目录 CONTENTS 1. 立法背景 2. 网安法纵览 3. 网安法解读

Size: px

Start display at page:

Download "目录 CONTENTS 1. 立法背景 2. 网安法纵览 3. 网安法解读"

烷裘
5 years ago
Views:

1 新形势下企业的网络安全挑战和应对 - 关于中华人民共和国网络安全法解读

2 目录 CONTENTS 1. 立法背景 2. 网安法纵览 3. 网安法解读

3 立法背景

4 网络安全面临的威胁网络安全已成为关系国家安全发展和人民群众切身利益的重大问题当前, 网络和信息技术迅猛发展, 已经深度融入我国经济社会的各个方面, 极大地改变和影响着人们的社会活动和生活方式, 在促进技术创新经济发展文化繁荣社会进步的同时, 网络安全问题也日益凸显网络入侵网络攻击等非法活动, 严重威胁着电信能源交通金融以及国防军事行政管理等重要领域的信息基础设施的安全, 云计算大数据物联网等新技术新应用面临着更为复杂的网络安全环境非法获取泄露甚至倒卖公民个人信息, 侮辱诽谤他人侵犯知识产权等违法活动在网络上时有发生, 严重损害公民法人和其他组织的合法权益宣扬恐怖主义极端主义, 煽动颠覆国家政权推翻社会主义制度, 以及淫秽色情等违法信息, 借助网络传播扩散, 严重危害国家安全和社会公共利益

5 典型网络犯罪案例湖北十堰侦破刘某等人伪基站通讯网络诈骗案 2016 年 3 月, 湖北十堰市公安机关发现, 有人利用伪基站发送诈骗短信实施诈骗在公安部的统一指挥下, 湖北福建等地公安机关抽调 30 名精干警力, 历经 81 天艰苦侦查, 查清了以刘某陈某史某黄某为首的犯罪团伙和活动轨迹制售窝点, 一个专门面向全国及缅甸等国销售伪基站核心配件电脑主板的特大职业化犯罪团伙逐渐浮出水面 5 月 26 日, 多地同时收网, 抓获刘某等 15 名犯罪嫌疑人, 缴获伪基站设备成品和半成品共计 300 余套 ; 生产伪基站设备核心主板窝点 2 个, 扣押伪基站的核心配件电脑主板 1100 余套以及多条生产线, 涉案资金达 300 余万元经查,2015 年 8 月以来, 犯罪嫌疑人黄某史某刘某等人秘密开设地下黑工厂加工生产可以伪装安置在汽车音响中的新型伪基站核心配件电脑主板, 然后通过网络联系买家, 销往全国 23 个省市以及缅甸等国制售窝点, 从中牟取暴利

6 典型网络犯罪案例黑龙江大庆侦破辛某等人破坏计算机信息系统案 2015 年 3 月初, 黑龙江大庆网安部门接到腾讯公司报案称, 有人在大庆市利用计算机外挂从事某平台游戏刷币活动经过一个多月的缜密侦查, 大庆公安网安部门成功打掉了当地人员辛某经营的利用外挂程序游戏代练工作室 4 个, 并在河南南阳成功抓获专门编写该游戏外挂程序的人员 5 名经查,2014 年 10 月份以来, 辛某等人出资在网上联系河南郑州市外挂程序作者陈某等人, 使用外挂程序刷取腾讯公司某平台游戏金币出售从而获利, 累计涉案价值 300 余万元目前, 该案已刑事拘留犯罪嫌疑人 16 人, 取保候审 2 人, 相关涉案人员已经移送检察机关批准逮捕

7 典型网络犯罪案例辽宁沈阳侦破方某冒充信用卡卡主套现网络诈骗 2016 年 1 月, 辽宁沈阳公安机关接到银行报案, 称有多名储户补办信用卡套现, 账面一直是处于欠款状态, 银行工作人员经过核实, 这些储户都是被冒名补卡盗刷, 并非本人套现沈阳公安机关经过 3 个月的侦查,4 月 20 日, 在沈阳市和阜新市成功抓获方某等 4 名犯罪嫌疑人, 缴获作案用电脑 2 台, 手机 16 部, 另抓获信用卡非法套现嫌疑人 1 名经审讯,2015 年 7 月以来, 方某伙同杨某刘某等 5 人在网上大量收购含有信用卡资料的公民个人信息, 冒充卡主诈骗银行据交代, 该团伙先后补办了 40 余张信用卡在 POS 机上盗刷金额达 150 万元

8 典型网络犯罪案例安徽滁州侦破李某非法获取公民个人信息案 2015 年 12 月, 安徽滁州网安部门工作发现, 支付一定费用后, 可以通过 XX 网网站按照用户名查询各类网络服务的密码, 该网站涉嫌侵犯公民个人信息犯罪经滁州网安部门周密部署, 抓获李某等犯罪嫌疑人 2 名, 查明涉案金额 6 万余元收缴非法获取的公民个人信息约 30 亿条据李某交代,2014 年以来, 其在互联网上大量购买搜集汇总各类邮箱论坛网银等网络服务的账号密码, 并搭建 XX 网网站, 伙同施某公开出售数据查询服务, 共计牟利 6 万余元目前, 该案抓获的 2 名犯罪嫌疑人均已移送起诉

9 典型网络犯罪案例贵州破获 1.17 亿假冒公安机关电信诈骗案 2015 年 12 月, 贵州黔南州都匀市经济开发区某财务主管杨某先后接到自称是银行和公安机关的电话, 称杨某掌握的账号涉嫌犯罪, 要求对其资金进行清查, 在近一周的时间内, 杨某单位两个对公账户上的总计 1.17 亿资金被转走案件发生后, 贵州公安机关立即调集 500 多名警力全力开展侦办, 立即对上万个涉案账户实施紧急止付, 挽回经济损失 1 亿多元同时, 确定该诈骗团伙话务窝点位于非洲乌干达境内, 团伙主要头目均为台湾人在进一步确定嫌疑人后, 办案人员分赴北京上海广东等地, 共抓获各类犯罪嫌疑人 62 名, 其中包括台湾犯罪嫌疑人 10 名此外, 公安机关还通过该案串并侦破涉及全国 26 个省市的 180 余起电信诈骗案

10 信息安全相关法律法规信息安全法律现状我国信息网络安全立法体系框架分为个层面法律行政法规地方性法规规章规范性文件

11 信息安全相关法律法规国家法律行政法规维护互联网安全的决定修正加强网络信息保护的决定刑法 2015 年 8 月 29 修正治安管理处罚法国务院令 147 号 : 中华人民共和国计算机信息系统安全保护条例国务院令 195 号 : 中华人民共和国计算机信息网络国际联网管理暂行规定国务院令 291 号 : 中华人民共和国电信条例国务院令 292 号 : 互联网信息服务管理办法国务院令 339 号 : 计算机软件保护条例国务院令 363 号 : 互联网上网服务营业场所管理条例等

12 信息安全相关法律法规信息安全相关部门规章计算机信息系统安全专用产品检测和销售许可证管理办法公安部计算机信息网络国际联网安全保护管理办法公安部计算机信息系统保密管理暂行规定国家保密局计算机信息系统集成资质管理办法信息产业部计算机信息系统国际联网保密管理规定国家保密局计算机病毒防治管理办法公安部互联网电子公告服务管理规定信息产业部信息安全相关地方法规北京市党政机关计算机网络与信息安全管理办法重庆市计算机信息系统安全保护条例淮南市计算机信息系统安全管理办法重庆市电信条例江西省电信条例广东省计算机信息系统安全保护管理规定

13 信息安全相关法律法规现有的互联网法律法规存在的主要问题一是层级低缺乏上位法, 现有关于互联网业务管理网络与信息安全用户个人权益保护方面的法律文件均为部门规章, 对违法行为的处罚力度不够执行力较弱实施效果欠佳二是不健全如针对电子商务信息资源开放利用用户信息保护等领域仍未有明确的法律制度予以规范三是碎片化现象突出传统行业管理部门的法律法规缺乏对互联网的兼容性和包容性, 导致政出多门, 难以形成约束合力, 在网络基础设施保护互联网信息服务市场准入管理等领域, 都不同程度上存在法律条块分割部门多头管理等现象四是部分立法需要尽快修订完善或出台新的制度如电信条例中关于电信业务分类互联网信息服务市场准入无线电频率规划分配制度等, 在不同程度上存在着与实践管理脱节的问题, 亟需调整和完善

14 网络安全法立法的必要性制定网络安全法, 是落实党中央决策部署的重要举措制定网络安全法, 是落实总体国家安全观和党中央决策部署, 适应并推动国家网络安全工作, 维护国家网络空间主权安全和发展利益的重要举措制定网络安全法, 是维护网络安全的客观需要中国是一个网络大国, 也是遭受网络安全威胁最严重的国家之一, 迫切需要建立健全网络安全法律制度, 提高全社会的网络安全保护意识和能力, 应对各种网络安全风险和威胁, 使我们的网络更加安全开放便利, 更加充满活力制定网络安全法, 是维护广大人民群众切身利益的必然要求制定网络安全法, 是回应人民群众的呼声和期待, 将最广大人民群众在网络空间的利益维护好实现好发展好制定网络安全法, 是参与互联网国际竞争和国际治理的必然选择我国在互联网领域的竞争力和话语权逐渐增强, 为了更好地参与互联网国际竞争和国际规则的定制, 必须制定和完善国内制度规则, 积累中国制度经验

15 网络安全法立法过程网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律, 是我国网络空间法治建设的重要里程碑, 是依法治网化解网络风险的法律重器, 是让互联网在法治轨道上健康运行的重要保障网络安全法将近年来一些成熟的好做法制度化, 并为将来可能的制度创新做了原则性规定, 为网络安全工作提供切实法律保障立法工作计划 2016 年 6 月 28 二审 2016 年 11 月 7 日发布年 10 月 2015 年 6 月 26 日 2016 年 10 月 31 日 2017 年 6 月 1 日立法规划一审三审实施

16 网安法纵览

17 法律地位法律体系网络安全法构成我国网络空间安全管理的基本法律, 与国家安全法反恐怖主义法刑法保密法治安管理处罚法关于加强网络信息保护的决定关于维护互联网安全的决定计算机信息系统安全保护条例互联网信息服务管理办法等现行法律法规共同构成中国关于网络安全管理的法律系统配套法规网络安全法是基础性法律国务院及相关的部门会制定和颁布一系列的配套法律法规, 比如网络安全等级保护制度关键信息基础设施的认定和保护办法数据跨境传输的安全评估办法网络产品和服务的国家安全审查制度等, 数量上可能会达十余部

18 适用范围法律适用与管辖在中华人民共和国境内建设运营维护和使用网络, 以及网络安全的监督管理, 适用本法域外管辖网络安全法采取了有限的域外管辖原则, 依照法七十五条, 境外的主体实施入侵或攻击境内关键信息基础设施的活动, 造成严重后果的, 依法追究法律责任, 且中国执法机关可实施财产冻结等制裁措施, 这是为应对日益严重的全球网络安全威胁的需要

19 基本原则第一, 网络空间主权原则网络安全法第 1 条立法目的开宗明义, 明确规定要维护我国网络空间主权网络空间主权是一国国家主权在网络空间中的自然延伸和表现第 2 条明确规定网络安全法适用于我国境内网络以及网络安全的监督管理这是我国网络空间主权对内最高管辖权的具体体现第二, 网络安全与信息化发展并重原则网络安全法第 3 条明确规定, 国家坚持网络安全与信息化并重, 遵循积极利用科学发展依法管理确保安全的方针 ; 既要推进网络基础设施建设, 鼓励网络技术创新和应用, 又要建立健全网络安全保障体系, 提高网络安全保护能力, 做到双轮驱动两翼齐飞第三, 共同治理原则网络安全法坚持共同治理原则, 要求采取措施鼓励全社会共同参与, 政府部门网络建设者网络运营者网络服务提供者网络行业相关组织高等院校职业学校社会公众等都应根据各自的角色参与网络安全治理工作

20 立法定位以发现消除网络安全威胁和风险, 提高恢复能力为轴心发现包括网络安全漏洞的掌控网络安全威胁和风险的实时全面共享侦查监测预警和供应链安全等 ; 消除包括及时动态地研判处置网络攻击, 实施精准打击的同时允许有条件的攻击反制 ; 恢复侧重网络安全态势感知和网络攻击之后的应对恢复, 保护有关各方的合法权益, 提高各方对国家安全和社会稳定的信息

21 立法要点一网络安全法提出制定网络安全战略, 明确网络空间治理目标, 提高了我国网络安全政策的透明度网络安全法第 4 条明确提出了我国网络安全战略的主要内容, 即 : 明确保障网络安全的基本要求和主要目标, 提出重点领域的网络安全政策工作任务和措施第 7 条明确规定, 我国致力于推动构建和平安全开放合作的网络空间, 建立多边民主透明的网络治理体系这是我国第一次通过国家法律的形式向世界宣示网络空间治理目标, 明确表达了我国的网络空间治理诉求上述规定提高了我国网络治理公共政策的透明度, 与我国的网络大国地位相称, 有利于提升我国对网络空间的国际话语权和规则制定权, 促成网络空间国际规则的出台

22 立法要点 ( 续 ) 二网络安全法进一步明确了政府各部门的职责权限, 完善了网络安全监管体制网络安全法将现行有效的网络安全监管体制法制化, 明确了网信部门与其他相关网络监管部门的职责分工第 8 条规定, 国家网信部门负责统筹协调网络安全工作和相关监督管理工作, 国务院电信主管部门公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作这种 1+X 的监管体制, 符合当前互联网与现实社会全面融合的特点和我国监管需要

23 立法要点 ( 续 ) 三网络安全法强化了网络运行安全, 重点保护关键信息基础设施网络安全法第三章用了近三分之一的篇幅规范网络运行安全, 特别强调要保障关键信息基础设施的运行安全关键信息基础设施是指那些一旦遭到破坏丧失功能或者数据泄露, 可能严重危害国家安全国计民生公共利益的系统和设施网络运行安全是网络安全的重心, 关键信息基础设施安全则是重中之重, 与国家安全和社会公共利益息息相关为此, 网络安全法强调在网络安全等级保护制度的基础上, 对关键信息基础设施实行重点保护, 明确关键信息基础设施的运营者负有更多的安全保护义务, 并配以国家安全审查重要数据强制本地存储等法律措施, 确保关键信息基础设施的运行安全

24 立法要点 ( 续 ) 四网络安全法完善了网络安全义务和责任, 加大了违法惩处力度网络安全法将原来散见于各种法规规章中的规定上升到人大法律层面, 对网络运营者等主体的法律义务和责任做了全面规定, 包括守法义务, 遵守社会公德商业道德义务, 诚实信用义务, 网络安全保护义务, 接受监督义务, 承担社会责任等, 并在网络运行安全网络信息安全监测预警与应急处置等章节中进一步明确细化在法律责任中则提高了违法行为的处罚标准, 加大了处罚力度, 有利于保障网络安全法的实施

25 立法要点 ( 续 ) 五网络安全法将监测预警与应急处置措施制度化法制化网络安全法第五章将监测预警与应急处置工作制度化法制化, 明确国家建立网络安全监测预警和信息通报制度, 建立网络安全风险评估和应急工作机制, 制定网络安全事件应急预案并定期演练这为建立统一高效的网络安全风险报告机制情报共享机制研判处置机制提供了法律依据, 为深化网络安全防护体系, 实现全天候全方位感知网络安全态势提供了法律保障

26 网安法解读

27 概述目标保障网络安全, 维护网络空间主权和国家安全社会公共利益, 保护公民法人和其他组织合法权益, 促进经济社会信息化健康发展范围在中华人民共和国境内建设运营维护和使用网络, 以及网络安全监督管理的活动, 适用本法总览法律条文 : 共 7 章,79 条 2016 年 11 月 7 日发布 2017 年 6 月 1 日起施行

28 网络安全法大纲概要第一章总则 14 条规定简述法律目的, 范围, 总则, 部门职责, 总体要求等第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全 6 条规定 19 条规定 10 条规定 9 条规定 11 条规定定义国家直属部门政府在推动网络安全工作上的职责定义网络运营者与关键信息基础设施的运行安全规定针对网络运营者的网络运行安全要求与职责规定针对关键信息基础设施的安全规定与保护措施要求定义个人信息保护的保护规定中华人民共和国主席令第五十三号中华人民共和国网络安全法已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于 2016 年 11 月 7 日通过, 现予公布, 自 2017 年 6 月 1 日起施行第五章监测预警与应急处置 8 条规定定义国家网络安全监测预警与汇报机制第六章法律责任 17 条规定定义处罚规定中华人民共和国主席习近平 2016 年 11 月 7 日第七章附则 4 条规定相关名词释义与其他附则

29 含义含关键名词含义及解读网络安全法所做的用语注释网络安全网络运营者个人信息含义网络安全能力, 通常包括 : 是指通过采取必要措施, 防范对网络的攻击侵入基础设施的安全能力 ; 干扰破坏和非法使用以及意外事故, 使网络处于稳信息系统的安全能力 ; 定可靠运行的状态, 以及保障网络数据的完整性保信息自身的安全能力 ; 密性可用性的能力信息利用的安全能力网络运营者, 通常包括 : 网络接入服务提供者 (ISP); 网络内容服务提供者 (ICP) 是指网络的所有者管理者和网络服务提供者网络安全责任主体, 通常包括 : 网络的所有者 ; 网络的管理者 ; 网络的服务提供者 ; 是指以电子或者其他方式记录的能够单独或者与其他信读义息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名出生日期身份证件号码个人生物识别信息住址电话号码等读解读解个人身份的信息解数据安全个人信息不同于个人隐私, 通常具有更强的商业性, 主要特征包括 : 具有可识别性, 是指可直接识别确定特定个人身份的信息 ; 具有相对性, 是指可关联或组成识别特定

30 所涉及的关键相关方和职责国家完善国家网络安全战略和方针鼓励网络安全技术创新和应用, 支持培养网络安全人才, 建立保障体系, 提高保护能力推进国际交流合作省级人民政府网络安全风险监测评估, 网络安全风险预警发布, 履行网络安全监督管理职责 ; 扶持网络安全技术产业, 支持和推广网络安全研究产品和服务, 保护知识产权, 组织宣传教育负责统筹协调网络安全工作和相关监督管理工作国家网信部门网络运营者接受政府和社会监督, 承担社会责任按照等保要求, 履行安全保护义务, 防止网络数据泄露或者被窃取篡改, 维护网络数据的完整性保密性和可用性提供对犯罪活动调查的技术支持和协助行业组织健全行业的网络安全保护规范和机制, 加强对网络风险的分析评估, 定期进行风险警示, 协助应对安全风险加强行业自律, 促进行业健康发展标准化行政主管部门负责组织制定并适时修订有关网络安全管理以及网络产品服务和运行安全的国家标准行业标准电信主管部门职责范围内负责网络安全保护和监督管理工作各自职责范围内负责网络安全保护和监督管理工作处罚权公安部门

31 强化了相关组织的监管互动网信办网络与信息安全信息通报中心网络与信息安全应急事务中心国家计算机网络应急技术处理协调中心税务局保监会银监会工商局国资委证监会工信部国务院央行监管机构与监管互动将常态化企业合规自我检查网络安全事件汇报主动参与行业标准制定过程

32 第三章 - 网络运行安全的解读一般规定网络运行安全关键信息基础设施 (CII) Critical Information Infrastructure CII 运行安全网络安全等级保护制度安全服务活动的规范 CII 保护制度 CII 采购的安全保密义务产品和服务提供者的安全义务禁止危害的行为 CII 保护工作部门职责 CII 数据的境内存储和对外提供关键及专用产品的认证检测技术支持和协助义务 CII 建设安全要求 CII 的定期安全检测评估用户身份管理安全风险的合作应对 CII 运营者的安全保护义务 CII 保护的统筹协作机制应急处置措施执法信息用途限制 CII 采购的国家安全审查重点工作制度人员责任网络监测和日志防病毒和网络入侵数据分类备份和加密网络事件应急预案网络设备与产品服务提供实名制产品服务需符合标准制度人员责任防病毒和网络入侵网络事件应急预案至少每年安全评估数据分类备份加密服务提供实名制产品服务需符合标准网络监测和日志重点工作跨境数据传输评估应急预案并定期演练重要数据境内存储网络设备与产品定期培训考核保密协议采购产品与服务安全审查系统与数据容灾备份

33 关于网络运营者视角的解读相关条款第二十一条国家实行网络安全等级保护制度网络运营者应当按照网络安全等级保护制度的要求, 履行下列安全保护义务, 保障网络免受干扰破坏或者未经授权的访问, 防止网络数据泄露或者被窃取篡改 ; 第二十四条网络运营者为用户办理网络接入域名注册服务, 办理固定电话移动电话等入网手续, 或者为用户提供信息发布即时通讯等服务, 在与用户签订协议或者确认提供服务时, 应当要求用户提供真实身份信息用户不提供真实身份信息的, 网络运营者不得为其提供相关服务第二十五条网络运营者应当制定网络安全事件应急预案, 及时处置系统漏洞计算机病毒网络攻击网络侵入等安全风险 ; 在发生危害网络安全的事件时, 立即启动应急预案, 采取相应的补救措施, 并按照规定向有关主管部门报告第二十八条网络运营者应当为公安机关国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助

34 关于网络产品和服务者视角的解读相关条款第二十二条网络产品服务应当符合相关国家标准的强制性要求网络产品服务的提供者不得设置恶意程序 ; 发现其网络产品服务存在安全缺陷漏洞等风险时, 应当立即采取补救措施, 按照规定及时告知用户并向有关主管部门报告网络产品服务的提供者应当为其产品服务持续提供安全维护 ; 在规定或者当事人约定的期限内, 不得终止提供安全维护网络产品服务具有收集用户信息功能的, 其提供者应当向用户明示并取得同意 ; 涉及用户个人信息的, 还应当遵守本法和有关法律行政法规关于个人信息保护的规定第二十六条开展网络安全认证检测风险评估等活动, 向社会发布系统漏洞计算机病毒网络攻击网络侵入等网络安全信息, 应当遵守国家有关规定第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求, 由具备资格的机构安全认证合格或者安全检测符合要求后, 方可销售或者提供国家网信部门会同国务院有关部门制定公布网络关键设备和网络安全专用产品目录, 并推动安全认证和安全检测结果互认, 避免重复认证检测

35 关于相关组织视角的解读相关条款第二十四条国家实施网络可信身份战略, 支持研究开发安全方便的电子身份认证技术, 推动不同电子身份认证之间的互认第二十九条国家支持网络运营者之间在网络安全信息收集分析通报和应急处置等方面进行合作, 提高网络运营者的安全保障能力有关行业组织建立健全本行业的网络安全保护规范和协作机制, 加强对网络安全风险的分析评估, 定期向会员进行风险警示, 支持协助会员应对网络安全风险第三十条网信部门和有关部门在履行网络安全保护职责中获取的信息, 只能用于维护网络安全的需要, 不得用于其他用途

36 关于个人与组织视角的解读相关条款第二十七条任何个人和组织不得从事非法侵入他人网络干扰他人网络正常功能窃取网络数据等危害网络安全的活动 ; 不得提供专门用于从事侵入网络干扰网络正常功能及防护措施窃取网络数据等危害网络安全活动的程序工具 ;( 与刑法衔接 ) 明知他人从事危害网络安全的活动的, 不得为其提供技术支持广告推广支付结算等帮助 ( 与刑法衔接 )

37 关于运营者的网络安全等级保护 GB/T 信息安全技术信息系统安全等级保护基本要求 GB/T 信息安全技术网络安全等级保护基本要求第 1 部分安全通用要求 GB/T 信息安全技术网络安全等级保护基本要求第 2 部分云计算安全扩展要求 GB/T 信息安全技术网络安全等级保护基本要求第 3 部分移动互联安全扩展要求 GB/T 信息安全技术网络安全等级保护基本要求第 4 部分物联网安全扩展要求 GB/T 信息安全技术网络安全等级保护基本要求第 5 部分工业控制安全扩展要求 GB/T 信息安全技术网络安全等级保护基本要求第 6 部分大数据安全扩展要求

38 网络安全等级保护等级划分网络基础设施信息系统大数据云计算平台物联网工控系统等受侵害的客体公民法人和其他组织的合法权益对客体的侵害程度一般损害严重损害特别严重损害第一级第二级第三级社会秩序公共利益第二级第三级第四级国家安全第三级第四级第五级

39 网络安全等级保护等级划分技术类安全要求与提供的技术安全机制有关, 主要通过技术要求安全保护能力部署软硬件并正确的配置其安全功能来实现管理类安全要求与各种角色参与的活动有关, 主要通过控制各种角色的活动, 从政策制度规管理要求第一级 : 用户自主保护级第二级 : 系统审计保护级第三级 : 安全标记保护级第四级 : 结构化保护级第五级 : 访问验证保护级范流程以及记录等方面做出规定来实现

40 网络安全等级保护安全控制领域差异旧版新版物理安全物理和环境安全技术要求网络安全主机安全应用安全网络和通信安全设备和计算安全技术要求数据安全及备份恢复应用和数据安全安全管理制度安全策略和管理制度管理要求安全管理机构人员安全管理系统建设管理安全管理机构和人员安全建设管理管理要求系统运维管理安全运维管理

41 关于运营者的安全管理体系 A.5 安全方针 A.6 信息安全组织 A.8 资产管理 A.7 人A.7 人力全资源安全Rule 规则 Who 谁来做 A.9 访问控制 Protect Object 保护对象 A.10 密码学 A.11 物理与环境安全 A.12 操作安全 A.13 通信安全 A.14 信息系统获取开发和维护 Preventive Measures 事前管理 A.15 供应关系 A.16 信息安全事件管理 A.17 信息安全业务连续性管理 Corrective Measures 事后管理 A.18 符合性建议参考 ISO27001:2013 信息安全管理标准

42 应急管理框架风险管理业务影响分析维护与演练部协调应急响应策略机沟通认知与培训危关于运营者的应急管理 - 应急管理架构建议参考 ISO22301 业务连续性管理标准应急响应管理组织结构业务操作恢复应急响应和操作信息系统恢复外

43 关于运营者的应急管理 - 风险分析架构需求 / 调研分析 / 评估设计 / 建设演练 / 优化人员访谈调研风险分析及评估策划灾难场景设计演练计划业务现状 / 需求调研关键业务 / 资源识别制定策略及流程设计演练方案技术现状 / 需求调研业务影响分析业务连续性计划建设演练培训法律法规合规映射 BCM 能力成熟度评估体系培训及转移演练测试 BCM 目标需求分析 BCM 总体架构设计体系批准 / 发布持续优化维护

44 关于 CII 个人信息和重要数据的解读数据本地化关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储因业务需要, 确需向境外提供的, 应当进行安全评估 ; 法律行政法规另有规定的, 依照其规定个人信息和重要数据应境内存储, 出境前自行评估 : ( 一 ) 数据处境的必要性 ; ( 二 ) 涉及个人信息情况, 包括个人信息的数量范围类型敏感程度, 以及个人信息主题是否同意其个人信息处境等 ; ( 三 ) 涉及重要数据情况, 包括重要数据的数量范围类型机器敏感程度等 ; ( 四 ) 数据接收方的安全保护措施能力和水平, 以及所在国家和地区的网络安全环境等 ; ( 五 ) 数据出境及再转移后被泄露毁损篡改滥用等风险 ; ( 六 ) 数据出境及出境数据汇聚可能对国家安全社会公共利益个人合法利益带来的风险 ; ( 七 ) 其他需要评估的重要事项其它规定下列数据在其它法律里有本地化要求 : 国家秘密和国家安全数据征信数据个人金融信息地图数据网络出版服务所需的必要的技术设备网约车相关数据和信息

45 关于 CII 个人信息和重要数据的解读以下情形出境数据应报请行业主管或监管部门评估 : ( 一 ) 含有或累计含有 50 万人以上的个人信息 ; ( 二 ) 数据量超过 1000GB; ( 三 ) 包含核设施化学生物国防军工人口健康等领域数据, 大型工程活动海洋环境以及敏感地理信息数据等 ; ( 四 ) 包含关键信息基础设施的系统漏洞安全防护等网络安全信息 ; ( 五 ) 关键信息基础设施运营者向境外提供个人信息和重要数据 ; ( 六 ) 其他可能影响国家安全和社会公共利益, 行业主管或监管部门认为应该评估 ( 七 ) 行业主管或监管部门不明确的, 由国家网信部门组织评估以下情况之一的, 数据不得出境 : ( 一 ) 个人信息出境未经个人信息主体同意, 或可能侵害个人利益 ; ( 二 ) 数据出境给国家政治经济科技国防等安全带来风险, 可能影响国家安全损害社会公共利益 ; ( 三 ) 其他经国家网信部门公安部门安全部门等有关部门认定不能出境的

46 关于运营者的数据管理 - 数据识别和分析数据产生获取数据产生获取存储存储网络运营者建立以数据分类分级为核心, 数据生命周期为切入的, 系统性数据安全管理框架销毁归档数据生命周期共享使用数据生成存储与使用数据共享归档与销毁数据分类数据分级定义数据质量数据服务数据流图 ( 盘点 ) 数据使用安全标准数据媒介管理数据泄漏保护数据库活动监控数据屏蔽数据加密数据传输安全标准数据存储媒介数字版权管理数据访问管理数据归档安全标准数据销毁安全标准数据备份及恢复数据资产清单

47 关于运营者的数据管理 - 数据管理策略 1 业务分类数据分类 2 风险评估制定标准 3 技术落地应急演练识别数据范围维护数据场景基于场景风险评估制定数据安全标准规划技术管控蓝图制定数据泄露紧急预案业务驱动, 优先级排序定义重要数据分类包括数据项数据子项甚至数据字段, 并定义对应的安全保护级别基于数据生命周期, 识别数据载体在搜集使用共享传输存储销毁的场景 ( 岗位系统第三方等 ) 基于已识别的场景, 识别评估潜在的安全风险, 了解当前的管控现状制定不同级别数据在数据生命周期需遵循的数据安全管理要求, 包括人防和技防基于风险评估结果, 对照数据安全标准, 制定未来技术措施实施路线图对照网络安全安全事件紧急预案, 制定数据泄露紧急预案风险评估管理流程风险评估管理流程秘密级外部公开级威胁程度管理措施威胁程度管理措施限制级内部使用级脆弱性人员管理脆弱性

48 网络运行安全 -CII 范围及行业职责 CII 的基本范围国家对公共通信和信息服务能源交通水利金融公共服务电子政务等重要行业实行重点保护国务院另行制定关键信息基础设施的具体范围和安全保护办法相关国家关键基础设施分类情况美国德国日本 16 个领域, 通信信息技术化工关键制造应急服务水利核反应堆及材料和废弃物商业设施政府设施运输系统能源金融服务水及污水处理系统医疗保健和公共卫生国防工业基地食品和农业 8 个领域, 卫生健康信息与通信供水能源供给交通运输银行保险与股票交易食品供应 - 联邦信息技术安全法 13 个领域, 信息通信金融行政医疗供排水电力燃气化学信贷石油航空铁路物流 - 关键信息基础设施保护基本政策负责 CII 安全保护工作部门的职责 : 1. 负责编制并组织实施本行业本领域的关键信息基础设施安全规划 ; 2. 指导和监督关键信息基础设施运行安全保护工作 ;

49 CII 重点增强型法律责任义务解读 2015 年国家安全审查制度建设要求业务运行稳定可靠, 安全技术措施同步规划同步建设同步使用安全保护专门安全管理机构和安全管理负责人 : 背景审查安全教育培训考核 ; 容灾备份 ; 应急预案定期演练 ; 安全审查采购网络产品和服务, 如影响国家安全, 应当通过国家安全审查保密要求采购服务和产品, 签订安全保密协议, 数据存储个人信息和重要数据应当在境内存储 ; 检测评估每年至少进行一次检测评估, 报送检明确安全和保密义数据出境需进行评测评估情况和改进务与责任估措施

50 CII 建设运营者的三同时解读建设项目的设计单位在编制项目设计文件时, 应当按照规定编制安全技术措施的设计文件 ; 同步规划关键信息基础设施的运营者在编制建设项目投资计划时, 应当将安全技术措施所需投资一并纳入预算 ; 同步建设关键信息基础设施的运营者应当要求施工单位严格按照安全技术措施的设计要求施工 ; 同步使用在建设项目验收时, 应当对安全技术措施进行调试检测和验收 ; 安全技术措施应当与主体工程同时投入使用 ;

51 关于网络产品和服务安全审查的解读网络安全重点审查网络产品和服务的安全性可控性 : ( 一 ) 产品和服务自身的安全风险, 以及被非法控制干扰和中断运行的风险 ; ( 二 ) 产品及关键部件生产测试交付技术支持过程中的供应链安全风险 ; ( 三 ) 产品和服务提供者利用提供产品和服务的便利条件非法收集存储处理使用用户相关信息的风险 ; ( 四 ) 产品和服务提供者利用用户对产品和服务的依赖, 损害网络安全和用户利益的风险 ; ( 五 ) 其他可能危害国家安全的风险

52 我国法关国家欧盟 - 通用数据保护条例相第四章网络信息安全个人信息保护用户 : 自然人法人和其它组织用户信息范围 : 个人信息隐私和法人和其他组织的商业秘密用户信息 : 引入了用户信息的概念, 可以理解为在用户使用产品或服务过程中收集的信息构成用户信息, 包括 IP 地址 GPS 用户名和密码上网时间 Cookie 信息等个人信息 : 个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名出生日期身份证件号码个人生物识别信息住址电话号码等关于维护互联网安全的决定关于加强网络信息保护的决定消费者权益保护法刑法修正案 ( 九 ) 律电信和互联网用户个人信息保护规定经济合作与发展组织 - 隐私保护和个人数据跨国流通指南联合国 - 自动化资料档案中个人资料处理准则美国 - 隐私权法案日本 - 个人信息保护法

53 与个人信息的相关条款 ( 第四十九条 ) 网络运营者应当建立网络信息安全投诉举报制度, 公布投诉举报方式等信息, 及时受理并处理有关网络信息安全的投诉与举报 ( 第四十一条 ) 网络运营者收集使用个人信息, 应公开搜集使用规则, 明示搜集使用信息的目的方式和范围并经被搜集者同意 ( 第四十一条 ) 网络运营者收集使用个人信息, 应当遵循合法正当必要原则 ; 不得搜集与其服务提供无关的个人信息 1 ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息, 但是经过处理无法识别特定个人且不能复原的除外 ; ( 第四十四条 ) 不得非法出售或非法向他人提供个人信息 ( 第四十一条 ) 网络运营者收集使用个人信息, 应经被搜集者同意 ; ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息 ( 第四十二条 ) 网络运营者不得泄露篡改毁损其搜集的个人信息 ( 第四十二条 ) 网络运营者不 4 得泄露篡改毁损其搜集的个人资料使用原则个人信息 ( 第四十三条 ) 个人发现网络运营者违反法律行政法规的规定或双方约定收集使用个人信息的, 有权要求删除其个人信息, 发现有错误的有权要求网络运营中更正 ( 第四十条 ) 网络运营者对其搜集的用户信息严格保密, 建立健全用户信息保护制度

54 关于个人信息保护的限制和义务个人信息保护 : 与以往法律法规相比, 增加了删除权和更正权 : 应当遵守本法和有关法律行政法规的规定 ; 收集使用个人信息 : 应当遵循合法正当必要的原则, 公开收集使用规则, 明示收集使用信息的目的方式和范围, 并经被收集者同意 ; 不得泄露篡改毁损其收集的个人信息 :1) 采取技术措施和其他必要措施保护 ;2) 若泄漏, 立即采取补救措施, 告知用户并向有关主管部门报告 ; 未经被收集者同意, 不得向他人提供个人信息但是, 经过处理无法识别特定个人且不能复原的除外个人信息主体拥有删除权和更正权 ; 不得非法获取窃取, 不得非法出售非法向他人提供 ; 网络运营者应当建立网络信息安全投诉举报制度, 公布投诉举报方式欧盟关于通用数据保护原则合法正当透明原则 ; 特定明确目的原则 ; 目的是当相关限制原则 ;

55 关于个人信息删除权和更政权的解读使用删除权的情形收集使用行为不具备合法性, 如非法收集超出法定或约定范围 ; 收集使用个人信息的目的消失, 是对个人信息的保存及处理利用失去了必要性正当性 ; 约定的收集使用保存个人信息的期限届满使用更正权的情形个人信息收集存储使用过程中, 个人信息不完整或不准确, 有权要求及时改正补充的权利

56 网络信息安全网络行为的解读网络行为要求第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息, 不得非法出售或者非法向他人提供个人信息第四十六条任何个人和组织应当对其使用网络的行为负责, 不得设立用于实施诈骗, 传授犯罪方法, 制作或者销售违禁物品管制物品等违法犯罪活动的网站通讯群组, 不得利用网络发布涉及实施诈骗, 制作或者销售违禁物品管制物品以及其他违法犯罪活动的信息第四十七条网络运营者应当加强对其用户发布的信息的管理, 发现法律行政法规禁止发布或者传输的信息的, 应当立即停止传输该信息, 采取消除等处置措施, 防止信息扩散, 保存有关记录, 并向有关主管部门报告关于利用网络发布犯罪或恶意信息的的解读设立网络通讯群组或者通过网络发布信息, 目的是为实施违法犯罪而与做准备的行为人设立网站通讯群租或者发布网络信息, 主要是为了实施诈骗传授犯罪方法制作或者销售违禁品管制物品等违法活动

57 监测预警与应急处理国家及主管部门建立网络安全监测预警和信息通报制度按照规定统一发布网络安全监测预警信息关键信息基础设施安全保护工作的部门, 应当建立健全本行业本领域的网络安全监测预警和信息通报制度, 并按照规定报送网络安全监测预警信息国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制, 制定网络安全事件应急预案, 并定期组织演练网络安全事件发生的风险增大时, 省级以上人民政府有关部门应当按照规定的权限和程序, 并根据网络安全风险的特点和可能造成的危害 : 检测评估预警补救措施发生网络安全事件, 应当立即启动网络安全事件应急预案, 对网络安全事件进行调查和评估, 要求网络运营者采取技术措施和其他必要措施, 消除安全隐患, 防止危害扩大, 并及时向社会发布与公众有关的警示信息

58 监测预警与应急处理国家及有关部门省级以上人民政府有关部门在履行网络安全监督管理职责中, 发现网络存在较大安全风险或者发生安全事件的, 可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈因网络安全事件, 发生突发事件或者生产安全事故的, 应当依照中华人民共和国突发事件应对法中华人民共和国安全生产法等有关法律行政法规的规定处置因维护国家安全和社会公共秩序, 处置重大突发社会安全事件的需要, 经国务院决定或者批准, 可以在特定区域对网络通信采取限制等临时措施网络运营者存在较大安全风险或发生安全事件 : 网络运营者应当按照要求采取措施, 进行处置整改, 消除隐患, 并及时公布警示信息与中华人民共和国突发事件应对法中华人民共和国安全生产法等有关法律作衔接

59 法律责任行政处罚责令改正警告罚款, 责令暂停相关业务停业整顿关闭网站吊销相关业务许可证或者吊销营业执照, 对直接负责的主管人员等进行罚款等 ; 有关机关还可以把违法行为记录到信用档案对于非法入侵等, 法律还建立了职业禁入的制度民事责任违法网络安全法的行为给他人造成损失的, 网络运营者应当承担相应的民事责任治安管理处罚 / 刑事责任违反本法规定, 构成违反治安管理行为的, 依法给予治安管理处罚 ; 构成犯罪的, 依法追究刑事责任

60 处罚对象处罚类型所涉及处罚和金额所涉及处罚行为最高 5 万不履行本法第二十一条第二十五条规定的网络安全保护义务违反本法第二十四条第一款规定 ( 未要求用户提供真实身份或者不提供真实身份 ) 最高 10 万违反本法第二十四条第一款规定 ( 未要求用户提供真实身份或者不提供真实身份 ) 违反本法第四十七条规定 ( 对法律行政法规禁止发布或者传输的信息未停止采取处置措施 ) 网络运营者经济最高 50 万违反本法第四十七条规定 ( 对法律行政法规禁止发布或者传输的信息未停止采取处置措施 ) 1) 不按照有关部门的要求对法律行政法规禁止发布或者传输的信息采取处置措施 ; 2) 拒绝阻碍有关部门依法实施监督检查 ; 3) 拒不向公安机关国家安全机关提供 ( 技术支持和协助 ) 不履行本法第四十八条第二款规定 ( 电子信息发送服务提供者应用软件下载服务提供者 ) 安全管理义务最高 100 万违反本法第二十二条第三款第四十一条到四十三条规定 ( 侵害个人信息 ) 违反本法第四十四条规定,( 窃取非法获取出售或非法向他人提供个人信息 ) 最高 5 万不履行本法第二十一条第二十五条规定的网络安全保护义务直接负责人网络运营者经济行政最高 10 万违反本法第二十二条第三款第四十一条到四十三条规定 ( 侵害个人信息 ) 1) 不按照有关部门的要求对法律行政法规禁止发布或者传输的信息采取处置措施 ; 2) 拒绝阻碍有关部门依法实施监督检查 ; 3) 拒不向公安机关国家安全机关提供 ( 技术支持和协助 ) 暂停相关业务停违反本法第二十四条第一款规定 ( 未要求用户提供真实身份或者不提供真实身份 ) 业整顿关闭网站违反本法第四十七条规定 ( 对法律行政法规禁止发布或者传输的信息未停止采取处置措施 ) 吊销相关许可营业执照违反本法第二十二条第三款第四十一条到四十三条规定 ( 侵害个人信息 )

61 处罚对象处罚类型所涉及处罚和金额所涉及处罚行为关键信息基础设施运营者经济最高 50 万违反本法第三十七条规定,( 境外存储网络数据或者向境外提供网络数据 ) 最高 100 万不履行本法第三十三条第三十四条三十六条三十八条规定的网络安全保护义务不履行本法第三十三条第三十四条三十六条三十八条规定的网络安全保护义务直接负责人经济最高 10 万违反本法第三十七条规定,( 境外存储网络数据或者向境外提供网络数据 ) 违反本法第三十五条规定,( 未经安全审查或者未通过的网络产品和服务 ) 关键信息基础设施运营者行政违反本法第二十二条第三款第四十一条到四十三条规定 ( 侵害个人信息 ) 暂停相关业务停业整顿关闭网站违反本法第三十五条规定,( 未经安全审查或者未通过的网络产品和服务 ) 吊销相关许可营业执照违反本法第三十七条规定,( 境外存储网络数据或者向境外提供网络数据 )

62 处罚对象处罚类型所涉及处罚和金额所涉及处罚行为个人组织直接负责人个人组织经济经济行政最高 10 万违反本法第二十六条规定 ( 网络安全认证检测风险评估等活动, 或者发布系统漏洞计算机病毒网络攻击入侵等 ) 违反本法第四十六条规定,( 违法犯罪活动的网站通讯群组, 或利用网络发布犯罪活动的信息 ) 违反本法第二十二条第一款第二款和第四十八条第一款规定行为之一最高 50 万违反本法第四十六条规定,( 违法犯罪活动的网站通讯群组, 或利用网络发布犯罪活动的信息 ) 违反本法第二十七条规定 ( 危害网络安全活动的程序工具或者为他人提供技术支持广告推广支付结算等 ) 最高 100 万违反本法第二十七条规定 ( 危害网络安全活动的程序工具或者为他人提供技术支持广告推广支付结算等 ) 最高 5 万违反本法第二十六条规定 ( 网络安全认证检测风险评估等活动, 或者发布系统漏洞计算机病毒网络攻击入侵等 ) 最高 10 万违反本法第二十二条第一款第二款和第四十八条第一款规定行为之一最高 50 万违反本法第四十六条规定,( 前款行为 ) 暂停相关业务停业整顿违反本法第二十六条规定 ( 网络安全认证检测风险评估等活动, 或者发布系统漏洞计算机病毒关闭网站吊销相关许可网络攻击入侵等 ) 营业执照五年违反本法第二十七条规定, 受到治安管理处罚人员不得从事网络安全管理和网络运营关键岗位工作个人组织法律终身拘留 ( 最高 5/ 日 ) 尚不构成犯罪违反本法第二十七条规定, 受到刑事处罚人员不得从事网络安全管理和网络运营关键岗位工作违反本法第二十七条规定 ( 危害网络安全活动的程序工具或者为他人提供技术支持广告推广支付结算等 ) 违反本法第四十六条规定,( 违法犯罪活动的网站通讯群组, 或利用网络发布犯罪活动的信息 ) 违反本法第四十六条规定,( 违法犯罪活动的网站通讯群组, 或利用网络发布犯罪活动的信息 ) 拘留 ( 最高 15/ 日 ) 情节较重违反本法第二十七条规定 ( 危害网络安全活动的程序工具或者为他人提供技术支持广告推广支付结算等 ) 记录信用档案公示违法本法规定承担民事责任违反本法规定, 给他人造成损害的治安管理处罚违反本法规定, 造成治安管理行为追究刑事责任违反本法规定, 构成犯罪

63 处罚对象处罚类型所涉及处罚和金额所涉及处罚行为网络产品或者服务的提供者经济最高 100 万违反本法第二十二条第三款第四十一条到四十三条规定 ( 侵害个人信息违反本法第四十四条规定,( 窃取非法获取出售或非法向他人提供个人信息 ) 直接负责人经济最高 10 万违反本法第二十二条第三款第四十一条到四十三条规定 ( 侵害个人信息网络产品或者服务的提供者行政暂停相关业务停业整顿关闭网站吊销相关许可营业执照违反本法第二十二条第三款第四十一条到四十三条规定 ( 侵害个人信息处罚对象处罚类型所涉及处罚和金额所涉及处罚行为电子信息发送服务提供者经济最高 50 万不履行本法第四十八条第二款规定的安全管理义务直接负责人经济最高 10 万不履行本法第四十八条第二款规定的安全管理义务电子信息发送服务提供者行政暂停相关业务停业整顿关闭网站吊销相关许可营业执照不履行本法第四十八条第二款规定的安全管理义务处罚对象处罚类型所涉及处罚和金额所涉及处罚行为应用软件下载服务提供者经济最高 50 万不履行本法第四十八条第二款规定的安全管理义务直接负责人经济最高 10 万不履行本法第四十八条第二款规定的安全管理义务应用软件下载服务提供者行政暂停相关业务停业整顿关闭网站吊销相关许可营业执照不履行本法第四十八条第二款规定的安全管理义务

64 处罚对象处罚类型所涉及处罚和金额所涉及处罚行为直接负责人法律依法处分不履行本法规定的网络安全保护义务国家机关政务网络运营者行政责令改正不履行本法规定的网络安全保护义务处罚对象处罚类型所涉及处罚和金额所涉及处罚行为直接负责人违反本法第三十条规定 ( 网络安全保护职责获取的信息用于其它用途 ) 网信部门和有关部门 ( 工作人员 ) 法律依法处分玩忽职守滥用职权徇私舞弊, 尚不构成犯罪的处罚对象处罚类型所涉及处罚和金额所涉及处罚行为境外机构 ( 组织个人 ) 经济法律冻结财产追究法律责任攻击侵入干扰破坏危害中华人民共和国关键信息基础设施活动攻击侵入干扰破坏危害中华人民共和国关键信息基础设施活动

安全移动办公解决方案

安全移动办公解决方案网络安全法解读 1 法律要点目录 CONTENTS 2 守法要点 3 发展机遇 01 法律要点一概述地位是网络安全领域一部根本大法, 也是一部基础性法律, 位于中国关于网络安全管理法律体系的中心位置范围在中华人民共和国境内建设运营维护和使用网络, 以及网络安全的监督管理, 适用本法总览法律条文 : 共 7 章,79 条 2016 年 11 月 7 日发布 2017 年 6 月