網絡安全法和網絡安全等級保護

第一章 網絡空間安全 1
1.1　網絡空間與網絡空間安全 2
1.1.1 網絡空間 2
1.1.2 安全和事件鏈 3
1.1.3 與網絡安全相關的名稱 4
1.1.4 網絡空間安全問題歸結 5
1.2　網絡空間安全現狀 6
1.2.1 國家高度重視網絡空間安全 6
1.2.2 國際之間網絡空間對抗加劇 7
1.3　網絡空間安全面臨的挑戰與對策 8
1.3.1 網絡空間安全面臨的挑戰 8
1.3.2 網絡空間安全對策 9
第二章 網絡安全法 11
2.1　概述 12
2.1.1 立法歷程 12
2.1.2 相關概念 13
2.1.3 法律框架 14
2.1.4 法律特色 18
2.2　法律實施前的熱點問題和挑戰 22
2.2.1 熱點問題和回應 22
2.2.2 實施過程中面臨的挑戰 25
2.3　從國家角度看網絡安全法 26
2.3.1 維護國家安全 26
2.3.2 保障網絡安全 27
2.4　從網信角度看網絡安全法 28
2.4.1 統籌協調網絡安全 29
2.4.2 互聯網信息處置 29
2.4.3 安全專用產品管理、認證和檢測 29
2.4.4 網絡安全審查 30
2.4.5 數據出境評估 30
2.4.6 網絡安全機制與抓手 31
2.5　從公安角度看網絡安全法 32
2.5.1 打擊利用網絡實施危害的行為 32
2.5.2 打擊網絡違法犯罪行為 32
2.5.3 打擊個人信息違法行為 33
2.5.4 打擊社交網絡犯罪活動 33
2.5.5 打擊境外違法犯罪活動 33
2.5.6 執法網絡安全等級保護 33
2.6　從網絡用戶角度看網絡安全法 33
2.6.1 網絡用戶的權利 33
2.6.2 網絡用戶的義務 34
2.6.3 個人信息保護 34
2.7　從普通網絡運營者角度看網絡安全法 35
2.7.1 以雙重身份承擔社會責任 35
2.7.2 國家網絡安全的責任主體 35
2.7.3 常規網絡安全運行工作 35
2.7.4 保護用戶信息 36
2.7.5 阻斷違法信息的傳播 37
2.7.6 網絡經營者可能涉及的具體罪名 37
2.8　從產品和安全服務提供者角度看網絡安全法 39
2.8.1 服務要符合國標的強制性要求 40
2.8.2 產品銷售許可制度 40
2.8.3 限制發布系統漏洞信息 41
2.8.4 嚴厲打擊危害網絡安全的活動 41
2.9　從關鍵信息基礎設施運營者角度看網絡安全法 42
2.9.1 概念和範圍 42
2.9.2 具有中國特色的網絡安全管理機制 43
2.9.3 嚴格的日常安全保護義務 43
2.9.4 特殊的安全保障義務 44
2.9.5 需要關註的十項重點工作 45
第三章 網絡安全管理規定與執法案例分析 47
3.1　網絡安全管理規定 48
3.1.1 公安部門網絡安全管理規定 48
3.1.2 網信部門網絡安全管理規定 50
3.1.3 工業和信息化部門網絡安全管理規定 55
3.2　個人信息安全管理規定 57
3.2.1 網絡安全法 57
3.2.2 個人信息安全規範 58
3.2.3 個人信息保護法 59
3.2.4 個人信息出境安全評估辦法 60
3.2.5 個人信息處理中告知和同意的實施指南 60
3.2.6 關於辦理侵犯公民個人信息刑事案件適用法律
若幹問題的解釋 60
3.2.7 關於侵犯公民個人信息入刑的規定 63
3.3　數據安全管理規定 66
3.3.1 數據安全法 66
3.3.2 數據安全管理辦法 66
3.3.3 數據出境安全評估辦法 67
3.3.4 網絡數據安全管理條例 68
3.3.5 數據安全與科技倫理管理 69
3.4　網絡安全法執法典型案例 70
3.4.1 網絡安全法第一案 70
3.4.2 網絡使用合同案 70
3.4.3 虛假信息發布引發的不正當競爭糾紛案 71
3.4.4 發布法律法規禁止發布的信息案 71
3.4.5 違法違規信息擴散案 72
3.4.6 未依法留存用戶登錄相關網絡日誌案 72
3.4.7 網站黑客攻擊入侵的網絡安全事件案 72
3.4.8 法律、行政法規禁止傳輸信息案 72
3.4.9 未采取防範危害網絡安全行為的技術措施案 73
3.4.10 未對用戶發布的禁止性信息盡到監管義務案 73
3.4.11 侵犯公民個人信息案 73
3.4.12 網絡產品和服務不符合法定要求案 74
3.4.13 未制定網絡安全事件應急預案 74
3.4.14 關鍵信息基礎設施案 74
3.4.15 案例警示 74
3.5　刑法和涉及計算機罪名典型案例 75
3.5.1 電信詐騙案 75
3.5.2 侵犯公民個人信息案 75
3.5.3 非法獲取計算機信息系統數據案 76
3.5.4 提供侵入、非法控制計算機信息系統程序、
工具案 76
3.5.5 破壞計算機信息系統案 77
3.5.6 單位拒不履行信息網絡安全管理義務案 77
3.5.7 利用計算機實施盜竊案 78
3.5.8 幫助信息網絡犯罪活動案 78
第四章 網絡安全等級保護基本工作流程 79
4.1　基本概念 80
4.1.1 網絡安全等級保護 80
4.1.2 等級保護對象 80
4.1.3 等級劃分 81
4.2　基本內容 81
4.2.1 基本工作環節 81
4.2.2 基本責任主體 82
4.2.3 基本工作要求 84
4.2.4 基本工作原則 85
4.2.5 基本標準體系 85
4.2.6 基本法律體系 88
4.3　等級保護對象之定級 92
4.3.1 定級工作主要內容 92
4.3.2 定級要素分析 93
4.3.3 等級保護對象識別 95
4.3.4 安全擴展要求和定級對象 95
4.3.5 定級工作流程 96
4.3.6 定級工作方法 97
4.3.7 審批和變更 98
4.4　等級保護對象之備案 99
4.4.1 備案資料 99
4.4.2 審核要點 100
4.4.3 屬地受理備案 101
4.4.4 公安機關受理備案要求 101
4.4.5 拒不備案的處置過程 102
4.5　等級保護對象之建設整改 102
4.5.1 整改目的和整改流程 102
4.5.2 安全管理制度整改 104
4.5.3 安全技術措施整改 107
4.6　等級保護對象之等級測評 111
4.6.1 基本工作 112
4.6.2 測評工作基本流程 114
4.6.3 測評結果 120
4.6.4 等級保護測評機構的選擇 122
4.6.5 測評風險規避 125
4.6.6 讀懂測評報告 127
4.7　等級保護對象之監督檢查 134
4.7.1 安全監督管理執行主體 134
4.7.2 日常安全檢查主要內容 135
4.7.3 網絡安全等級保護檢查主要內容 135
4.7.4 檢查方式和檢查要求 137
4.7.5 檢查問題反饋和整改通報 138
4.8　深入理解網絡安全等級保護 138
4.8.1 分等級保護是治理實踐 138
4.8.2 分等級保護是底線思維 138
4.8.3 分等級保護是管理手段 139
4.8.4 分等級保護是能力體現 139
4.8.5 等級保護2.0是時代產物 140
第五章 網絡安全等級保護2.0 141
5.1　網絡安全等級保護2.0的特色 142
5.1.1 技術基礎化 142
5.1.2 制度法治化 142
5.1.3 對象具體化 142
5.1.4 內涵精準化 143
5.1.5 體系完善化 143
5.2　網絡安全等級保護2.0的變化 143
5.2.1 體系架構變化 143
5.2.2 命名變化 144
5.2.3 指標數量變化 145
5.2.4 可信逐級變化 147
5.2.5 安全通用技術變化 147
5.2.6 安全通用管理變化 149
5.3　網絡安全等級保護2.0的體系 151
5.3.1 安全通用要求體系 151
5.3.2 安全擴展要求體系 153
5.4　網絡安全等級保護2.0的安全通用基本要求 154
5.4.1 安全物理環境 155
5.4.2 安全通信網絡 155
5.4.3 安全區域邊界 155
5.4.4 安全計算環境 156
5.4.5 安全管理中心 157
5.4.6 安全管理制度 157
5.4.7 安全管理機構 158
5.4.8 安全管理人員 158
5.4.9 安全建設管理 159
5.4.10 安全運維管理 159
5.5　網絡安全等級保護2.0的安全擴展基本要求 161
5.5.1 雲計算安全擴展要求 161
5.5.2 移動互聯安全擴展要求 163
5.5.3 物聯網安全擴展要求 164
5.5.4 工業控制系統安全擴展要求 165
5.5.5 大數據安全擴展要求 166
5.6　網絡安全等級保護2.0和商用密碼測評 167
5.6.1 等級保護2.0中的密碼基本要求 168
5.6.2 信息系統密碼應用基本要求 168
5.6.3 實施商用密碼測評 169
第六章 關鍵信息基礎設施安全保護 172
6.1　基本概念 173
6.1.1 基礎設施 173
6.1.2 關鍵信息基礎設施 173
6.2　關鍵信息基礎設施的範圍 175
6.2.1 《網絡安全法》界定的範圍 175
6.2.2 《國家網絡空間安全戰略》界定的範圍 175
6.2.3 《關鍵信息基礎設施安全保護條例》界定的範圍 176
6.2.4 公安部門界定的範圍 177
6.3　法律政策和標準依據 177
6.3.1 網絡安全法 178
6.3.2 國家網絡空間安全戰略 178
6.3.3 公安部關於關鍵信息基礎設施安全保護制度的指導意見 178
6.3.4 關鍵信息基礎設施安全保護條例 178
6.3.5 關鍵信息基礎設施安全保護要求 179
6.3.6 關鍵信息基礎設施安全控制措施 179
6.3.7 關鍵信息基礎設施安全檢查評估指南 179
6.3.8 關鍵信息基礎設施安全保障評價指標體系 179
6.3.9 關鍵信息基礎設施安全防護能力評價方法 180
6.3.10 關鍵信息基礎設施邊界 確定方法 180
6.4　關鍵信息基礎設施安全保護要求 181
6.4.1 分析識別 181
6.4.2 安全防護 182
6.4.3 檢測評估 185
6.4.4 監測預警 185
6.4.5 主動防禦 187
6.4.6 事件處置 188
6.5　關鍵信息基礎設施安全保護實施措施 189
6.5.1 落實網絡安全等級保護制度 189
6.5.2 建成關鍵信息基礎設施保護制度 191
6.5.3 建立網絡安全保護體系 191
6.5.4 組建專業的安全服務機構 192
6.5.5 加強人員安全管理 192
6.5.6 嚴格安全建設管理 193
6.5.7 加強安全服務機構管理 194
6.5.8 建立安全協調機制 194
6.5.9 做好數據安全和個人信息安全保護 196
第七章 風險評估 197
7.1　基本概念 198
7.1.1 信息 198
7.1.2 信息資產 198
7.1.3 信息安全 200
7.1.4 數據資產 201
7.1.5 信息安全風險評估 201
7.1.6 數據安全風險評估 201
7.2　信息安全管理 202
7.2.1 信息安全管理原則 202
7.2.2 信息安全管理方法 202
7.2.3 信息安全管理機構 203
7.2.4 信息安全管理制度 203
7.2.5 風險安全管理 204
7.2.6 設施安全管理 205
7.2.7 信息安全管理 205
7.2.8 運行安全管理 206
7.2.9 信息網絡安全管理義務罪 206
7.3　信息安全風險評估 207
7.3.1 法規依據 207
7.3.2 信息安全風險評估基本內容 209
7.3.3 評估準備階段 211
7.3.4 資產識別階段 211
7.3.5 威脅識別階段 215
7.3.6 脆弱性識別階段 219
7.3.7 風險分析階段 220
7.3.8 風險評估所需資料 222
7.4　信息安全風險處置 223
7.4.1 風險處置流程 224
7.4.2 風險降低 226
7.4.3 風險保留 226
7.4.4 風險規避 226
7.4.5 風險轉移 227
7.4.6 風險接受 227
7.4.7 風險溝通 227
7.4.8 風險監視 228
7.5　數據安全風險評估 228
7.5.1 基本概念 228
7.5.2 風險要素間的關系 229
7.5.3 信息調研 229
7.5.4 數據管理活動安全風險識別 232
7.5.5 數據收集活動安全風險識別 235
7.5.6 數據存儲活動安全風險識別 236
7.5.7 數據傳輸活動安全風險識別 236
7.5.8 數據使用和加工活動安全風險識別 236
7.5.9 數據提供活動安全風險識別 237
7.5.10 數據公開活動安全風險識別 238
7.5.11 數據刪除活動安全風險識別 238
7.5.12 數據安全技術風險識別 239
7.5.13 數據接口安全風險識別 240
7.5.14 數據安全風險等級 241
第八章 網絡安全事件管理 242
8.1　法規依據 243
8.1.1 中華人民共和國突發事件應對法 243
8.1.2 中華人民共和國網絡安全法 244
8.1.3 國家突發公共事件總體應急預案 245
8.1.4 突發事件應急預案管理辦法 246
8.1.5 信息安全技術網絡安全事件分類分級指南 246
8.1.6 國家網絡安全事件應急預案 247
8.1.7 網絡安全應急能力評估準則 247
8.1.8 網絡安全威脅信息發布管理辦法 248
8.1.9 網絡安全事件應急演練指南 248
8.1.10 國家網絡安全事件報告管理辦法 248
8.2　網絡安全事件的分類分級管理 249
8.2.1 十類網絡安全事件 249
8.2.2 四級網絡安全事件 251
8.2.3 國家網絡安全事件 253
8.3　網絡安全事件應急處置 255
8.3.1 發生事件要及時報告 255
8.3.2 應急響應工作流程 255
8.3.3 應急結束後的通報制度 256
8.3.4 如何制定應急響應預案 256
8.4　網絡安全等級保護監督檢查 260
8.4.1 法規依據 260
8.4.2 網絡安全等級保護監督檢查工作內容 263
8.4.3 政府和互聯網網站的安全監管工作 264
附錄A 中華人民共和國網絡安全法 269
附錄B 貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見 275
附錄C 關鍵信息基礎設施安全保護條例 278
附錄D 網絡安全等級保護工作指南 281
附錄E 網絡安全等級保護常問常答 282
附錄F 網絡安全等級保護備案表 285
附錄G 定級報告模板 292
附件H 專家定級評審意見模板 294
附錄I 評審專家簽到表 295
附錄J 全國人民代表大會常務委員會關於修改《中華人民共和國網絡安全法》的決定 296
參考文獻