安全觉醒年代-网络安全重要法律解读

安全觉醒年代2021年网络安全重要法律法规解读安全是个复杂产业360阿里腾讯百度京东头条……理论体系P2DR模型（1995）木桶理论（2000）立体防御模型（2003）云管端模型（2013）安全滑动标尺（2015）自适应安全架构（2016）零信任架构（2017）CARTA战略方法（2018）SASE框架（2020）网络安全全景图--安全牛2021.3企业安全标准体系ISO:27001等级保护分级保护网络安全法数据安全保护法个人信息保护法安全疆域：14个一级安全领域、106个二级细分领域近376家安全企业和相关机构，700亿规模（2020年），每年增速15%-30%碎片化特征：全球网络安全排名前15的企业加起来，仅占到全球市场规模的30%。国内前10名(亿元以上)收入加起来占整个市场的39%奇安信：营收约42亿，约占整个安全市场的6%；约20万家企业客户，约占整个企业客户的5%（400万家企业）互联网安全现状一:持续碎片化威胁、厂商、产品、资本现状二：持续复杂化理论、技术、标准现状三：高增速、高弹性增速15%-30%，IT投入占比2-3%现状四：安全团队高分化头部企业与创业团队高增长；（2018（200）2019（303）、2020（313）、2021（376））安全是个复杂系统政策合规IT变革威胁事件等保/分保(1994)ISO27001(1995)网络安全法(2017)GDPR(2018)等保2.0（2020）……信息化（办公自动化,

1985-1995,Lotus）数字化（系统大爆炸,1995-2015,J2EE）数字化转型（数据化,2015-至今）......病毒感染黑客攻击人员泄密……技术升级特征匹配启发/虚拟/仿真云查杀威胁情报态势感知……1986199019942015同步建设（架构的前瞻性）解决问题（产品的有效性）IT配套（技术的先进性）威胁觉醒厂商觉醒国家觉醒甲方觉醒复兴富强独立觉醒网络空间主权网络大国网络强国网络空间安全网络安全和信息化是一体之两翼，驱动之双轮，必须统一谋划，统一部署，统一推进，统一实施网络安全已上升为国家战略习近平网络强国思想网络安全法密码法网络安全等级保护制度关键信息基础设施保护条例国家网络空间安全战略国家总体安全观网络安全观国家安全法网络安全审查办法（进行修订）个人信息保护法数据安全法国家战略法律行政法规《党委（党组）网络安全工作责任制实施办法》分类分级保护制度重要数据目录数据交易管理制度数据安全审查制度标准等级保护配套标准体系关基保护配套标准体系未来：数据安全配套标准体系数据安全审查制度十四五规划与2035远景目标（网络安全保障体系与能力）我国十大网络安全法规序号日期名称条数字数11994.2.18中华人民共和国计算机信息系统安全保护条例31207322007.6.22信息安全等级保护管理办法44730332017.6.1中华人民共和国网络安全法791000542018.6.27网络安全等级保护条例（征求意见稿）731069952020.1.1中华人民共和国密码法44496862020.6.1网络安全审查办法22248072021.9.1关键信息基础设施安全保护条例51564782021.9.1网络产品安全漏洞管理规定16237292021.9.1中华人民共和国数据安全法555470102021.11.1中华人民共和国个人信息保护法749028总计

48960045从1994到2022年的28年间，跟网络安全相关的法律有100多件新合规时代：网络安全法律法规框架关键信息基础设施安全保护条例（2021年09月1日）等保2.0网络安全等级保护条例（征求意见稿）（2018年6月27日）等保1.0信息安全等级保护管理办法（2007）网络安全审查办法（2020年06月1日）个人信息保护法（2021年11月1日）关键信息基础设施的运营者网络运营者数据计算机信息系统运营者《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护基本要求》《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全等级保护测评要求》BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》《涉及国家秘密的信息系统审批管理规定》BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》计算机信息系统安全保护等级划分准则（GB17859-1999）网络安全等级保护实施指南（GB/T25058-2020）网络安全等级保护定级指南（GB/T22240-2020）网络安全等级保护基本要求（GB/T22239-2019）网络安全等级保护设计技术要求（GB/T25070-2019）网络安全等级保护测评要求（GB/T28448-2019）网络安全等级保护测评过程指南（GB/T28449-2018）数据管理能力成熟度评估模型(GB/T36073-2018)简称DCMM数据安全能力成熟度模型(GB/T37988-2019)简称为DSMM数据安全治理能力评估方法(T/ISC-0011-2021)电信网和互联网数据安全风险评估实施方法（YDT3801-2020）GB/T37932《信息安全技术数据交易服务安全要求》GB/T36343《信息安全技术数据交易服务平台交易数据描述》GB/T37728《信息技术数据交易服务平台通用功能要求》责任主体漏洞安全对象网络产品安全漏洞管理规定（2021年09月1日）中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定密码《信息安全等级保护密码管理办法》《信息安全等级保护商用密码技术要求》《商用密码管理条例》信息安全技术关键信息基础设施安全保护要求信息安全技术关键信息基础设施安全控制措施信息安全技术关键信息基础设施安全防护能力评价方法信息安全技术关键信息基础设施安全保障指标体系信息安全技术关键信息基础设施认定指南信息安全技术关键信息基础设施边界确定方法信息安全技术关键信息基础设施安全测评要求信息安全技术关键信息基础设施安全监测预警要求网络安全法（2017年06月1日）计算机信息系统安全保护条例（1994年2月18日）数据安全法2021年09月1日密码法2020年01月1日CONTENTS1关基保护条例构筑网络安全底板2数据安全法保障数字经济的安全引擎3个人信息保护法让网络空间下的人民更有尊严关基保护条例构筑网络安全底板关基与等保：不止合规共性高度：均已上升到法律，不执行属于违法行为；对象：保护的对象都是网络设施和信息系统；差异范围不一样：等保具有普适性，关保具有针对性；能力要求不一样：等级保护是保护基线，关基保护无防护的上限；等级保护根据所定级别达到不同的防护能力，关基保护对抗的是有组织的敌对破坏力量；能力理念不一样：等级保护基于合规思路，关基保护动态风控思路；强化立体化综合防控：关基保护需要国家协调监督、行业监管保护、运营者安全防护。网络空间尺度：从交互到共生国家安全法（2015年7月1日）政治安全国土安全军事安全经济安全文化安全社会安全科技安全信息安全生态安全资源安全核安全五大主权空间海陆空天网络空间物理世界数字世界物理世界数字世界交互关系SaftySecurity共生/双生安全大趋势：从基础设施谈起铁、公、机云、大、物、移、智信息安全/网络安全/网络空间安全（CyberSpaceSecurity）安全的本质是威胁对抗2017年5月12日，WannaCry“永恒之蓝”勒索蠕虫爆发，攻击了近百个国家的近4万家企业，在中国有上百万台服务器中招，中招者要限时支付价值300美元的比特币才能解锁，否则销毁数据。2017年6月15日起，“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索，现已有超过6家金融证券类企业遭受DDoS攻击勒索，且其中4家已经遭受了大规模的DDoS攻击。黑客病毒病毒界：魔道之争30年ZXB大脑病毒病毒样本100亿种莫里斯

蠕虫病毒样本2万种美丽莎病毒病毒样本40万种病毒样本800万种小球病毒CIH病毒冲击波病毒熊猫烧香病毒20082006200319991996198919881986199820072016病毒样本160亿种勒索病毒20202017黑客圈：攻防对抗ThinkingastheAttackers天下武功，唯快不破未知攻，焉知防攻防平衡黑客红客白帽子组织黑客的极端攻击能力攻防对抗已经是一个复杂的战役关基保护是数字强国的坚实底板业务业务IT支撑IT支撑客户企业传统业务运营客户企业数字化业务运营传统业务模式数字化模式网络安全底板安全保障重构安全体系数字化转型无处不在的安全防护需求数据应用用户云网络数字化安全管理数字化安全运营精细化管控动态适配连续合规业务与信息化深度融合，网络安全风险等同于业务运营风险。网络安全是数字化转型成功的保障网络安全保障业务运营，与业务强相关安全要与信息化要全面覆盖、深度融合、强制管控网络安全一把手推动，将安全与业务结合，提升到企业战略层面公共通信信息服务能源交通水利金融公共服务电子政务国防科技关键信息基础设施安全防护历程“4.19”讲话中网办发【2016】3号文网络安全法关键信息基础设施国标2016年4月2016年7月2018年加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。—《关于开展关键信息基础设施网络安全检查的通知》进行全国范围内关键信息基础设施的摸底和检查工作，截止12月为止。—《关键信息基础设施确定指南》（试行）—银监会（2016）107号<<中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》—国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。—关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。《关键信息基础设施保护条例》（征求意见稿）2017年7月中央网络安全和信息化领导机构统一领导关键信息基础设施安全保护工作。国家网信部门负责指导协调关键信息基础设施安全保护工作，国务院电信主管部门、公安部门和其他有关机关依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。—《关键信息基础设施网络安全保护基本要求》—《关键信息基础设施安全控制措施》《关键信息基础设施安全检查评估指南》—《关键信息基础设施安全保障指标体系》—《关键信息基础设施网络安全框架》国家网络空间安全战略2016年12月—着眼识别、防护、检测、预警、响应、处置等环节，建立实施关键信息基础设施保护制度。—主管、运营单位和组织要按照法律法规、制度标准的要求，采取必要措施保障关键信息基础设施安全，逐步实现先评估后使用。加强关键信息基础设施风险评估。公安部2020【1960】号文件—公安部2020【1960】号文件《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》2020年《关键信息基础设施保护条例》正式发布，9月1日施行。2021年《关键信息基础设施保护条例》2017年6月关保的政策法规体系公网安[2020]1960号关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函《关键信息基础设施安全保护条例》行政法规规范性文件《中华人民共和国网络安全法》法律层面信息安全技术关键信息基础设施安全保护要求（送审稿）信息安全技术关键信息基础设施安全控制措施（报批稿）信息安全技术关键信息基础设施安全防护能力评价方法（送审稿）信息安全技术关键信息基础设施安全保障指标体系（报批稿）信息安全技术关键信息基础设施认定指南（草案）信息安全技术关键信息基础设施边界确定方法（送审稿）信息安全技术关键信息基础设施安全测评要求（制定立项）信息安全技术关键信息基础设施安全监测预警要求（研究立项）……技术标准立项->征求意见稿->送审稿->报批稿《XX行业关键信息基础设施认定规则》、《XX行业关键信息基础设施网络安全保护指导意见》行业规范性文件XX行业网络安全保护技术规范……行业技术标准关保规范的框架第二章关键信息基础设施认定1-2

目标、范围3-4明确主体、职责5-6

重点保护7贡献表彰第一章总则第三章运营者责任义务第四章保障和促进8保护工作部门的定义9制定认定规则10认定、通知、上报11重认定12三同步13

安全保护制度和责任制14

安全管理机构及职责15/16

安全保护工作具体职责17

检测评估18

事件报告19

采购网络产品和服务20

明确义务和责任22行业安全规划23信息共享24

监测预警25

应急响应预案和处置26-28检查检测34

安全标准，指导、规范35

人才培养29、36技术支持与攻关37网络安全服务机构38

军民融合第五章法律责任（39～49）第六章附则警告，责令改正处罚、处分拘留刑事责任30信息安全31-32优先保障33安全保卫第一章总则：重要行业和领域公共通信信息服务能源交通水利金融公共服务电子政务国防科技基础电信业务增值电信业务骨干型电网公路管理运营全国性银行邮政应急管理军工集团头部证券大型保险支付机构重点发电企业石油石化企业金融职能机构水路铁路民航社会保障卫生健康广播电视水利枢纽第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏，丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。教育培训第二章认定：保护工作部门负责关保条例征求意见稿中“第三章关键信息基础设施范围”变更为“第二关键信息基础设施认定”，并且由国家制定关键信息基础设施指标指南，变更为由保护工作部门制定认定规则，明确了关键信息基础设施系统带有明确的业务属性指导，也强化了保护部门的责任。第八条

本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下称保护工作部门）。第九条

保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。第十条保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。重要程度危害程度关联性影响——关基系统和运营者的范围是动态变化的第三章运营者责任义务：谁是关基运营者？国家机关关基行业关基运营者关键信息基础设施统筹协调指导监督安全保护监督管理保护主体责任网络设施信息系统管理制度、资源保障、人员管理、机构设置、考核评价、产品采购网信机关公安机关组织保障第十三条运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。网络安全领导小组首席网络安全官CII安全管理机构CII核心岗位人员CII非核心岗位人员任命首席网络安全官明确机构分工，制定责任清单完善管理制度、评价考核制度背景审查、技能审查及考核明确核心与非核心人员定位开展安全技术培训教育专人专岗，核心岗位AB岗制提升安全意识、CII保密意识签订CII保密协议责任到人以提升主动保护意识考核评价体系驱动保护工作动态审查审核促进人员监管CII人员组织结构CII人员管理任务CII管理工作目标第四章保障与促进：国家、行业、运营者形成合力国家对关键信息基础设施实行重点保护；突出贡献的单位和个人，按照国家有关规定给予表彰。国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。及时提供技术支持和协助。国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导，不断提升服务机构能力水平。国家采取措施，鼓励网络安全专门人才从事关键信息基础设施安全保护工作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。运营者应当优先采购安全可信的网络产品和服务；国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关。政策鼓励服务机构人才培养技术创新网信运营单位保护单位公安网络安全服务机构第五章法律责任：不干不行警告，责令改正处罚、处分运营者：10-100W主管人员：1-10W采购金额1~10倍行政拘留5~15日刑事网信部门公安部门保护部门运营者①《关键信息基础设施认定规则》②《关键信息基础设施认定结果》③关键信息基础设施变化情况②《关键信息基础设施认定结果》④网络安全事件⑤网络安全检测和风险评估⑥重大网络安全事件或者发现重大网络安全威胁⑥特别重大网络安全事件或者发现特别重大网络安全威胁⑦机构发生合并、分立、解散⑥特别重大网络安全事件或者发现特别重大网络安全威胁⑧运行状况、安全态势——这些不做，都将承担法律责任行动建议建设思想：体系化、常态化、实战化事件驱动的安全能力抖动安全检查攻防演练通报批评时间事件N能力现有安全能力全局风险管控安全基础防护安全专项治理实战检验实战检验安全能力的跃升体系化：组织、制度、流程、工具、人员能力的全面提升常态化：持续的安全运行实战化：抵抗真实攻击的全局风险管控关基网络安全顶层设计网络安全底版管理层治理层执行层顶层规划同步规划同步建设同步使用公共通信信息服务能源交通水利金融公共服务电子政务国防科技网络安全共享机制安全监测预警机制网络安全应急预案机制网络安全部门协同机制网络安全风险评估机制网络安全保护与责任机制网络安全重大事件上报机制网络安全绩效考核机制设置网络安全管理机构建立网络安全组织架构网络安全运营管理制度关键信息密码保护制度网络安全评价考核制度安全事件上报管理制度网络安全人才培养制度网络安全风险评估制度网络安全检查监测网络设施安全保护网络安全风险预警网络安全应急演练网络安全风险评估网络安全绩效考核网络安全教育培训网络安全技术创新…

……

……

…一、治理层：将安全工作纳入关保机构顶层规划架构管控安全组织安全预算安全政策安全人员成效考核治理层在关保机构安全政策中明确安全人员在IT总人数的占比和能力要求，确保工作被覆盖。落实安全责任制度，构建网络安全管理组织，将安全工作纳入关保机构管理条线。建立面向成效的安全考核指标库，对安全工作的成效进行考核评价，纳入绩效管理。在关保机构治理层面开展安全的需求管控和安全系统建设架构管控，确保安全建设方向正确。在关保机构安全政策中明确安全预算在IT的占比，确保安全能力持续优化的资金保障。设定关保机构安全总体方针，规划组织职责分工和信息安全制度，开展安全关键活动，夯实安全技术能力。安全预算-加大安全资源的投入占比工信部：网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）2021年7月12日到2023年，网络安全技术创新能力明显提高，产品和服务水平不断提升，经济社会网络安全需求加快释放，产融合作精准高效，网络安全人才队伍日益壮大，产业基础能力和综合实力持续增强，产业结构布局更加优化，产业发展生态健康有序。——产业规模：网络安全产业规模超过2500亿元，年复合增长率超过15%。——需求释放：电信等重点行业网络安全投入占信息化投入比例达10%。重点行业领域安全应用全面提速，中小企业网络安全能力明显提升，关键行业基础设施网络安全防护水平不断提高。财力人力物力建立健全网络安全保护制度和责任制保障人力、财力、物力投入***结合当前央企数字化发展现状，建议网络安全预算在IT预算的占比为：10%-15%【参考值】中国1.8%-3%

vs美国4.78-20.4%

政策分析安全政策-多层级的安全体系建设网络安全指导方针组织职责与分工信息安全制度资产安全人员能力风险评估安全监控与检查事件及应急管理信息安全合规外包安全管理技术管理物理安全终端安全网络安全应用安全数据安全数据安全整体方针组织制度信息安全目标关键活动技术支撑123456789101112制定开展信息安全管理工作的总体指导方针及策略，把控信息安全管理方向。制度体系具化信息安全管理策略要求，组织架构落实信息安全管理职能。明确信息安全管理主要目标要素。梳理信息安全管理关键活动，有条理、有重点开展信息安全日常管理活动。定义信息安全技术规范，依靠技术手段实现信息安全管理策略。《网络安全管理计划》《数据安全防护策略》专门安全管理机构《网络安全考核及监督问责制度》《网络安全教育培训制度》检查检测风险评估供应商管理信息共享安全运营评价指标一、治理层：将安全工作纳入关保机构顶层规划建立网络安全三道防线：

强化网络安全的专业化管理，实现对安全风险的有效控制；第一道防线：是核心业务层网络安全风险的自管理，将网络安全管理工作嵌入业务职能；第二道防线：侧重的是对网络安全风险的监测发现告警，将网络安全管理工作要求通过监督检查职能实现；第三道防线：强调专职的安全审计，网络安全风险管理的充分性和有效性提供独立和客观的确认和建议。独立向管理层报告其发现，以促进持续改进。在这个过程中，它还会考和便用其它末部或外部机构的确认结果；形成安全防御协同联动：网络安全组织不是封闭的，需要与外部单位交流沟通，接受外部监管部门、地方主管部门的监督和指导，得到合作伙伴的支持。管理层业务组织审计组织决策授权指导检查反馈监督协同服务监督配合国家监管部门监督指导行业保护部门网络安全服务机构网络安全组织123IT管理层安全人员-明确安全人员的能力覆盖关基保护需要安全管理、安全规划、安全项目管理、安全基础运营、分析响应、攻防渗透，安全人员数量占IT人员总数的百分比借鉴国内外最佳实践，建议8%-10%的技术管理规划类+外部支撑人员。安全管理人员安全规划人员安全项目管理人员成效考核-明确奖惩机制定义考核指标制定考核任务考核评分考核报表管理过程类安全业务类定义考核模板设置指标权重选择考核对象定义考核指标制定考核任务自评主评自定义考核规则，系统自动评分自定义评分逻辑考核评分考核报表单位评分排名考核指标评分分析线下约谈通知，通告促进安全能力建设重要手段之一架构管控-开展安全系统建设架构管控安全架构应遵循企业架构体系的设计与管控要求，平滑融入企业架构，在各个层次与企业架构保持一致性。安全工程项目立项审批，其技术路线、建设的系统级架构在方向上必须满足安全架构的管控要求，否则不予立项。作为纲领性要求，写入网络安全总纲。企业架构体系工具企业架构方法论业务架构应用架构数据架构技术架构安全架构架构关系企业架构组成原则指南工具安全元素方法论安全架构构成元素关系原则指南原有内容支撑组件图例新增内容二、管理层：基于数据支撑的效果型闭环管理010203040506安全流程是否合理？安全防御是否生效？安全数据是否完整？安全人员如何分布？安全投资是否生效？安全技能是否具备？效果型闭环管理-建立网络安全评价指标体系数据驱动的网络安全管理活动：基于大数据技术，分析安全运营效能。自动化方式获取关键安全状态指标，将安全管理活动实现在线化、平台化，基于平台进行安全指标比对、统计、关联等分析，对安全运营效能进行数字化考核，为管理决策提供数据依据，牵引安全工作。通过安全线上服务加强安全运行工作规范性：对安全日常性工作、事件发现处置工作、应急响应工作形成标准化流程，逐步条令化、线上化，以技术管控强制执行，从而提升安全运营的规范性。建立基于大数据技术的安全运营“新管理”机制，通过数据看安全流程是否合理、安全防御是否生效、安全数据是否完整、安全人员如何分布、安全投资是否有效，以数据为安全管理工作提供依据。基于大数据技术的安全运营“新管理”支撑平台建立网络安全保障与效果评价模型网络安全防御过程是一个动态过程，采用过程方法建立信息安全保障模型的。模型说明了信息安全保障是根据利益相关方的保障需求建立保障措施，形成保障能力，以实现保障效果的过程。可根据对保障效果的评价，动态调整保障措施，以更好地满足保障需求。建立保障措施：保障措施是基于企业的保障需求设计的一系列保障手段，是实现信息安全保障需求的途径，设置一批安全建设工程或任务。形成保障能力：保障能力是工程和任务落地过程中所形成的应对网络安全风险的能力，是安全防御有效性的体现。实现保障效果：保障效果是保障能力对利益相关方保障需求的满足程度，是从保障对象安全目标实现程度的视角对保瘴措施运行有效性的体现。利益相关方是指与保障对象的信息安全相关的主管部门、运营机构和用户等。网络安全保障模型建立网络安全保障有效性评价指标体系安全能力完整性指标：此指标主要考核能力是否全面覆盖政企安全机制、技术手段、安全运营、安全管理制度、安全责任等内容，确保所需安全能力完整性。安全与信息化的融合指标：此指标主要考核网络安全能力在信息化的所有层面的覆盖性、融合性。在广度上安全能力全面覆盖信息化场景，在深度上安全组件与信息化组件相互融合，消除两张皮。安全能力的协同联动指标：此指标主要考核各类安全的能力协同程度，形成协同联动，整体防护能力，避免安全能力之间的割裂导致的碎片化与低效率。建立安全评价指标体系，对保障措施、保障能力、保障效果进行综合评价，要重点针对网络安全防御的效果进行评价考核，以考核结果倒逼过程优化，通过动态调整保障措施，完善保障能力，更好的满足保障要求。网络安全评价方法网络安全评价指标体系结构关键信息基础设施安全保障指标体系关键信息基础设施安全保障指标体系框架三级主要指标24个三、执行层：从零散建设演进到面向业务的体系化建设安全基础防护体系化等级保护基础设施专项治理安全防护识别认定全局风险管控实战化持续安全运行常态化组织制度流程工具评价数据安全安全物理环境网站防护供应链5G区块链等新技术应用安全防护邮件安全访问控制身份鉴别授权管理密码技术云计算移动互联物联网工业控制系统安全通信网络安全区域边界安全管理中心网络安全风险洞察网络安全风险防控网络安全风险治理自动处置威胁情报诱捕对抗威胁监测威胁运营协调指挥通报预警情报共享溯源取证保障工具运行体系脆弱性检测自动化编排自查自纠攻防实战演习应急演练深度渗透测试安全风险评估运维安全系统安全态势感知资产测绘安全计算环境安全管理制度安全管理机构安全管理人员安全运维管理安全建设管理技术管理场景安全审计管理制度管理机构管理人员通信网络计算环境建设管理运维管理人员审查人员筛选人员培训人员调动人员离职职责分离互联安全边界防护安全审计鉴别与授权入侵防范数据安全灾备业务连续性自动化管理同步建设供应链保护采购与使用供应商管理审批与记录运维工具运维人员等保落实制定制度展开业务识别文档化识别通报识别分析培训宣贯持续改进风险识别资产识别业务识别自动化识别资产清单优先排序定期更新资产管理明确责任自动化管理定期审核动态更新业务影响分析风险库风险报告风险容忍度风险策略更新及时开展识别识别能力评审建立可恢复要求关保平台：协同构建国家立体化综合防控体系关键信息基础设施保护平台网信办、公安部单位1网络安全态势与安全运营中心单位2网络安全态势与安全运营中心…单位n网络安全态势与安全运营中心其他单位未建设其他单位未建设专业安全机构

网络空间情报中心行业关键信息基础设施保护平台城市级关键信息基础设施保护平台网信：协调指挥平台公安：关保平台保护部门：监控+指挥+评价平台关基运营者：监控指挥中心网信运营单位保护单位公安网络安全服务机构网信部门统筹协调公安部门指导监督保护部门行业监督运营者安全保护信息化变革引起安全理念变革数字化：核心业务运行在IT之上，“新基建”IT变成服务:对业务的作用加剧IT体系规划需求：企业架构（EA）、服务管理、运维管理（ITIL）比较原始的信息化，辅助性的。内生安全：体系化的、内生的、主动的、同步规划安全变成能力：可运行的，可与信息化结合，局部结合合规需求：分散的、局部的、从旁模式事件式、应激式安全信息化发展历程网络安全发展历程1980199520052015202019852000201020192015最终目标：要从零散建设演进到面向业务的体系化建设能力重叠重复建设缺失能力管理能力运营能力旧模式规划与建设、运行未统一零散的项目设置项目间相互独立、能力割裂、缺乏联动关注短期建设技术能力演进新模式以规划为牵引的建设和运营统一规划、分步建设安全能力可扩展的、可集成、可协同关注体系化作战、持续的安全效果管理能力技术能力运营能力任务数据安全法保障数字经济的安全引擎当我们谈论数据时，我们在谈论什么？数据结构化非结构化客户信息产品代码人力信息设计文档薪资数据财务信息生产数据工程技术文档商业计划财务报表数据库文件数据可分为结构化数据与非结构化数据两大类可写入数据库中作为文件单独存储流动的信息当我们谈论数据安全时，我们在谈论什么？数据的范围数据的破坏方式数据的生命周期应用电子证照电子档案图表图像音频视频资料文件破坏更改泄露非法使用意外事故处理采集传输存储废弃数据与企业安全数据交换数据存储数据获取终端安全DLP数据传输安全数据库安全隐私计算数据跨境交换个人隐私卫士数据与国家安全国家安全《国家安全法》2015年7月1日通过并实施数据安全《数据安全法》2021年9月1日正式实施网络安全《网络安全法》2017年6月1日正式实施核心数据严格管理重要数据风险评估分级分类配合调取数据数据交易中介特种数据类型汽车数据健康医疗数据人类遗传数据测绘数据网络运行安全等级保护安全风险处置网络实名制网络产品/服务关键信息基础设施网络信息安全内容控制数据本地化与跨境网络安全审查供应链安全个人信息《个人信息保护法》2021年11月1日正式实施数据跨境敏感个人数据儿童个人数据权力响应人格权中国网络数据领域的法律体系是以三部法律为基础。《网络安全法》2015年7月1日《数据安全法》2021年9月1日《个人信息保护法》2021年11月1日中国互联网领域基础性的法律法规框架体系就已完成，其他法律、法规、部门规章、地方性法规等等，都会在这三部法律组成的体系之下，继续细化具体的内容，逐步覆盖互联网、个人信息和数据活动的方方面面。数据成为数字经济新要素2020年3月30日中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确将数据作为一种新型生产要素写入政策文件，是要充分发挥数据这一新型要素对其他要素效率的倍增作用，培育发展数据要素市场，使大数据成为推动经济高质量发展的新动能。推进政府数据开放共享提升社会数据资源价值加强数据资源整合和安全保护优化经济治理基础数据库，加快推动各地区各部门间数据共享交换，制定出台新一批数据共享责任清单。培育数字经济新产业、新业态和新模式，支持构建农业、工业、交通、教育、安防、城市管理、公共资源交易等领域规范化数据开发利用的场景。推动人工智能、可穿戴设备、车联网、物联网等领域数据采集标准化。探索建立统一规范的数据管理制度。研究根据数据性质完善产权性质。推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。

数据要素加速流通、共享、交易，带来新场景下的数据安全风险。数据安全法：整体思路上升到国家总体安全观层面，与国家安全挂钩；国家数据安全大战略统筹发展与安全，数据安全和促进数据开发利用并重，利用数据保发展，同时数据滥用被刹车明确各级职责（国家、公安/网信、行业、运营者等）建立数据安全管理制度、数据安全保护体系、数据安全治理、数据安全应急处置机制政务数据安全与开放，健全数据安全管理制度，政务数据开放目录，政务开放平台加大对违法行为的处罚力度2021年6月10日，十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。数据安全法整体思路数据安全法：整体框架第三章数据安全制度

21

数据分级分类保护制度23

数据安全应急处置机制

24

数据安全审查制度

25

数据依法实施出口管制22数据安全风险评估，监测预警管理

26针对歧视性禁止、限制的对等措施第一章总则3定义：数据、数据安全1-2目标、范围5-6明确主体、职责7明确数据要素8依法有序利用9-11宣传普及，行业参考，交流合作第六章法律责任49-52履行义务，违法定责第七章附则53-55国家秘密及军密数据的参照；本法执行时间第二章数据安全与发展14国家实施大数据战略16加强数据技术开发、数据安全研究17国家推进数据开发利用技术和数据安全标准体系建设18促进数据安全监测评估、认证服务19建立数据交易管理制度，培育数据交易市场20数据开发利用技术和数据安全相关教育和培训，人才培养等4定位12投诉渠道13国家统筹安全与发展15国家支持开发利用数据，提升公共服务智能化服务水平第五章政务数据安全与开放37国家大力推行电子政务建设38国家机关：需依法使用数据，并予以保密40国家机关：应监督受托方数据安全保护义务，不得留存、使用、泄露政务数据41国家机关应该遵循政务数据公开原则

42国家制定政务数据开放目录，构建政务数据开放平台39国家机关：健全数据安全管理制度、落实责任，保护政务数据安全

43其他组织履行职能和责任第四章数据安全保护义务28数据处理活动、开发数据新技术的目的29风险监测、缺陷与漏洞；安全事件处置、报告30风险评估包括32合法，正当收集数据33数据交易中介机构，提供溯源和记录34数据处理服务的许可35公安相关机关授权调取数据36司法用途的数据跨境管理31关基运营者重要数据出境安全管理27数据安全制度一、总则：数据跨境安全，自由流动数据安全治理数据开发利用国际合作交流参与国际规则和标准数据跨境安全第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。二、数据安全与发展数据开发利用数据安全促进保障国家实施大数据战略，推进数据基础设施建设数字经济发展纳入本级国民经济和社会发展规划国家支持数据开发利用和数据安全技术研究国家推进数据开发利用技术和数据安全标准体系建设国家促进数据安全检测评估、认证等服务国家建立健全数据交易管理制度国家支持和开展相关教育和培训，专业人才培养与交流第二章数据安全与发展14国家实施大数据战略16加强数据技术开发、数据安全研究17国家推进数据开发利用技术和数据安全标准体系建设18促进数据安全监测评估、认证服务19建立数据交易管理制度，培育数据交易市场20数据开发利用技术和数据安全相关教育和培训，人才培养等13国家统筹安全与发展15国家支持开发利用数据，提升公共服务智能化服务水平19建立数据交易管理制度，培育数据交易市场20数据开发利用技术和数据安全相关教育和培训，人才培养等14国家实施大数据战略16加强数据技术开发、数据安全研究17国家推进数据开发利用技术和数据安全标准体系建设18促进数据安全监测评估、认证服务15国家支持开发利用数据，提升公共服务智能化服务水平19建立数据交易管理制度，培育数据交易市场20数据开发利用技术和数据安全相关教育和培训，人才培养等二、数据安全与发展:数据安全检测评估、认证相关标准发布：《数据管理能力成熟度评估模型(GB/T36073-2018)》简称DCMM《数据安全能力成熟度模型(GB/T37988-2019)》简称为DSMM《数据安全治理能力评估方法(T/ISC-0011-2021)》《电信网和互联网数据安全风险评估实施方法（YDT3801-2020）》第十八条国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。三、数据安全制度第三章数据安全制度

21

数据分级分类保护制度（重要数据目录、国家核心数据、分类分级保护）23

数据安全应急处置机制

24

数据安全审查制度（国家安全审查）

25

数据依法实施出口管制22数据安全风险评估，监测预警管理（风险评估，监测预警，风险报告，信息共享）获取->分析->研判->预警

26针对歧视性禁止、限制的对等措施国家建立数据分类分级保护制度，制定重要数据目录，加强重要数据保护国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制国家建立数据安全应急处置机制（应急预案、预警通报）国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。国家对属于管制物项的数据依法实施出口管制。国家针对对华歧视性的禁止、限制等对等保护措施三、数据安全制度:数据分类分级保护制度重要的数据目录，重点保护，由国家数据安全工作协调机制统筹协调有关部门制定国家核心数据，实行严格的管理制度明确“国家建立数据分类分级保护制度”，与国家“网络安全等级保护”制度呼应。要求各地区，各部门，各行业制定各自范围里的“重要数据目录”重要程度危害程度分类分级保护三、数据安全制度:数据安全审查和出口管制第二十四条国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务，数据处理者(以下称运营者)开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。第六条掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。第十条网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全⻛险，主要考虑以下因素:(

(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的⻛险;(六)国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的⻛险;(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。第十六条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。四、数据安全保护义务第四章数据安全保护义务28数据处理活动、开发数据新技术的目的29风险监测、缺陷与漏洞；安全事件处置、报告30重要数据风险评估包括（重要数据种类、数量、活动情况、风险、措施）32合法，正当收集数据33数据交易中介机构，提供溯源和记录34数据处理服务的许可35公安相关机关授权调取数据36司法用途的数据跨境管理31关基运营者重要数据出境安全管理27健全全流程数据安全制度，开展培训，采取措施，履行义务，明确职责，落实责任。依法开展数据处理活动，履行数据安全保护义务全流程、持续安全防护数据安全风险监测与处置重要数据定期风险评估关基运营者重要数据出境安全管理依法进行数据处理与服务数据合法、正当收集数据交易行为规范数据处理服务许可数据调取严格审批四、数据安全保护义务:重要数据出境安全管理关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。四、数据安全保护义务:数据出境评估办法-国标五、政务数据安全与开放第五章政务数据安全与开放37国家大力推行电子政务建设38国家机关：需依法使用数据，并予以保密40国家机关：应监督受托方数据安全保护义务，不得留存、使用、泄露政务数据41国家机关应该遵循政务数据公开原则

42国家制定政务数据开放目录，构建政务数据开放平台（统一规范、互联互通、安全可控）39国家机关：健全数据安全管理制度、落实责任，保护政务数据安全

43其他组织履行职能和责任政务数据开放目录政务数据开放平台健全数据安全管理制度、数据责任完善数据安全技术保护建设完善数据安全流转监测，风险预警等机制，监督受托方数据安全保护义务；受托方按规定履行数据安全保护义务五、政务数据安全与开放:安全与开放并重依法收集、使用数据，个人隐私、个人信息、商业秘密等敏感信息保护建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全电子政务系统建设受托方要经过严格审核和批准流程，并履行相应的数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。按照规定及时、准确地公开政务数据国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台总结国家实施大数据战略，推进数据基础设施建设，促进以数据为关键要素的数字经济发展；建立健全数据安全治理体系、明确职责主体、提高数据安全保护和保障能力；支持数据开发利用和数据安全技术研究，推进数据开发利用和数据安全标准体系建立，建立数据交易管理制度，促进数据的依法利用、有序流通；开展数据安全知识宣传教育，培养专业人才，全社会共同保证数据安全。行动建议健全数据安全管理制度以及组织结构建立数据安全治理体系完善相关标准的制定健全数据交易管理制度建立数据分类分级保护制度国家核心数据管理制度建立数据安全审查制度制定重要数据目录数据出境管理办法制定政务数据开放目录各行业各领域的数据分类分级保护制度各行业各领域的重要数据具体目录明确权责：明确数据安全负责人和管理机构，落实数据安全保护责任数据安全治理的必要性组织、制度、流程、数据资产梳理、分类分级完善数据安全监管体系数据安全监管公安部、网信办单位1单位2…单位n关基运营者…

城市国家级监管数据安全管理制度重要数据目录、政务数据开放目录及相关防护风险评估、监测预警、应急处置、安全审查行业领域关基运营者及一般市场参与者行业/地域监管重要数据具体目录风险管控、评估检查；监测、响应、处置；通报协同考核；数据安全检测、评估、认证；可信网络通信安全审计系统安全可信边界安全管理中心用户终端可信计算环境可信应用计算节点可信节点数据安全法中安全防护是构建在等保的基础之上的全流程数据安全管理制度基于分类分级的数据安全保护措施风险管控、评估检查；监测、响应、处置；重要数据出境管控基于全流程、数据流转防护，数据安全风险评估，不同等级系统数据交换、流转严格控制中央国家安全领导机构顶层设计负责国家数据安全工作的决策定制、指导实施国家数据安全战略和重大方针数据交易与数据要素价值挖掘不愿共享不敢共享不能共享数据隐私数据价值挖掘数据安全使能新型生产要素缺数据！缺数据！！缺数据！！！计算机视觉机器学习自然语言处理精准推荐人工智能科研机构国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场明确义务主体及职责加强数据安全保护及技术支撑能力数据资产发现数据资产管理数据分类分级访问控制数据跨境保护重要数据保护个人信息保护监测响应审计定责数据安全防护全流程数据