)網絡運營安全、網絡信息安全及關鍵信息基礎設施保護等三方面，就(jiù)“相(xiàng)關責任方”、“管理(lǐ)措施”及“技術(shù)措施”等三個維度總結了具體(tǐ)實施要點。

√ 爲确保組織機(jī)構建立完善的信息安全管理(lǐ)體(tǐ)系，本指南(nán)以信息安全等級保護制度和網絡安全等級保護及其他(tā)法規要求爲基礎，總結并設計(jì)出了包括安全策略、安全管理(lǐ)和安全技術(shù)在内的等級保護體(tǐ)系；同時，基于《網絡安全法》中對組織人(rén)員(yuán)能力和意識的要求，給出了相(xiàng)應的教育模型和培訓案例，最終實現組織信息安全的持續改進。

引言

        2017年(nián)6月1日(rì)正式實施的《網絡安全法》具有裡(lǐ)程碑式的意義。它不僅是我國(guó)第一部網絡安全的專門(mén)性綜合性立法，提出了應對網絡安全挑戰這一全球性問(wèn)題的中國(guó)方案，彰顯了黨和國(guó)家對網絡安全問(wèn)題的高度重視，同時，它還(hái)是我國(guó)網絡安全法治建設的重要裡(lǐ)程碑，使得(de)今後我國(guó)網絡安全管理(lǐ)工(gōng)作(zuò)步入法制化軌道，信息安全行業将由合規性驅動過渡到合規性和強制性驅動并重的新階段。

      《網絡安全法》在網絡空間主權、國(guó)家網絡安全等級保護制度、關鍵信息基礎設施保護、網絡運營者、網絡産品和服務提供者義務、保障網絡信息安全，個人(rén)信息保護、關鍵信息基礎設施重要數據跨境傳輸、監測預警與應急處置等方面做出明确規定。因此，國(guó)内組織機(jī)構，特别是涉及關鍵信息基礎設施的行業機(jī)構在踐行《網絡安全法》時，一方面應切實履行好自(zì)身(shēn)網絡安全工(gōng)作(zuò)的責任與義務，另一方面，還(hái)需要依據《網絡安全法》的法律要求進行落地實施，有效提高自(zì)身(shēn)的網絡安全保護水平。

一、《網絡安全法》概述

1. 立法背景

       2014年(nián)2月中央網絡安全和信息化領導小組成立，标志着我國(guó)把網絡安全提升到了國(guó)家安全的高度并開始醞釀網絡安全法編寫工(gōng)作(zuò)；2015年(nián)6月十二屆全國(guó)人(rén)大(dà)常委會審議(yì)了《網絡安全法（草案）》，2016年(nián)7月二次審議(yì)稿正式在中國(guó)人(rén)大(dà)網公布，并向社會公開征求意見(jiàn)；2016年(nián)11月7日(rì)，曆經全國(guó)人(rén)大(dà)常委會兩次審議(yì)的關于我國(guó)網絡安全管理(lǐ)的法律《中華人(rén)民(mín)共和國(guó)網絡安全法》最終審議(yì)通過，并于2017年(nián)6月1日(rì)正式實施。

       與國(guó)外立法相(xiàng)比，《網絡安全法》曆經三年(nián)就(jiù)發布實施無疑是快(kuài)速的。這是因爲中國(guó)當前的網絡安全迫切要求。網絡已經深刻地融入了中國(guó)經濟社會生(shēng)活的各個方面，網絡安全威脅也随之向經濟社會的各個層面滲透，網絡安全的重要性随之不斷提高。

       一方面，黨的十八大(dà)以來(lái)，國(guó)家主管部門(mén)加強了國(guó)家網絡安全工(gōng)作(zuò)并做出了重要的部署，對加強網絡安全法制建設提出了明确的要求，制定《網絡安全法》是适應我們國(guó)家網絡安全工(gōng)作(zuò)新形勢、新任務，落實中央決策部署，保障網絡安全和發展利益的重大(dà)舉措，是落實國(guó)家總體(tǐ)安全觀的重要舉措。另一方面，中國(guó)是網絡大(dà)國(guó)，也是面臨網絡安全威脅最嚴重的國(guó)家之一，迫切需要建立和完善網絡安全的法律制度，提高全社會的網絡安全意識和網絡安全保障水平，使我們的網絡更加安全、更加開放(fàng)、更加便利，也更加充滿活力。

       在這樣的形勢下，制定網絡安全法是維護國(guó)家廣大(dà)人(rén)民(mín)群衆切身(shēn)利益的需要，是維護網絡安全的客觀需要，是落實國(guó)家總體(tǐ)安全觀的重要舉措。

2. 立法意義

     《網絡安全法》旨在保障我國(guó)網絡安全，維護網絡空間主權和國(guó)家安全、社會公共利益，保護公民(mín)、法人(rén)和其他(tā)組織的合法權益，促進經濟社會信息化健康發展。其立法的意義主要體(tǐ)現在以下幾點：

       該法從(cóng)法律層面上把我國(guó)網絡安全工(gōng)作(zuò)提高到了國(guó)家安全戰略的高度，強調對關鍵信息基礎設施及個人(rén)信息數據的保護，明确了國(guó)家、主管部門(mén)、網絡所有者、運營者及普通用戶各自(zì)的責任以及違規後的相(xiàng)關處罰。

       該法律的出台對我國(guó)互聯網安全管理(lǐ)具有重大(dà)意義，是我國(guó)網絡安全法律法規體(tǐ)系建設的一個重要裡(lǐ)程碑，爲我國(guó)網絡安全工(gōng)作(zuò)提供了法律依據。

       從(cóng)企業角度來(lái)看(kàn)，該法律将強化互聯網監管力度，規範網絡空間秩序，爲企業“互聯網+”業務的發展營造良好的環境。

       從(cóng)個人(rén)角度來(lái)看(kàn)，在當前個人(rén)信息因信息管理(lǐ)出現漏洞而被洩露并違法使用，進而導緻個人(rén)權利和利益頻遭侵害的背景下，該法律對個人(rén)信息保護提出了明确要求，從(cóng)而有效地保障了公民(mín)權利。

3. 内容概述

3.1 法律内容

      《網絡安全法》全文共7章(zhāng)79條。其中，第三章(zhāng)“網絡運行安全”和第四章(zhāng)“網絡信息安全”分(fēn)别對網絡運營者、關鍵信息基礎設施的網絡運行和個人(rén)信息管理(lǐ)做了詳細說(shuō)明。

《網絡安全法》章(zhāng)節概覽

3.2 保護對象

       縱觀法律全文，《網絡安全法》的重點保護對象主要針對第三章(zhāng)第二節 “關鍵信息基礎設施的運行安全”中的“關鍵信息基礎設施”和第四章(zhāng)“網絡信息安全”中的“個人(rén)信息”。

1) 關鍵信息基礎設施

       由于關鍵信息基礎設施在國(guó)家網絡安全中有着舉足輕重的作(zuò)用，因此，國(guó)家對重要行業和領域，以及其他(tā)一旦遭到破壞、喪失功能或者數據洩露，可(kě)能嚴重危害國(guó)家安全、國(guó)計(jì)民(mín)生(shēng)、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

關鍵信息基礎設施保護範圍：

政府機(jī)關和能源、金融、交通、水利、衛生(shēng)醫療、教育、社保、環境保護、公用事(shì)業等行業領域的單位；

電信網、廣播電視網、互聯網等信息網絡，以及提供雲計(jì)算、大(dà)數據和其他(tā)大(dà)型公共信息網絡服務的單位；

國(guó)防科(kē)工(gōng)、大(dà)型裝備、化工(gōng)、食品藥品等行業領域科(kē)研生(shēng)産單位；

廣播電台、電視台、通訊社等新聞單位；

其他(tā)重點單位。

* 以上關鍵信息關鍵基礎設施的範圍參考了網信辦2017年(nián)7月發布的《關鍵信息基礎設施安全保護條例（征求意見(jiàn)稿）》

2) 個人(rén)信息

       個人(rén)信息是指以電子或其他(tā)方式記錄的能夠單獨或與其他(tā)信息結合識别自(zì)然人(rén)身(shēn)份的各種信息，包括與确定自(zì)然人(rén)相(xiàng)關的生(shēng)物特征、位置、行爲等信息，如(rú)姓名、出生(shēng)日(rì)期、身(shēn)份證号、個人(rén)賬号信息、住址、電話(huà)号碼、指紋、虹膜等。

*以上個人(rén)信息的定義參考了全國(guó)信息安全标準化技術(shù)委員(yuán)會2016年(nián)12月發布的《個人(rén)信息安全規範(征求意見(jiàn)稿)》

3.3 保護方法

《網絡安全法》中涉及的保護方法主要有以下幾種：

1) 實施等級保護

     《網絡安全法》第二十一條規定“網絡運營者應當按照(zhào)網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的訪問(wèn)，防止網絡數據洩露或者被竊取、篡改”。

2) 網絡運行安全和關鍵信息基礎設施保護

       在确保網絡運行安全方面，要制定安全制度，落實安全職責，部署安全技術(shù)措施，防範網絡攻擊（第21條）；确保網絡産品和服務的安全性和合規性（第22條）；網絡關鍵設備和網絡安全專用産品的安全認證和安全檢測（第23條）；建立網絡安全事(shì)件(jiàn)處置流程，及時啓動應急預案（第25條）；關鍵信息基礎設施的網絡安全與信息化應做到“三同步”（第33條）；設立信息安全專門(mén)機(jī)構和負責人(rén)，定期培訓考核，系統與數據容災備份，應急預案并定期演練（第39條)；采購(gòu)安全産品與服務要接受主管部門(mén)的安全審查(第35條)；要與安全産品與服務方簽訂保密協議(yì)（第36條）；重要數據和個人(rén)信息跨境傳輸（第37條）；至少每年(nián)進行一次安全評估，并向主管部門(mén)上報評估結果；主管部門(mén)對關鍵信息基礎設施進行抽查檢測與評估（第38、39條）。

3) 個人(rén)信息保護

       在個人(rén)信息保護方面，組織應制定敏感信息保護制度（第21(4)、37、40、45、47、48、50條）；網絡運營者收集、使用個人(rén)信息時，要向用戶明示并取得(de)同意，不得(de)超範圍濫用個人(rén)信息（第22、41、44、45條）；網絡運營者應當采取技術(shù)措施和其他(tā)必要措施，确保其收集的個人(rén)信息安全（第42條）；個人(rén)有權要求網絡運營者删除和更改其個人(rén)信息（第43條）；網絡運營者要對其内部及外部用戶使用網絡行爲進行監督（第46、47、48條）；網絡運營者應當建立網絡信息安全投訴、舉報制度，配合主管部門(mén)的調查與處置（第49、50條）。

4) 網絡安全檢測與預警

        爲保障網絡安全，《網絡安全法》第二十一條還(hái)規定，“網絡運營者應當采取監測、記錄網絡運行狀态、網絡安全事(shì)件(jiàn)的技術(shù)措施，并按照(zhào)規定留存相(xiàng)關的網絡日(rì)志不少于六個月”， 第五十二條規定，“負責關鍵信息基礎設施安全保護工(gōng)作(zuò)的部門(mén)，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照(zhào)規定報送網絡安全監測預警信息。”；第五十一條規定，國(guó)家層面上“國(guó)家網信部門(mén)應當統籌協調有關部門(mén)加強網絡安全信息收集、分(fēn)析和通報工(gōng)作(zuò)，按照(zhào)規定統一發布網絡安全監測預警信息。” 

5) 網絡安全應急管理(lǐ)

      《網絡安全法》第二十五條規定，“普通網絡運營者應當制定網絡安全事(shì)件(jiàn)應急預案，及時處置系統漏洞、計(jì)算機(jī)病毒、網絡攻擊、網絡侵入等安全風(fēng)險；在發生(shēng)危害網絡安全的事(shì)件(jiàn)時，立即啓動應急預案，采取相(xiàng)應的補救措施，并按照(zhào)規定向有關主管部門(mén)報告。“；第三十四條規定，“關鍵信息基礎設施的運營者除制定網絡安全事(shì)件(jiàn)應急預案外還(hái)應定期進行演練”。對于行業監管者而言，第五十三條規定，“負責關鍵信息基礎設施安全保護工(gōng)作(zuò)的部門(mén)應當制定本行業、本領域的網絡安全事(shì)件(jiàn)應急預案，并定期組織演練”。國(guó)家層面，第三十九條規定，“網信部門(mén)定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事(shì)件(jiàn)的水平和協同配合能力”。

6) 網絡安全技術(shù)人(rén)才培養和安全意識宣傳

      《網絡安全法》第三十四條規定，關鍵信息基礎設施的運營者還(hái)應當定期對從(cóng)業人(rén)員(yuán)進行網絡安全教育、技術(shù)培訓和技能考核； 第十九條則要求各級人(rén)民(mín)政府、有關部門(mén)應組織開展經常性的網絡安全宣傳教育，并指導、督促有關單位做好網絡安全宣傳教育工(gōng)作(zuò)，大(dà)衆媒體(tǐ)應有針對性地面向社會進行網絡安全宣傳教育。

7) 職責落實與違規處罰

       爲确保《網絡安全法》順利實施，執行有力，該法第六章(zhāng)“法律責任”對所涉及責任主體(tǐ)的違法懲處進行了詳細規定。

二、《網絡安全法》實施

       爲有效地推進《網絡安全法》的實施，總體(tǐ)可(kě)分(fēn)爲相(xiàng)關法規識别、合規差距分(fēn)析、合規對應實施和體(tǐ)系持續完善四個步驟。本部分(fēn)詳細描述前三個步驟，第三部分(fēn)“信息安全體(tǐ)系完善”描述第四個步驟。

1. 相(xiàng)關法規識别

      《網絡安全法》第八條規定：“國(guó)務院電信主管部門(mén)、公安部門(mén)和其他(tā)有關機(jī)關依照(zhào)本法和有關法律、行政法規的規定，在各自(zì)職責範圍内負責網絡安全保護和監督管理(lǐ)工(gōng)作(zuò)。”因此，各網絡運營者在實施《網絡安全法》時，不僅要深入了解《網絡安全法》的要求，還(hái)需要參考其他(tā)配套的法規及标準，以确保《網絡安全法》的安全控制措施能有效落實。

      近年(nián)來(lái)，主管部門(mén)及安全标準化機(jī)構發布了多個與《網絡安全法》實施相(xiàng)關的法規與标準，有的還(hái)處在征求意見(jiàn)當中。爲方便各類機(jī)構在實施《網絡安全法》時加以參考，把最重要的相(xiàng)關法規與标準列表如(rú)下：

國(guó)内近期發布《網絡安全法》相(xiàng)關法規标準

國(guó)外相(xiàng)關法律與規範識别

       組織在實施《網絡安全法》時，可(kě)以根據自(zì)身(shēn)的需要對其他(tā)國(guó)家和地區的相(xiàng)關法規和标準進行識别，其目的一方面使國(guó)内機(jī)構借鑒國(guó)外的一些網絡安全最佳實踐，同時可(kě)以爲國(guó)外組織在國(guó)内實施網絡安全合規要求時，建立一個可(kě)以對比的參照(zhào)系。

國(guó)外網絡安全相(xiàng)關法規

2. 合規差距分(fēn)析

        以《網絡安全法》爲基礎，網絡運營者應從(cóng)網絡安全管理(lǐ)、網絡安全技術(shù)和個人(rén)信息保護三方面綜合考慮各項法律、法規的監管要求，通過對組織現狀的了解，對組織當前合規情況進行差距分(fēn)析。

《網絡安全法》合規差距分(fēn)析

3. 合規對應實施

      《網絡安全法》具體(tǐ)合規實施時，可(kě)以從(cóng)網絡運營安全、網絡信息安全及關鍵信息基礎設施保護三個方面，描述對應的保護要求和對應條款，分(fēn)别從(cóng)“相(xiàng)關責任方”、“管理(lǐ)措施”及“技術(shù)措施”三個維度分(fēn)析其具體(tǐ)實施要點。以下舉例說(shuō)明。

3.1 網絡運營安全控制措施

3.2 網絡信息安全控制措施

3.3 關鍵信息基礎設施安全控制措施

三、信息安全體(tǐ)系完善

       按照(zhào)《網絡安全法》實施網絡安全控制措施，是當前國(guó)内各類組織在信息安全方面的重要實踐，但(dàn)我們也要清醒地看(kàn)到，落實法律的合規要求隻是組織信息安全的最基本要求，法規不可(kě)能面面俱到。因此，就(jiù)算組織逐條落實了法規的要求，也隻是達到了合規的基本要求，也不能保證組織的信息安全體(tǐ)系達到一個完善的水平。

        因此，在合規的基礎上，我們建議(yì)組織根據《網絡安全法》的要求，通過等級保護的方法來(lái)進一步完善信息安全保障體(tǐ)系，通過人(rén)員(yuán)安全培訓與意識教育來(lái)提升組織的人(rén)員(yuán)安全能力，通過持續安全評估與IT審計(jì)來(lái)推進安全體(tǐ)系持續完善。

1. 等級保護相(xiàng)關規範标準

       信息安全等級保護制度是國(guó)家信息安全保障工(gōng)作(zuò)的基本制度、基本策略和基本方法，是促進信息化健康發展，維護國(guó)家安全、社會秩序和公共利益的根本保障。

       組織可(kě)以基于合規差距分(fēn)析結果并參照(zhào)網絡安全等級保護和其他(tā)法規對信息安全的要求，建立健全組織信息安全保障體(tǐ)系，部署并完善安全管理(lǐ)策略和安全技術(shù)措施，持續穩定地提升信息安全水平。

       到目前爲止，國(guó)家制定與頒布了與等級保護相(xiàng)關的多個國(guó)家标準，一些重點行業也制定了本行業的信息安全等級保護标準，等級保護的方法近年(nián)來(lái)在國(guó)内得(de)到廣泛的應用。

已經發布的等級保護相(xiàng)關标準：

正在征求意見(jiàn)的等級保護标準修訂稿

       爲配合國(guó)家落實《網絡安全法》，等級保護标準的名稱将由原來(lái)的GB/T22239-2008《信息安全技術(shù) 信息系統安全等級保護基本要求》改爲“信息安全技術(shù) 網絡安全等級保護基本要求”，标準由原來(lái)的一個标準變更爲多個部分(fēn)組成的标準，分(fēn)别爲：

       等級保護對象由原來(lái)的信息系統，調整爲：安全等級保護的對象包括網絡基礎設施、信息系統、大(dà)數據、雲計(jì)算平台、物聯網、工(gōng)控系統等。

       等級保護相(xiàng)關的定級指南(nán)、測評指南(nán)、設計(jì)技術(shù)要求、測評要求、測評過程指南(nán)等相(xiàng)關标準也發布了相(xiàng)應的修訂版（征求意見(jiàn)稿）。

2. 等級保護體(tǐ)系的設計(jì)

       等級保護的設計(jì)分(fēn)爲安全策略設計(jì)、安全管理(lǐ)設計(jì)及安全技術(shù)設計(jì)三個方面的内容，形成信息安全保障體(tǐ)系的組織體(tǐ)系、策略體(tǐ)系、技術(shù)體(tǐ)系及運行體(tǐ)系。

2.1 總體(tǐ)安全策略設計(jì)

       總體(tǐ)策略設計(jì)的目标是形成組織綱領性的安全策略文件(jiàn)，包括确定安全方針和安全策略兩方面的内容。安全方針是闡明安全工(gōng)作(zuò)的使命和意願，定義信息安全的總體(tǐ)目标，規定信息安全責任機(jī)構和職責，建立安全工(gōng)作(zuò)運行模式等；安全策略是說(shuō)明安全工(gōng)作(zuò)的主要策略，包括安全組織機(jī)構劃分(fēn)策略、業務系統分(fēn)級策略、數據信息分(fēn)級策略、等級保護對象互連策略、信息流控制策略等。

       通過方針與策略的設計(jì)，以便組織可(kě)以結合等級保護基本要求系列标準、行業基本要求和安全保護特殊要求，構建機(jī)構等級保護對象的安全技術(shù)體(tǐ)系結構和安全管理(lǐ)體(tǐ)系結構。對于新建的等級保護對象，應在立項時明确其安全保護等級，并按照(zhào)相(xiàng)應的保護等級要求進行總體(tǐ)安全策略設計(jì)。

2.2 安全管理(lǐ)體(tǐ)系設計(jì)

      根據等級保護基本要求系列标準、行業基本要求、安全需求分(fēn)析報告等，設計(jì)等級保護對象安全管理(lǐ)體(tǐ)系框架。主要是從(cóng)安全管理(lǐ)制度、安全管理(lǐ)機(jī)構、人(rén)員(yuán)安全管理(lǐ)、系統建設管理(lǐ)、系統運維管理(lǐ)五個方面進行設計(jì)。

       安全管理(lǐ)體(tǐ)系設計(jì)成果可(kě)分(fēn)爲四層。第一層爲總體(tǐ)方針、安全策略，通過信息安全總體(tǐ)方針、安全策略明确機(jī)構信息安全工(gōng)作(zuò)的總體(tǐ)目标、範圍、原則等。第二層爲信息安全管理(lǐ)制度，通過對信息安全活動中的各類内容建立管理(lǐ)制度，約束信息安全相(xiàng)關行爲。第三層爲安全技術(shù)标準、操作(zuò)規程，通過對管理(lǐ)人(rén)員(yuán)或操作(zuò)人(rén)員(yuán)執行的日(rì)常管理(lǐ)行爲建立操作(zuò)規程，規範信息安全管理(lǐ)制度的具體(tǐ)技術(shù)實現細節。第四層爲記錄、表單，用于在信息安全管理(lǐ)制度、操作(zuò)規程實施時需填寫的表單和需保留的操作(zuò)記錄。

2.3 安全技術(shù)體(tǐ)系設計(jì)

      根據組織總體(tǐ)安全策略文件(jiàn)、GB/T 22239、行業基本要求和安全需求，設計(jì)等級保護對象的安全技術(shù)體(tǐ)系架構。等級保護對象的安全技術(shù)防護體(tǐ)系由從(cóng)外到内的“縱深防禦”體(tǐ)系構成，首先通過“物理(lǐ)環境安全防護”保護服務器、網絡設備以及其他(tā)設備設施免遭地震、火(huǒ)災、水災、盜竊等事(shì)故導緻的破壞，然後通過“通信網絡安全防護”保護暴露于外部的通信線路(lù)和通信設備，通過“網絡邊界安全防護”對等級保護對象實施邊界安全防護，内部不同級别定級對象盡量分(fēn)别部署在相(xiàng)應保護等級的内部安全區域，低級别定級對象部署在高等級安全區域時遵循“就(jiù)高保護”原則，對于内部安全區域将實施“主機(jī)設備安全防護”和“應用和數據安全防護”，通過“安全管理(lǐ)中心”對整個等級保護對象實施統一的安全技術(shù)管理(lǐ)。

等級保護對象的安全技術(shù)體(tǐ)系架構見(jiàn)下圖所示：

       根據安全技術(shù)架構的設計(jì)，組織可(kě)以尋找相(xiàng)應的技術(shù)與産品來(lái)實施安全控制措施。安全技術(shù)與産品的選擇，請(qǐng)參考安全調查分(fēn)析機(jī)構安全牛推出的 “網絡安全行業全景圖”（http://all.aqniu.com/）。

       網絡安全全景圖目前共分(fēn)爲17大(dà)安全領域，59個細分(fēn)領域，包含約200家安全企業和相(xiàng)關機(jī)構，比較全面地對主流的安全技術(shù)與産品進行了介紹，可(kě)以供用戶在選擇技術(shù)與産品解決方案時加以參考。

3. 信息安全教育與培訓

      《網絡安全法》第三十四條規定，關鍵信息基礎設施的運營者還(hái)應當履行對從(cóng)業人(rén)員(yuán)進行網絡安全教育、技術(shù)培訓和技能考核的義務。

       信息安全教育與培訓是實施有效信息管理(lǐ)的重要基礎，組織要周期性地進行信息安全教育與培訓規劃，要在員(yuán)工(gōng)中形成一個行之有效、常抓不懈的氛圍，教育的形式既要生(shēng)動有趣，又要緊湊有效。組織可(kě)以考慮采用以下NIST基于角色與職責的、框架式的安全教育模型：

       組織可(kě)根據各崗位人(rén)員(yuán)信息安全能力建設需求，設計(jì)未來(lái)3到5年(nián)信息安全培訓規劃，并針對各崗位的工(gōng)作(zuò)特征，制定各崗位信息安全能力需求表，以及由知識組合成的課程。根據組織的實際情況可(kě)采用以下基于角色與職責的、框架式的課程設計(jì)。以下是基于崗位與信息安全知識體(tǐ)對應的培訓方案示例：

        此外，《網絡安全法》第十九條規定，“各級人(rén)民(mín)政府及其有關部門(mén)應當組織開展經常性的網絡安全宣傳教育，并指導、督促有關單位做好網絡安全宣傳教育工(gōng)作(zuò)。“因此，網絡運營者在進行人(rén)員(yuán)能力建設的同時，還(hái)應加強包括管理(lǐ)層在内全員(yuán)網絡安全意識培養和重要性宣傳的工(gōng)作(zuò)。

       普通員(yuán)工(gōng)是各項業務的執行者，員(yuán)工(gōng)信息安全意識的薄弱是組織信息安全最大(dà)的風(fēng)險。内部員(yuán)工(gōng)無意的疏忽，往往會引發敏感信息洩露等安全事(shì)件(jiàn)的發生(shēng)。内部員(yuán)工(gōng)的信息安全意識水平提升有助于減少信息安全風(fēng)險，提升組織的總體(tǐ)信息安全水平。

       組織應設計(jì)與提供貫穿員(yuán)工(gōng)整個職業生(shēng)命周期的、多種層次、多種方式的信息安全意識宣貫，提高組織全體(tǐ)員(yuán)工(gōng)的信息安全意識水平。以下是各類信息安全意識教育形式示例：

 4. 安全體(tǐ)系的持續改進

       組織在經過合規差距分(fēn)析并建成組織、管理(lǐ)和技術(shù)體(tǐ)系之後，要推進體(tǐ)系的運行。如(rú)果條件(jiàn)許可(kě)，組織還(hái)可(kě)以建立信息安全監控運行中心（SOC），對安全運行狀态進行檢測與管理(lǐ)。組織要持續地收集體(tǐ)系運行數據，對體(tǐ)系運行狀态進行測量，并根據測量結果建立信息安全績效考核機(jī)制，這樣才能把信息安全要求落實到業務流程和員(yuán)工(gōng)崗位之中。

       組織要建立信息安全保障體(tǐ)系的PDCA循環模式，以推進體(tǐ)系建設的持續完善，全面提升組織的風(fēng)險識别、安全防禦、安全檢測、安全響應與安全恢複能力，最終實現風(fēng)險可(kě)視化、防禦主動化、運行自(zì)動化、管理(lǐ)流程化的安全目标，積極、主動、快(kuài)速地應對網絡安全風(fēng)險，保障業務與數據安全。


來(lái)源：安全牛