《网络安全法》解读PPT课件

. 网络安全法解读，目录，CONTENTS，01，法律要点，一，概况， 制定网络安全法的迫切性和必要性是执行党中央决策安排的重要措施，深化网络安全、维护国家安全的紧迫需要网络空间维护国家主权的紧迫需要网络安全水平的保护制度， 打击互联网违法犯罪，保护国家重要信息基础设施和大数据安全的紧迫需要，是互联网参与国际竞争和国际管理的紧迫需要，一是概况、 网络安全法的亮点是明确网络空间主权的原则二是明确网络产品和服务提供者的安全义务三是， 明确网络运营者的安全义务四是进一步完善个人信息保护规则五是等级保护制度依据政策上升法律要求六是提出重要的信息基础设施安全保护制度七是重要的信息基础设施重要数据跨境传输规则并且，一般而言，法律体系0103010构成中国网络空间安全管理的基本法律，包括： 0103010、0103010、0103010、0103010、0103010、0103010、0103010、0103010、0103010 相关法规国务院和相关部门制定并颁布一系列相关法律法规。 例如网络安全等级保护制度、重要信息基础设施认定和保护方法、数据跨境传输安全评估方法、网络产品和服务国家安全审查制度等，数量可达十几份。 一、概况、法律的适用和管辖在中华人民共和国境内进行网络建设、运营、维护和使用，以及网络安全的监督管理，适用本法。 区域外管辖网络安全法采用有限的区域外管辖原则，根据法律第七十五条，海外主体侵入或攻击国内重要信息基础设施造成严重后果的，依法追究法律责任，中国执法机构能够实施财产冻结等制裁措施，是日益严重的全球网络安全威胁一、概况、目标保障网络安全，维护网络空间主权和国家安全、公共利益，保护合法权益。 国家职责是兼顾网络安全与信息化发展，积极推进监测、防御网络安全战略，处置和威胁网络安全风险，倡导诚信、健康文明的网络行为， 国际交流与合作国网络通信部门负责协调网络安全工作和相关监督管理的国务院电信主管部门、公安部门等各部门职务，二、总则、网络通信部门在网络安全保障中的地位和职责，二、总则、信息安全功能部门职责分工，二、总则、 网络通信部门负责网络安全工作和相关监督管理工作的调整、网络信息内容监督执法、重要信息基础设施抽检评估、安全专用产品目录制定、公布、风险评估、应急机制和预案制定的公安机关负责等级保护的监督、检查、指导， 负责等保工作的领导部门国家保密部门负责等，保密工作的监督、检查、领导国家密码管理部门负责等，工作中密码工作的监督、检查、领导工业和信息化部门负责网络建设相关工作，电信和互联网行业网络安全审查相关的国家安全部门是保护国家安全相关工作的执法机构，有责任处理危害中华人民共和国国家安全的行为。网络运营者的责任遵守法律、行政法规，履行网络安全保护义务受政府和社会监督，承担社会责任。 确保网络安全、稳定运行，维护网络数据的完整性、机密性和可用性。行业组织责任网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，使会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。二、总则、网络安全等级保护制度第二十一条规定，国家实行网络安全等级保护制度。 安全保护义务是：1)制定内部安全管理制度和操作规程，确定网络安全责任人，执行网络安全保护责任；2 )采取危害计算机病毒和网络攻击、网络入侵等网络安全行为的技术措施；3 )网络运行状态； 采取监测、记录网络安全事件的技术措施，按规定保留相关网络日志6个月以上4 )采取数据分类、重要数据备份和加密等措施5 )法律、行政法规规定的其他义务。 解读1、等级保护制度随着政策的推进而上升到法律要求。 2、信息系统安全等级保护制度实行多年，目前信息系统安全等级保护制度已改为网络安全等级保护制度。 三、互联网运行安全，目前世界上根域名服务器只有13台，美国有10台，欧洲有2台，日本有1台，中国只有3台根域名镜像服务器。 2010年6月在伊朗纳坦兹核电站潜伏了3年的Stuxnet蠕虫首次被暴露，2016年4月孟加拉国中央银行被黑客攻击。 我想偷至少10亿美元的黑客，但是拼写错误导致了8100万美元。 2016年10月21日，美国近半数的互联网因DDOS攻击而瘫痪，2014年8月1日下午7点，黑客攻击温州的46.5万台机顶盒，播放了反动的影像，重要的信息基础设施保护了重要的信息基础设施(CII )范围的国家，公共通信和信息服务根据网络安全等级保护制度，对交通、水利、金融、公共服务、电子政务等重要行业和领域，以及被破坏、丧失功能或泄露数据可能严重危害国家安全、国家计划民生、公共利益的重要信息基础设施实施重要保护。 国务院另行制定重要信息基础设施的具体范围和安全保护办法。 三、网络运行安全、重要信息基础设施保护重要信息系统的范围2003年由中央办公厅、国务院办公厅转发的国家安全法 (中务发【2003】27号)，指出必须重点保护基础信息网络和有关国家的安全、经济命脉、社会稳定等重要信息系统。 2005年4月，国务院信息化办公室联合发起的反恐怖主义法确定，电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等八大重点行业电信网、广播电视网、计算机互联网三大基础信息网络是重要信息系统。 三、网络运行安全。国家网络安全检查操作指南2016年6月，中央网通公布的刑法中，明确提出了保密法。 重要信息基础设施主要复盖14个行业： (1)能源(2)金融(3)交通(4)水利(5)医疗卫生(6)环保(7)工业制造(原材料、装备、消费品、电子制造) (8)市政(9)电信和互联网(10 )广播电视(11 )教育(12 )新闻网站(13 )商业平台(13 ) 三、网络运行安全、国家网络安全检查操作指南的重要信息基础设施包括：一、网站类，如党政机关网站、企业机关网站、新闻网站等2 .平台类，如即时通信、网络购物、网络结算、搜索引擎、电子邮件、论坛、地图语音视频等网络服务平台3 .生产业务类，如办公室和业务系统、产业控制系统、大型数据中心、云计算平台、电视转播系统等。三、网络运行安全，治安管理处罚法年12月27日经中央网络认可，国家互联网信息事务所发布关于加强网络信息保护的决定。 国家重要的信息基础设施与国家安全、国家生活息息相关，提供公共通信、广播、电视传输等服务的基础信息网络、能源、金融、交通、教育、科研，这些信息设施是数据泄露、破坏或丧失可能严重危害国家安全、公共利益的信息设施。 包括但不限于水利、工业制造、医疗卫生、社会保障、公共事业等领域和国家机构重要信息系统、重要互联网应用系统等。 三、网络安全、海外重要基础设施保护活动开展情况美国： 关于维护互联网安全的决定、计算机信息系统安全保护条例、互联网信息服务管理办法、网络安全法国家信息化领导小组关于加强信息安全保障工作的意见、重要信息系统灾难恢复指南1010等法律和法律效力的行政令和总统令相继发布三、网络运行安全、三、网络运行安全、法律义务的重要信息基础设施运营者负有相应的网络安全保护法律义务：1)建设要求：业务运行稳定、安全技术措施规划、同步建设、同步使用2 )安全保护：专业安全管理机构和安全管理责任人安全教育、培训、 评估灾害恢复备份应急方案，定期演习3 )安全审查：购买网络产品和服务必须通过国家安全审查4 )保密要求：签订安全保密合同，明确安全、保密义务和责任5 )保管在国内：个人信息和重要数据必须保管在国内6 )检验评估：每年至少检验评估一次、三、网络运行安全、法律义务7 )统一协调：国家网络通信部门应当就重要信息基础设施安全保护统一协调以下措施：(一)核查重要信息基础设施安全风险，提出改进措施， 必要时可委托网络安全服务机构对网络存在的安全风险进行检查评估(二)定期组织重要信息基础设施运营者进行网络安全应急培训，提高网络安全事件的应对水平和合作能力(三)有关部门、重要信息基础设施运营者以及相关研究机构、 促进网络安全服务机构等之间网络安全信息的共享(4)提供网络安全事件应急处理和网络功能恢复等技术支持和合作。网络产品和服务按照符合有关国家标准的强制要求设置恶意程序发现安全缺陷、脆弱性等风险的，应当立即采取纠正措施，按照规定立即通知用户，报告有关主管部门。 在持续提供安全维护的规定或者当事人约定的期限内，不得停止提供安全维护。 用户信息和个人信息合规性在网络关键设备和网络安全专用产品符合有关国家标准的强制要求，通过合格机构的安全认证，或者安全检查满足要求之前不得销售或提供。 国家互联网通信部门制定并公布国务院有关部门和网络关键设备和网络安全专用产品目录，推进安全认证和安全检验结果相互认证，避免认证和检验重复。 三、网络运行安全，三、网络运行安全，网络实名制网络运营商向用户办理网络访问、域名注册服务、固定电话、手机等订户手续，向用户提供信息发布、即时通信等服务，与用户签订合同，提供服务在用户不提供实际的身份信息的情况下，网络运营商不可以提供与之相关的服务。 国家实施互联网可靠身份策略，支持开发安全便利的电子身份认证技术，推进不同电子身份认证之间的相互认证。数据保护范围：个人信息保护、用户信息保护、商业秘密保护。另外，因特网信息安全性-数据保护、个人信息：个人信息是指以电子或其他方式记录的、能够识别个人的个人id的各种信息，包括但不限于自然人的姓名、出生年月日、身份证书号码、个人生物识别信息、地址、电话号码等。 另外，用户信息：导入了“用户信息”的概念，用户在使用产品或服务的过程中收集的信息可以理解为构成了IP地址、用户名和密码、因特网时间、Cookie信息等用户信息。 商业秘密：是指不为公众所知，给权利者带来经济利益，具有实用性，权利者采取保密措施的技术信息和经营信息。用户信息保护点的收集：网络产品、服务具有收集用户信息的功能时，其提供者必须向用户明示、同意的保护：网络运营商必须严格保密收集的用户信息，建立健全的用户信息保护制度。 四、网络信息安全数据保护、商业秘密保护要点依法负责网络安全监督管理责任的部门及其员工，必须严格保密履行职责中所知的个人信息、隐私和商业秘密，向他人泄露、出售或违法提供、四、网络信息安全数据保护、个人信息保护：与传统法律法规相比，增加了删除权和订正权：必须遵守本法和相关法律、行政法规的规定。 网络安全检查操作指南收集和使用个人信息：必须遵循合法合法的必要原则，公布收集和使用规则，明确收集和使用信息的目的方式范围，并征得收集者的同意。 不得泄漏、篡改、损坏收集的个人信息：1)采取技术措施和其他必要措施保护；2 )泄漏的，立即采取纠正措施，通知用户，报告有关主管部门。 未经搜集者同意，不得向他人提供个人信息。 但是，通过处理无法识别特定的个人，无法恢复的情况除外。 -利润良好的“大数据发展”个人信息主体拥有删除权(保护不当使用)和订正权(错误)，不得非法获得、偷窃、非法销售，不得向管理部门提供非法信息，以此为职责泄露已知的个人信息。 数据本地化重要信息基础设施运营者在中华人民共和国境内运营中收集到的个人信息和重要数据应保存在国内。 因业务需要，确实需要向国外提供的，应当进行安全评价的法律、行政法规另有规定的，依照其规定。 四、网络信息安全数据本地化，其他规定有国家秘密和国家安全数据、征用数据、个人金融信息、地图数据、网络出版服务所需技术设备、网络预约相关数据和信息等其他法律本地化要求。四、网络信息安全网络行为应当对任何个人和组织使用网络的行为负责，不得设立网站和通信组，以实施欺诈、教导犯罪方法、制作和销售违法犯罪活动如违禁品和规定产品等、网络行动要求、国家和主管部门建立网络安全监测预警和信息通报制度。按照规定，统一发布网络安全监测报警信息重要信息基础设施安全保护活动的部门，建立本行业网络安全监测报警和信息通报制度，按照规定， 提供网络安全监测预警信息的国家网络通信部门协调有关部门建立健全的网络安全风险评估和应急工作机制，制定网络安全事件应急方案， 定期发生训练网络安全事件的风险增大，省级以上人民政府有关部门按照规定的权限和程序，根据网络安全风险的特点和危害，检测、评价、警告、纠正措施发生网络安全事件的，立即启动网络安全事件应急方案， 必须对网络安全事件进行调查和评价，要求网络运营者采取技术措施和其他必要措施，消除安全风险，防止危害扩大，并向社会提供公众警告信息，五是监测报警和应急处理，国家和有关部门省级以上人民政府有关部门， 在履行网络安全监督管理职责中，发现网络存在大的安全风险或