《网络安全法》简要解读省名师优质课赛课获奖课件市赛课一等奖课件

网络安全法解读太原清众鑫科技有限企业张青CISP-注册信息安全专业人员信息安全等级测评师软件测评师第1页目录CONTENTS1法律关键点

2守法关键点

3发展机遇

第2页01法律关键点

第3页一、概述目标保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其它组织正当权益，促进经济社会信息化健康发展在中华人民共和国境内建设、运行、维护和使用网络，以及网络安全监督管理，适用本法。法律条文：共7章，79条年11月7日公布年6月1日起施行范围总览第4页4制订网络安全法迫切性和必要性是落实党中央决议布署主要举措,是维护网络安全、国家安全迫切需要；是维护网络空间国家主权迫切需要；是深化网络安全等级保护制度、保护国家关键信息基础设施和大数据安全迫切需要；是打击网络违法犯罪、维护广大人民群众利益迫切需要；是参加互联网国际竞争和国际治理迫切需要一、概述第5页网络安全法亮点一是明确了网络空间主权标准；二是明确了网络产品和服务提供者安全义务；三是明确了网络运行者安全义务；四是深入完善了个人信息保护规则；五是等级保护制度由政策推进上升为法律要求；六是提出了关键信息基础设施安全保护制度；七是确立了关键信息基础设施主要数据跨境传输规则一、概述第6页法律体系《网络安全法》组成我国网络空间安全管理基本法律，与《国家安全法》、《反恐怖主义法》、《刑法》、《保密法》、《治安管理处罚法》、《关于加强网络信息保护决定》、《关于维护互联网安全决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理方法》等现行法律法规共同组成中国关于网络安全管理法律系统。配套法规国务院及相关部门会制订和颁布一系列配套法律法规，比如网络安全等级保护制度、关键信息基础设施认定和保护方法、数据跨境传输安全评定方法、网络产品和服务国家安全审查制度等，数量上可能会达十余部。一、概述第7页法律适用与管辖在中华人民共和国境内建设、运行、维护和使用网络，以及网络安全监督管理，适用本法。域外管辖《网络安全法》采取了有限域外管辖标准，依照法七十五条，境外主体实施入侵或攻击境内关键信息基础设施活动，造成严重后果，依法追究法律责任，且中国执法机关可实施财产冻结等制裁办法，这是为应对日益严重全球网络安全威胁需要。一、概述第8页目标保障网络安全，维护网络空间主权和国家安全、公共利益，保护正当权益….国家职责网络安全与信息化发展并重制订、完善网络安全战略监测、防御、处置网络安全风险及威胁提倡老实守信、健康文明网络行为主动推进国际交流与合作国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门等各司其职二、总则第9页网信部门在网络安全保障中地位和职责二、总则第10页信息安全职能部门职责分工二、总则网信部门负责统筹协调网络安全工作和相关监督管理工作，互联网信息内容监督执法，关键信息基础设施抽查检测评定，制订、公布安全专用产品目录，制订风险评定、应急机制和预案；公安机关负责等级保护工作监督、检验、指导，是等保工作牵头部门；国家保密部门负责等保工作中相关保密工作监督、检验、指导；国家密码管理部门负责等保工作中相关密码工作监督、检验、指导；工业和信息化部门负责网络建设相关工作，负担电信和互联网行业网络安全审查相关工作，负责网络安全防护、应急管理和处置。国家安全部门是负责维护国家安全相关工作执法机构，负责处理危害中华人民共和国国家安全行为。第11页网络运行者职责恪守法律、行政法规，推行网络安全保护义务接收政府和社会监督，负担社会责任。保障网络安全、稳定运行，维护网络数据完整性、保密性和可用性。行业组织职责网络相关行业组织按照章程，加强行业自律，制订网络安全行为规范，指导会员加强网络安全保护，提升网络安全保护水平，促进行业健康发展。二、总则第12页网络安全等级保护制度第二十一条要求，国家实施网络安全等级保护制度。安全保护义务包含：1）制订内部安全管理制度和操作规程，确定网络安全责任人，落实网络安全保护责任；

2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为技术办法；

3）采取监测、统计网络运行状态、网络安全事件技术办法，并按照要求留存相关网络日志不少于六个月；

4）采取数据分类、主要数据备份和加密等办法；

5）法律、行政法规要求其它义务。解读1、等级保护制度由政策推进上升为法律要求。2、信息系统安全等级保护制度已实施多年，当前信息系统安全等级保护制度更改为网络安全等级保护制度。三、网络运行安全第13页现在世界上一共有13个根域名服务器,10个在美国,2个在欧洲,1个在日本.而中国只有3个根域名镜像服务器。第14页1996年台海危机时，中国发射三枚近程弹道导弹两枚偏离，这两次发射失败可能是由GPS信号突然中止造成。这也刺激了中国加紧研制自己卫星导航定位系统。第15页年6月在伊朗纳坦兹核电站中潜藏三年Stuxnet蠕虫病毒被首次曝光第16页年4月孟加拉国央行被黑客攻击。原本想窃取最少10亿美元黑客，因为拼写错误最终只转走了8100万美元第17页

年10月21日，美国近二分之一互联网因DDOS攻击瘫痪第18页年8月1日晚上7点，黑客攻击温州46.5万台机顶盒播放反动图文第19页关键信息基础设施保护关键信息基础设施（CII）范围国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等主要行业和领域，以及其它一旦遭到破坏、丧失功效或者数据泄露，可能严重危害国家安全、国计民生、公共利益关键信息基础设施，在网络安全等级保护制度基础上，实施重点保护。国务院另行制订关键信息基础设施详细范围和安全保护方法。三、网络运行安全第20页关键信息基础设施保护主要信息系统范围年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作意见》（中办发【】27号）指出，要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面主要信息系统。年4月，国务院信息化办公室联合起草《主要信息系统灾难恢复指南》,确定电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等八大重点行业电信网、广播电视网、计算机互联网三大基础信息网络为主要信息系统。三、网络运行安全第21页国家网络安全检验操作指南年6月，中央网信办颁布《网络安全检验操作指南》中，其明确提出《关键信息基础设施确定指南（试行）

》。关键信息基础设施主要涵盖14大行业：（1）能源；（2）金融；（3）交通；（4）水利；（5）医疗卫生；（6）环境保护；（7）工业制造（原材料、装备、消费品、电子制造）；（8）市政；（9）电信与互联网；（10）广播电视；（11）教育；（12）新闻网站；（13）商业平台；（14）政府部门。三、网络运行安全第22页国家网络安全检验操作指南关键信息基础设施包含：1、网站类，如党政机关网站、企事业单位网站、新闻网站等；2、平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；3、生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。三、网络运行安全第23页《国家网络空间安全战略》

年12月27日，中央网信办同意，国家互联网信息办公室公布《国家网络空间安全战略》指出，国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功效可能严重危害国家安全、公共利益信息设施，包含但不限于提供公共通信、广播电视传输等服务基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关主要信息系统，主要互联网应用系统等。三、网络运行安全第24页国外关键基础设施保护工作开展情况美国：先后出台《1993年国家信息基础设施行动动议》、《1996年国家信息基础设施保护法案》、《年关键基础设施保护法案》、《联邦信息安全管理法案》、《年关键基础设施信息法案》、《

年关键基础设施和主要资产物理保护国家战略》、《年、年、年国家基础设施保护计划》《年联邦信息安全当代化法案》《年网络安全加强法案》《年国家网络安全保护法案》等法律以及多部含有法律效力行政令和总统令。三、网络运行安全第25页三、网络运行安全法律义务关键信息基础设施运行者将会负担对应网络安全保护法定义务：1）建设要求：业务运行稳定可靠，安全技术办法同时规划、同时建设、同时使用；

2）安全保护：专门安全管理机构和安全管理责任人；安全教育、培训、考评；

容灾备份；应急预案、定时演练

3）安全审查：采购网络产品和服务，应该经过国家安全审查

4）保密要求：签署安全保密协议，明确安全和保密义务与责任5）境内存放：个人信息和主要数据应该在境内存放6）检测评定：每年最少进行一次检测评定，报送检测评定情况和改进办法。第26页三、网络运行安全法律义务7）统筹协调：国家网信部门应该统筹协调相关部门对关键信息基础设施安全保护采取以下办法：（一）对关键信息基础设施安全风险进行抽查检测，提出改进办法，必要时能够委托网络安全服务机构对网络存在安全风险进行检测评定；（二）定时组织关键信息基础设施运行者进行网络安全应急演练，提升应对网络安全事件水平和协同配合能力；（三）促进相关部门、关键信息基础设施运行者以及相关研究机构、网络安全服务机构等之间网络安全信息共享；（四）对网络安全事件应急处置与网络功效恢复等，提供技术支持和帮助。第27页网络产品和服务符合相关国家标准强制性要求不得设置恶意程序发觉存在安全缺点、漏洞等风险时，应该马上采取补救办法，按照要求及时通知用户并向相关主管部门汇报。连续提供安全维护；在要求或者当事人约定期限内，不得终止提供安全维护。用户信息和个人信息合规网络关键设备和网络安全专用产品应该按摄影关国家标准强制性要求，由具备资格机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院相关部门制订、公布网络关键设备和网络安全专用产品目录，并推进安全认证和安全检测结果互认，防止重复认证、检测。三、网络运行安全第28页三、网络运行安全网络实名制网络运行者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息公布、即时通讯等服务，在与用户签署协议或者确认提供服务时，应该要求用户提供真实身份信息。用户不提供真实身份信息，网络运行者不得为其提供相关服务。国家实施网络可信身份战略，支持研究开发安全、方便电子身份认证技术，推进不一样电子身份认证之间互认。第29页数据保护范围：个人信息保护、用户信息保护和商业秘密保护。四、网络信息安全—数据保护个人信息：个人信息是指以电子或者其它方式统计能够单独或者与其它信息结合识别自然人个人身份各种信息，包含但不限于自然人姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。用户信息：

引入了“用户信息”概念，能够了解为在用户使用产品或服务过程中搜集信息组成用户信息，包含IP地址、用户名和密码、上网时间、Cookie信息等。商业秘密：是指不为公众所知悉、能为权利人带来经济利益，含有实用性并经权利人采取保密办法技术信息和经营信息。第30页用户信息保护关键点搜集：网络产品、服务含有搜集用户信息功效，其提供者应该向用户明示并取得同意；保护：网络运行者应该对其搜集用户信息严格保密，并建立健全用户信息保护制度。四、网络信息安全—数据保护商业秘密保护关键点依法负有网络安全监督管理职责部门及其工作人员，必须对在推行职责中知悉个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。第31页四、网络信息安全—数据保护个人信息保护：与以往法律法规相比，增加了删除权和更正权：应该恪守本法和相关法律、行政法规要求。《电信和互联网用户个人信息保护要求》搜集、使用个人信息：应该遵照正当、正当、必要标准，公开搜集、使用规则，明示搜集、使用信息目标、方式和范围，并经被搜集者同意。不得泄露、篡改、毁损其搜集个人信息：1）采取技术办法和其它必要办法保护；2）若泄漏，马上采取补救办法，通知用户并向相关主管部门汇报。未经被搜集者同意，不得向他人提供个人信息。不过，经过处理无法识别特定个人且不能复原除外。--利好“大数据发展”个人信息主体拥有删除权（保护使用不妥）和更正权（有误）不得非法获取、窃取，不得非法出售、非法向他人提供管理部门不得泄露推行职责中知悉个人信息第32页数据当地化关键信息基础设施运行者在中华人民共和国境内运行中搜集和产生个人信息和主要数据应该在境内存放。因业务需要，确需向境外提供，应该进行安全评定；法律、行政法规另有要求，依照其要求。四、网络信息安全—数据当地化其它要求以下数据在其它法律里有当地化要求：国家秘密和国家安全数据、征信数据、个人金融信息、地图数据、网络出版服务所需必要技术设备、网约车相关数据和信息。第33页四、网络信息安全—网络行为任何个人和组织应该对其使用网络行为负责，不得设置用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动网站、通讯群组，不得利用网络公布包括实施诈骗，制作或者销售违禁物品、管制物品以及其它违法犯罪活动信息。网络行为要求第34页国家及主管部门建立网络安全监测预警和信息通报制度。按照要求统一公布网络安全监测预警信息关键信息基础设施安全保护工作部门，应该建立健全本行业、本事域网络安全监测预警和信息通报制度，并按照要求报送网络安全监测预警信息国家网信部门协调相关部门建立健全网络安全风险评定和应急工作机制，制订网络安全事件应急预案，并定时组织演练网络安全事件发生风险增大时，省级以上人民政府相关部门应该按照要求权限和程序，并依据网络安全风险特点和可能造成危害：检测、评定、预警、补救办法发生网络安全事件，应该马上开启网络安全事件应急预案，对网络安全事件进行调查和评定，要求网络运行者采取技术办法和其它必要办法，消除安全隐患，预防危害扩大，并及时向社会公布与公众相关警示信息五、监测预警与应急处理第35页国家及相关部门省级以上人民政府相关部门在推行网络安全监督管理职责中，发觉网络存在较大安全风险或者发生安全事件，能够按照要求权限和程序对该网络运行者法定代表人或者主要责任人进行约谈。因网络安全事件，发生突发事件或者生产安全事故，应该依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等相关法律、行政法规要求处置。因维护国家安全和社会公共秩序，处置重大突发社会安全事件需要，经国务院决定或者同意，能够在特定区域对网络通信采取限制等暂时办法。网络运行者存在较大安全风险或发生安全事件：网络运行者应该按照要求采取办法，进行整改，消除隐患。五、监测预警与应急处理第36页行政处罚责令更正、警告、罚款，责令暂停相关业务、停业整理、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责主管人员等进行罚款等；相关机关还能够把违法行为统计到信用档案。对于“非法入侵”等，法律还建立了职业禁入制度。

六、法律责任民事责任违法《网络安全法》行为给他人造成损失，网络运行者应该负担对应民事责任。治安管理处罚/刑事责任违反本法要求，组成违反治安管理行为，依法给予治安管理处罚；组成犯罪，依法追究刑事责任。第37页02遵法关键点

第38页遵法关键点网络运行者法律合规要求需要网络运行者建立企业管理制度和操作规程，以满足法律合规性要求，防止法律风险，主要包含以下：1）与实施网络安全等级保护制度相关义务和制度建设，包含制订内部安全管理制度和操作规程，确定网络安全责任人等（第二十一条）；

2）健全用户信息保护制度（第二十二条和第四十条）；

3）落实网络实名制（第二十四条）；

4）网络安全事件应急预案（第二十五条）；

5）关键信息基础设施安全保护义务，包含：设置专门安全管理机构和安全管理责任人，并对该责任人和关键岗位人员进行安全背景审查；定时对从业人员进行网络安全教育、技术培训和技能考评；对主要系统和数据库进行容灾备份；制订网络安全事件应急预案，并定时进行演练；法律、行政法规要求其它义务（第三十四条）；第39页