安全覺(jué)醒年代-網(wǎng)絡(luò)安全重要法律解讀

安全覺(jué)醒年代2021年網(wǎng)絡(luò)安全重要法律法規(guī)解讀安全是個(gè)復(fù)雜產(chǎn)業(yè)360阿里騰訊百度京東頭條……理論體系P2DR模型（1995）木桶理論（2000）立體防御模型（2003）云管端模型（2013）安全滑動(dòng)標(biāo)尺（2015）自適應(yīng)安全架構(gòu)（2016）零信任架構(gòu)（2017）CARTA戰(zhàn)略方法（2018）SASE框架（2020）網(wǎng)絡(luò)安全全景圖--安全牛2021.3企業(yè)安全標(biāo)準(zhǔn)體系ISO:27001等級(jí)保護(hù)分級(jí)保護(hù)網(wǎng)絡(luò)安全法數(shù)據(jù)安全保護(hù)法個(gè)人信息保護(hù)法安全疆域：14個(gè)一級(jí)安全領(lǐng)域、106個(gè)二級(jí)細(xì)分領(lǐng)域近376家安全企業(yè)和相關(guān)機(jī)構(gòu)，700億規(guī)模（2020年），每年增速15%-30%碎片化特征：全球網(wǎng)絡(luò)安全排名前15的企業(yè)加起來(lái)，僅占到全球市場(chǎng)規(guī)模的30%。國(guó)內(nèi)前10名(億元以上)收入加起來(lái)占整個(gè)市場(chǎng)的39%奇安信：營(yíng)收約42億，約占整個(gè)安全市場(chǎng)的6%；約20萬(wàn)家企業(yè)客戶，約占整個(gè)企業(yè)客戶的5%（400萬(wàn)家企業(yè)）互聯(lián)網(wǎng)安全現(xiàn)狀一:持續(xù)碎片化威脅、廠商、產(chǎn)品、資本現(xiàn)狀二：持續(xù)復(fù)雜化理論、技術(shù)、標(biāo)準(zhǔn)現(xiàn)狀三：高增速、高彈性增速15%-30%，IT投入占比2-3%現(xiàn)狀四：安全團(tuán)隊(duì)高分化頭部企業(yè)與創(chuàng)業(yè)團(tuán)隊(duì)高增長(zhǎng)；（2018（200）2019（303）、2020（313）、2021（376））安全是個(gè)復(fù)雜系統(tǒng)政策合規(guī)IT變革威脅事件等保/分保(1994)ISO27001(1995)網(wǎng)絡(luò)安全法(2017)GDPR(2018)等保2.0（2020）……信息化（辦公自動(dòng)化,

1985-1995,Lotus）數(shù)字化（系統(tǒng)大爆炸,1995-2015,J2EE）數(shù)字化轉(zhuǎn)型（數(shù)據(jù)化,2015-至今）......病毒感染黑客攻擊人員泄密……技術(shù)升級(jí)特征匹配啟發(fā)/虛擬/仿真云查殺威脅情報(bào)態(tài)勢(shì)感知……1986199019942015同步建設(shè)（架構(gòu)的前瞻性）解決問(wèn)題（產(chǎn)品的有效性）IT配套（技術(shù)的先進(jìn)性）威脅覺(jué)醒廠商覺(jué)醒國(guó)家覺(jué)醒甲方覺(jué)醒復(fù)興富強(qiáng)獨(dú)立覺(jué)醒網(wǎng)絡(luò)空間主權(quán)網(wǎng)絡(luò)大國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)網(wǎng)絡(luò)空間安全網(wǎng)絡(luò)安全和信息化是一體之兩翼，驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃，統(tǒng)一部署，統(tǒng)一推進(jìn)，統(tǒng)一實(shí)施網(wǎng)絡(luò)安全已上升為國(guó)家戰(zhàn)略習(xí)近平網(wǎng)絡(luò)強(qiáng)國(guó)思想網(wǎng)絡(luò)安全法密碼法網(wǎng)絡(luò)安全等級(jí)保護(hù)制度關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略國(guó)家總體安全觀網(wǎng)絡(luò)安全觀國(guó)家安全法網(wǎng)絡(luò)安全審查辦法（進(jìn)行修訂）個(gè)人信息保護(hù)法數(shù)據(jù)安全法國(guó)家戰(zhàn)略法律行政法規(guī)《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》分類分級(jí)保護(hù)制度重要數(shù)據(jù)目錄數(shù)據(jù)交易管理制度數(shù)據(jù)安全審查制度標(biāo)準(zhǔn)等級(jí)保護(hù)配套標(biāo)準(zhǔn)體系關(guān)基保護(hù)配套標(biāo)準(zhǔn)體系未來(lái)：數(shù)據(jù)安全配套標(biāo)準(zhǔn)體系數(shù)據(jù)安全審查制度十四五規(guī)劃與2035遠(yuǎn)景目標(biāo)（網(wǎng)絡(luò)安全保障體系與能力）我國(guó)十大網(wǎng)絡(luò)安全法規(guī)序號(hào)日期名稱條數(shù)字?jǐn)?shù)11994.2.18中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例31207322007.6.22信息安全等級(jí)保護(hù)管理辦法44730332017.6.1中華人民共和國(guó)網(wǎng)絡(luò)安全法791000542018.6.27網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）731069952020.1.1中華人民共和國(guó)密碼法44496862020.6.1網(wǎng)絡(luò)安全審查辦法22248072021.9.1關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例51564782021.9.1網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定16237292021.9.1中華人民共和國(guó)數(shù)據(jù)安全法555470102021.11.1中華人民共和國(guó)個(gè)人信息保護(hù)法749028總計(jì)

48960045從1994到2022年的28年間，跟網(wǎng)絡(luò)安全相關(guān)的法律有100多件新合規(guī)時(shí)代：網(wǎng)絡(luò)安全法律法規(guī)框架關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（2021年09月1日）等保2.0網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）（2018年6月27日）等保1.0信息安全等級(jí)保護(hù)管理辦法（2007）網(wǎng)絡(luò)安全審查辦法（2020年06月1日）個(gè)人信息保護(hù)法（2021年11月1日）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者網(wǎng)絡(luò)運(yùn)營(yíng)者數(shù)據(jù)計(jì)算機(jī)信息系統(tǒng)運(yùn)營(yíng)者《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）《信息安全技術(shù)服務(wù)器技術(shù)要求》《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》BMB20-2007《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南（GB/T25058-2020）網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2020）網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求（GB/T25070-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T28448-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南（GB/T28449-2018）數(shù)據(jù)管理能力成熟度評(píng)估模型(GB/T36073-2018)簡(jiǎn)稱DCMM數(shù)據(jù)安全能力成熟度模型(GB/T37988-2019)簡(jiǎn)稱為DSMM數(shù)據(jù)安全治理能力評(píng)估方法(T/ISC-0011-2021)電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法（YDT3801-2020）GB/T37932《信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求》GB/T36343《信息安全技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)交易數(shù)據(jù)描述》GB/T37728《信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)通用功能要求》責(zé)任主體漏洞安全對(duì)象網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定（2021年09月1日）中華人民共和國(guó)境內(nèi)的網(wǎng)絡(luò)產(chǎn)品（含硬件、軟件）提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者，以及從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或者個(gè)人，應(yīng)當(dāng)遵守本規(guī)定密碼《信息安全等級(jí)保護(hù)密碼管理辦法》《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》《商用密碼管理?xiàng)l例》信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定指南信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全測(cè)評(píng)要求信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測(cè)預(yù)警要求網(wǎng)絡(luò)安全法（2017年06月1日）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994年2月18日）數(shù)據(jù)安全法2021年09月1日密碼法2020年01月1日CONTENTS1關(guān)基保護(hù)條例構(gòu)筑網(wǎng)絡(luò)安全底板2數(shù)據(jù)安全法保障數(shù)字經(jīng)濟(jì)的安全引擎3個(gè)人信息保護(hù)法讓網(wǎng)絡(luò)空間下的人民更有尊嚴(yán)關(guān)基保護(hù)條例構(gòu)筑網(wǎng)絡(luò)安全底板關(guān)基與等保：不止合規(guī)共性高度：均已上升到法律，不執(zhí)行屬于違法行為；對(duì)象：保護(hù)的對(duì)象都是網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)；差異范圍不一樣：等保具有普適性，關(guān)保具有針對(duì)性；能力要求不一樣：等級(jí)保護(hù)是保護(hù)基線，關(guān)基保護(hù)無(wú)防護(hù)的上限；等級(jí)保護(hù)根據(jù)所定級(jí)別達(dá)到不同的防護(hù)能力，關(guān)基保護(hù)對(duì)抗的是有組織的敵對(duì)破壞力量；能力理念不一樣：等級(jí)保護(hù)基于合規(guī)思路，關(guān)基保護(hù)動(dòng)態(tài)風(fēng)控思路；強(qiáng)化立體化綜合防控：關(guān)基保護(hù)需要國(guó)家協(xié)調(diào)監(jiān)督、行業(yè)監(jiān)管保護(hù)、運(yùn)營(yíng)者安全防護(hù)。網(wǎng)絡(luò)空間尺度：從交互到共生國(guó)家安全法（2015年7月1日）政治安全國(guó)土安全軍事安全經(jīng)濟(jì)安全文化安全社會(huì)安全科技安全信息安全生態(tài)安全資源安全核安全五大主權(quán)空間海陸空天網(wǎng)絡(luò)空間物理世界數(shù)字世界物理世界數(shù)字世界交互關(guān)系SaftySecurity共生/雙生安全大趨勢(shì)：從基礎(chǔ)設(shè)施談起鐵、公、機(jī)云、大、物、移、智信息安全/網(wǎng)絡(luò)安全/網(wǎng)絡(luò)空間安全（CyberSpaceSecurity）安全的本質(zhì)是威脅對(duì)抗2017年5月12日，WannaCry“永恒之藍(lán)”勒索蠕蟲(chóng)爆發(fā)，攻擊了近百個(gè)國(guó)家的近4萬(wàn)家企業(yè)，在中國(guó)有上百萬(wàn)臺(tái)服務(wù)器中招，中招者要限時(shí)支付價(jià)值300美元的比特幣才能解鎖，否則銷毀數(shù)據(jù)。2017年6月15日起，“無(wú)敵艦隊(duì)”組織向國(guó)內(nèi)多家證券金融公司、互聯(lián)網(wǎng)金融公司發(fā)起DDoS比特幣勒索，現(xiàn)已有超過(guò)6家金融證券類企業(yè)遭受DDoS攻擊勒索，且其中4家已經(jīng)遭受了大規(guī)模的DDoS攻擊。黑客病毒病毒界：魔道之爭(zhēng)30年ZXB大腦病毒病毒樣本100億種莫里斯

蠕蟲(chóng)病毒樣本2萬(wàn)種美麗莎病毒病毒樣本40萬(wàn)種病毒樣本800萬(wàn)種小球病毒CIH病毒沖擊波病毒熊貓燒香病毒20082006200319991996198919881986199820072016病毒樣本160億種勒索病毒20202017黑客圈：攻防對(duì)抗ThinkingastheAttackers天下武功，唯快不破未知攻，焉知防攻防平衡黑客紅客白帽子組織黑客的極端攻擊能力攻防對(duì)抗已經(jīng)是一個(gè)復(fù)雜的戰(zhàn)役關(guān)基保護(hù)是數(shù)字強(qiáng)國(guó)的堅(jiān)實(shí)底板業(yè)務(wù)業(yè)務(wù)IT支撐IT支撐客戶企業(yè)傳統(tǒng)業(yè)務(wù)運(yùn)營(yíng)客戶企業(yè)數(shù)字化業(yè)務(wù)運(yùn)營(yíng)傳統(tǒng)業(yè)務(wù)模式數(shù)字化模式網(wǎng)絡(luò)安全底板安全保障重構(gòu)安全體系數(shù)字化轉(zhuǎn)型無(wú)處不在的安全防護(hù)需求數(shù)據(jù)應(yīng)用用戶云網(wǎng)絡(luò)數(shù)字化安全管理數(shù)字化安全運(yùn)營(yíng)精細(xì)化管控動(dòng)態(tài)適配連續(xù)合規(guī)業(yè)務(wù)與信息化深度融合，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等同于業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全是數(shù)字化轉(zhuǎn)型成功的保障網(wǎng)絡(luò)安全保障業(yè)務(wù)運(yùn)營(yíng)，與業(yè)務(wù)強(qiáng)相關(guān)安全要與信息化要全面覆蓋、深度融合、強(qiáng)制管控網(wǎng)絡(luò)安全一把手推動(dòng)，將安全與業(yè)務(wù)結(jié)合，提升到企業(yè)戰(zhàn)略層面公共通信信息服務(wù)能源交通水利金融公共服務(wù)電子政務(wù)國(guó)防科技關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)歷程“4.19”講話中網(wǎng)辦發(fā)【2016】3號(hào)文網(wǎng)絡(luò)安全法關(guān)鍵信息基礎(chǔ)設(shè)施國(guó)標(biāo)2016年4月2016年7月2018年加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。我們必須深入研究，采取有效措施，切實(shí)做好國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)?！蛾P(guān)于開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》進(jìn)行全國(guó)范圍內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的摸底和檢查工作，截止12月為止?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施確定指南》（試行）—銀監(jiān)會(huì)（2016）107號(hào)<<中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開(kāi)展銀行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)專項(xiàng)評(píng)估治理及配合做好關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作的通知》—國(guó)家采取措施，監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞?！P(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》（征求意見(jiàn)稿）2017年7月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)統(tǒng)一領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。國(guó)家網(wǎng)信部門負(fù)責(zé)指導(dǎo)協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，國(guó)務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作。—《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》—《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》—《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》—《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略2016年12月—著眼識(shí)別、防護(hù)、檢測(cè)、預(yù)警、響應(yīng)、處置等環(huán)節(jié)，建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度?！鞴堋⑦\(yùn)營(yíng)單位和組織要按照法律法規(guī)、制度標(biāo)準(zhǔn)的要求，采取必要措施保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，逐步實(shí)現(xiàn)先評(píng)估后使用。加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估。公安部2020【1960】號(hào)文件—公安部2020【1960】號(hào)文件《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》2020年《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》正式發(fā)布，9月1日施行。2021年《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》2017年6月關(guān)保的政策法規(guī)體系公網(wǎng)安[2020]1960號(hào)關(guān)于印送《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》的函《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》行政法規(guī)規(guī)范性文件《中華人民共和國(guó)網(wǎng)絡(luò)安全法》法律層面信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求（送審稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施（報(bào)批稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法（送審稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系（報(bào)批稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定指南（草案）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法（送審稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全測(cè)評(píng)要求（制定立項(xiàng)）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測(cè)預(yù)警要求（研究立項(xiàng)）……技術(shù)標(biāo)準(zhǔn)立項(xiàng)->征求意見(jiàn)稿->送審稿->報(bào)批稿《XX行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則》、《XX行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)指導(dǎo)意見(jiàn)》行業(yè)規(guī)范性文件XX行業(yè)網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范……行業(yè)技術(shù)標(biāo)準(zhǔn)關(guān)保規(guī)范的框架第二章關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定1-2

目標(biāo)、范圍3-4明確主體、職責(zé)5-6

重點(diǎn)保護(hù)7貢獻(xiàn)表彰第一章總則第三章運(yùn)營(yíng)者責(zé)任義務(wù)第四章保障和促進(jìn)8保護(hù)工作部門的定義9制定認(rèn)定規(guī)則10認(rèn)定、通知、上報(bào)11重認(rèn)定12三同步13

安全保護(hù)制度和責(zé)任制14

安全管理機(jī)構(gòu)及職責(zé)15/16

安全保護(hù)工作具體職責(zé)17

檢測(cè)評(píng)估18

事件報(bào)告19

采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)20

明確義務(wù)和責(zé)任22行業(yè)安全規(guī)劃23信息共享24

監(jiān)測(cè)預(yù)警25

應(yīng)急響應(yīng)預(yù)案和處置26-28檢查檢測(cè)34

安全標(biāo)準(zhǔn)，指導(dǎo)、規(guī)范35

人才培養(yǎng)29、36技術(shù)支持與攻關(guān)37網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)38

軍民融合第五章法律責(zé)任（39～49）第六章附則警告，責(zé)令改正處罰、處分拘留刑事責(zé)任30信息安全31-32優(yōu)先保障33安全保衛(wèi)第一章總則：重要行業(yè)和領(lǐng)域公共通信信息服務(wù)能源交通水利金融公共服務(wù)電子政務(wù)國(guó)防科技基礎(chǔ)電信業(yè)務(wù)增值電信業(yè)務(wù)骨干型電網(wǎng)公路管理運(yùn)營(yíng)全國(guó)性銀行郵政應(yīng)急管理軍工集團(tuán)頭部證券大型保險(xiǎn)支付機(jī)構(gòu)重點(diǎn)發(fā)電企業(yè)石油石化企業(yè)金融職能機(jī)構(gòu)水路鐵路民航社會(huì)保障衛(wèi)生健康廣播電視水利樞紐第二條本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。教育培訓(xùn)第二章認(rèn)定：保護(hù)工作部門負(fù)責(zé)關(guān)保條例征求意見(jiàn)稿中“第三章關(guān)鍵信息基礎(chǔ)設(shè)施范圍”變更為“第二關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定”，并且由國(guó)家制定關(guān)鍵信息基礎(chǔ)設(shè)施指標(biāo)指南，變更為由保護(hù)工作部門制定認(rèn)定規(guī)則，明確了關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)帶有明確的業(yè)務(wù)屬性指導(dǎo)，也強(qiáng)化了保護(hù)部門的責(zé)任。第八條

本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門（以下稱保護(hù)工作部門）。第九條

保護(hù)工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則，并報(bào)國(guó)務(wù)院公安部門備案。第十條保護(hù)工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知運(yùn)營(yíng)者，并通報(bào)國(guó)務(wù)院公安部門。重要程度危害程度關(guān)聯(lián)性影響——關(guān)基系統(tǒng)和運(yùn)營(yíng)者的范圍是動(dòng)態(tài)變化的第三章運(yùn)營(yíng)者責(zé)任義務(wù)：誰(shuí)是關(guān)基運(yùn)營(yíng)者？國(guó)家機(jī)關(guān)關(guān)基行業(yè)關(guān)基運(yùn)營(yíng)者關(guān)鍵信息基礎(chǔ)設(shè)施統(tǒng)籌協(xié)調(diào)指導(dǎo)監(jiān)督安全保護(hù)監(jiān)督管理保護(hù)主體責(zé)任網(wǎng)絡(luò)設(shè)施信息系統(tǒng)管理制度、資源保障、人員管理、機(jī)構(gòu)設(shè)置、考核評(píng)價(jià)、產(chǎn)品采購(gòu)網(wǎng)信機(jī)關(guān)公安機(jī)關(guān)組織保障第十三條運(yùn)營(yíng)者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入。運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問(wèn)題。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組首席網(wǎng)絡(luò)安全官CII安全管理機(jī)構(gòu)CII核心崗位人員CII非核心崗位人員任命首席網(wǎng)絡(luò)安全官明確機(jī)構(gòu)分工，制定責(zé)任清單完善管理制度、評(píng)價(jià)考核制度背景審查、技能審查及考核明確核心與非核心人員定位開(kāi)展安全技術(shù)培訓(xùn)教育專人專崗，核心崗位AB崗制提升安全意識(shí)、CII保密意識(shí)簽訂CII保密協(xié)議責(zé)任到人以提升主動(dòng)保護(hù)意識(shí)考核評(píng)價(jià)體系驅(qū)動(dòng)保護(hù)工作動(dòng)態(tài)審查審核促進(jìn)人員監(jiān)管CII人員組織結(jié)構(gòu)CII人員管理任務(wù)CII管理工作目標(biāo)第四章保障與促進(jìn)：國(guó)家、行業(yè)、運(yùn)營(yíng)者形成合力國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)；突出貢獻(xiàn)的單位和個(gè)人，按照國(guó)家有關(guān)規(guī)定給予表彰。國(guó)家制定和完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)，指導(dǎo)、規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。及時(shí)提供技術(shù)支持和協(xié)助。國(guó)家加強(qiáng)網(wǎng)絡(luò)安全軍民融合，軍地協(xié)同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。促進(jìn)有關(guān)部門、保護(hù)工作部門、運(yùn)營(yíng)者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。國(guó)家加強(qiáng)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)建設(shè)和管理，制定管理要求并加強(qiáng)監(jiān)督指導(dǎo)，不斷提升服務(wù)機(jī)構(gòu)能力水平。國(guó)家采取措施，鼓勵(lì)網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作；將運(yùn)營(yíng)者安全管理人員、安全技術(shù)人員培訓(xùn)納入國(guó)家繼續(xù)教育體系。運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；國(guó)家支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展，組織力量實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)。政策鼓勵(lì)服務(wù)機(jī)構(gòu)人才培養(yǎng)技術(shù)創(chuàng)新網(wǎng)信運(yùn)營(yíng)單位保護(hù)單位公安網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)第五章法律責(zé)任：不干不行警告，責(zé)令改正處罰、處分運(yùn)營(yíng)者：10-100W主管人員：1-10W采購(gòu)金額1~10倍行政拘留5~15日刑事網(wǎng)信部門公安部門保護(hù)部門運(yùn)營(yíng)者①《關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則》②《關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定結(jié)果》③關(guān)鍵信息基礎(chǔ)設(shè)施變化情況②《關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定結(jié)果》④網(wǎng)絡(luò)安全事件⑤網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估⑥重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅⑥特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅⑦機(jī)構(gòu)發(fā)生合并、分立、解散⑥特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅⑧運(yùn)行狀況、安全態(tài)勢(shì)——這些不做，都將承擔(dān)法律責(zé)任行動(dòng)建議建設(shè)思想：體系化、常態(tài)化、實(shí)戰(zhàn)化事件驅(qū)動(dòng)的安全能力抖動(dòng)安全檢查攻防演練通報(bào)批評(píng)時(shí)間事件N能力現(xiàn)有安全能力全局風(fēng)險(xiǎn)管控安全基礎(chǔ)防護(hù)安全專項(xiàng)治理實(shí)戰(zhàn)檢驗(yàn)實(shí)戰(zhàn)檢驗(yàn)安全能力的躍升體系化：組織、制度、流程、工具、人員能力的全面提升常態(tài)化：持續(xù)的安全運(yùn)行實(shí)戰(zhàn)化：抵抗真實(shí)攻擊的全局風(fēng)險(xiǎn)管控關(guān)基網(wǎng)絡(luò)安全頂層設(shè)計(jì)網(wǎng)絡(luò)安全底版管理層治理層執(zhí)行層頂層規(guī)劃同步規(guī)劃同步建設(shè)同步使用公共通信信息服務(wù)能源交通水利金融公共服務(wù)電子政務(wù)國(guó)防科技網(wǎng)絡(luò)安全共享機(jī)制安全監(jiān)測(cè)預(yù)警機(jī)制網(wǎng)絡(luò)安全應(yīng)急預(yù)案機(jī)制網(wǎng)絡(luò)安全部門協(xié)同機(jī)制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制網(wǎng)絡(luò)安全保護(hù)與責(zé)任機(jī)制網(wǎng)絡(luò)安全重大事件上報(bào)機(jī)制網(wǎng)絡(luò)安全績(jī)效考核機(jī)制設(shè)置網(wǎng)絡(luò)安全管理機(jī)構(gòu)建立網(wǎng)絡(luò)安全組織架構(gòu)網(wǎng)絡(luò)安全運(yùn)營(yíng)管理制度關(guān)鍵信息密碼保護(hù)制度網(wǎng)絡(luò)安全評(píng)價(jià)考核制度安全事件上報(bào)管理制度網(wǎng)絡(luò)安全人才培養(yǎng)制度網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估制度網(wǎng)絡(luò)安全檢查監(jiān)測(cè)網(wǎng)絡(luò)設(shè)施安全保護(hù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警網(wǎng)絡(luò)安全應(yīng)急演練網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)安全績(jī)效考核網(wǎng)絡(luò)安全教育培訓(xùn)網(wǎng)絡(luò)安全技術(shù)創(chuàng)新…

……

……

…一、治理層：將安全工作納入關(guān)保機(jī)構(gòu)頂層規(guī)劃架構(gòu)管控安全組織安全預(yù)算安全政策安全人員成效考核治理層在關(guān)保機(jī)構(gòu)安全政策中明確安全人員在IT總?cè)藬?shù)的占比和能力要求，確保工作被覆蓋。落實(shí)安全責(zé)任制度，構(gòu)建網(wǎng)絡(luò)安全管理組織，將安全工作納入關(guān)保機(jī)構(gòu)管理?xiàng)l線。建立面向成效的安全考核指標(biāo)庫(kù)，對(duì)安全工作的成效進(jìn)行考核評(píng)價(jià)，納入績(jī)效管理。在關(guān)保機(jī)構(gòu)治理層面開(kāi)展安全的需求管控和安全系統(tǒng)建設(shè)架構(gòu)管控，確保安全建設(shè)方向正確。在關(guān)保機(jī)構(gòu)安全政策中明確安全預(yù)算在IT的占比，確保安全能力持續(xù)優(yōu)化的資金保障。設(shè)定關(guān)保機(jī)構(gòu)安全總體方針，規(guī)劃組織職責(zé)分工和信息安全制度，開(kāi)展安全關(guān)鍵活動(dòng)，夯實(shí)安全技術(shù)能力。安全預(yù)算-加大安全資源的投入占比工信部：網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）（征求意見(jiàn)稿）2021年7月12日到2023年，網(wǎng)絡(luò)安全技術(shù)創(chuàng)新能力明顯提高，產(chǎn)品和服務(wù)水平不斷提升，經(jīng)濟(jì)社會(huì)網(wǎng)絡(luò)安全需求加快釋放，產(chǎn)融合作精準(zhǔn)高效，網(wǎng)絡(luò)安全人才隊(duì)伍日益壯大，產(chǎn)業(yè)基礎(chǔ)能力和綜合實(shí)力持續(xù)增強(qiáng)，產(chǎn)業(yè)結(jié)構(gòu)布局更加優(yōu)化，產(chǎn)業(yè)發(fā)展生態(tài)健康有序?！a(chǎn)業(yè)規(guī)模：網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過(guò)2500億元，年復(fù)合增長(zhǎng)率超過(guò)15%?！枨筢尫牛弘娦诺戎攸c(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例達(dá)10%。重點(diǎn)行業(yè)領(lǐng)域安全應(yīng)用全面提速，中小企業(yè)網(wǎng)絡(luò)安全能力明顯提升，關(guān)鍵行業(yè)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)水平不斷提高。財(cái)力人力物力建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制保障人力、財(cái)力、物力投入***結(jié)合當(dāng)前央企數(shù)字化發(fā)展現(xiàn)狀，建議網(wǎng)絡(luò)安全預(yù)算在IT預(yù)算的占比為：10%-15%【參考值】中國(guó)1.8%-3%

vs美國(guó)4.78-20.4%

政策分析安全政策-多層級(jí)的安全體系建設(shè)網(wǎng)絡(luò)安全指導(dǎo)方針組織職責(zé)與分工信息安全制度資產(chǎn)安全人員能力風(fēng)險(xiǎn)評(píng)估安全監(jiān)控與檢查事件及應(yīng)急管理信息安全合規(guī)外包安全管理技術(shù)管理物理安全終端安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)安全整體方針組織制度信息安全目標(biāo)關(guān)鍵活動(dòng)技術(shù)支撐123456789101112制定開(kāi)展信息安全管理工作的總體指導(dǎo)方針及策略，把控信息安全管理方向。制度體系具化信息安全管理策略要求，組織架構(gòu)落實(shí)信息安全管理職能。明確信息安全管理主要目標(biāo)要素。梳理信息安全管理關(guān)鍵活動(dòng)，有條理、有重點(diǎn)開(kāi)展信息安全日常管理活動(dòng)。定義信息安全技術(shù)規(guī)范，依靠技術(shù)手段實(shí)現(xiàn)信息安全管理策略?！毒W(wǎng)絡(luò)安全管理計(jì)劃》《數(shù)據(jù)安全防護(hù)策略》專門安全管理機(jī)構(gòu)《網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)制度》《網(wǎng)絡(luò)安全教育培訓(xùn)制度》檢查檢測(cè)風(fēng)險(xiǎn)評(píng)估供應(yīng)商管理信息共享安全運(yùn)營(yíng)評(píng)價(jià)指標(biāo)一、治理層：將安全工作納入關(guān)保機(jī)構(gòu)頂層規(guī)劃建立網(wǎng)絡(luò)安全三道防線：

強(qiáng)化網(wǎng)絡(luò)安全的專業(yè)化管理，實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的有效控制；第一道防線：是核心業(yè)務(wù)層網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的自管理，將網(wǎng)絡(luò)安全管理工作嵌入業(yè)務(wù)職能；第二道防線：側(cè)重的是對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的監(jiān)測(cè)發(fā)現(xiàn)告警，將網(wǎng)絡(luò)安全管理工作要求通過(guò)監(jiān)督檢查職能實(shí)現(xiàn)；第三道防線：強(qiáng)調(diào)專職的安全審計(jì)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的充分性和有效性提供獨(dú)立和客觀的確認(rèn)和建議。獨(dú)立向管理層報(bào)告其發(fā)現(xiàn)，以促進(jìn)持續(xù)改進(jìn)。在這個(gè)過(guò)程中，它還會(huì)考和便用其它末部或外部機(jī)構(gòu)的確認(rèn)結(jié)果；形成安全防御協(xié)同聯(lián)動(dòng)：網(wǎng)絡(luò)安全組織不是封閉的，需要與外部單位交流溝通，接受外部監(jiān)管部門、地方主管部門的監(jiān)督和指導(dǎo)，得到合作伙伴的支持。管理層業(yè)務(wù)組織審計(jì)組織決策授權(quán)指導(dǎo)檢查反饋監(jiān)督協(xié)同服務(wù)監(jiān)督配合國(guó)家監(jiān)管部門監(jiān)督指導(dǎo)行業(yè)保護(hù)部門網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全組織123IT管理層安全人員-明確安全人員的能力覆蓋關(guān)基保護(hù)需要安全管理、安全規(guī)劃、安全項(xiàng)目管理、安全基礎(chǔ)運(yùn)營(yíng)、分析響應(yīng)、攻防滲透，安全人員數(shù)量占IT人員總數(shù)的百分比借鑒國(guó)內(nèi)外最佳實(shí)踐，建議8%-10%的技術(shù)管理規(guī)劃類+外部支撐人員。安全管理人員安全規(guī)劃人員安全項(xiàng)目管理人員成效考核-明確獎(jiǎng)懲機(jī)制定義考核指標(biāo)制定考核任務(wù)考核評(píng)分考核報(bào)表管理過(guò)程類安全業(yè)務(wù)類定義考核模板設(shè)置指標(biāo)權(quán)重選擇考核對(duì)象定義考核指標(biāo)制定考核任務(wù)自評(píng)主評(píng)自定義考核規(guī)則，系統(tǒng)自動(dòng)評(píng)分自定義評(píng)分邏輯考核評(píng)分考核報(bào)表單位評(píng)分排名考核指標(biāo)評(píng)分分析線下約談通知，通告促進(jìn)安全能力建設(shè)重要手段之一架構(gòu)管控-開(kāi)展安全系統(tǒng)建設(shè)架構(gòu)管控安全架構(gòu)應(yīng)遵循企業(yè)架構(gòu)體系的設(shè)計(jì)與管控要求，平滑融入企業(yè)架構(gòu)，在各個(gè)層次與企業(yè)架構(gòu)保持一致性。安全工程項(xiàng)目立項(xiàng)審批，其技術(shù)路線、建設(shè)的系統(tǒng)級(jí)架構(gòu)在方向上必須滿足安全架構(gòu)的管控要求，否則不予立項(xiàng)。作為綱領(lǐng)性要求，寫(xiě)入網(wǎng)絡(luò)安全總綱。企業(yè)架構(gòu)體系工具企業(yè)架構(gòu)方法論業(yè)務(wù)架構(gòu)應(yīng)用架構(gòu)數(shù)據(jù)架構(gòu)技術(shù)架構(gòu)安全架構(gòu)架構(gòu)關(guān)系企業(yè)架構(gòu)組成原則指南工具安全元素方法論安全架構(gòu)構(gòu)成元素關(guān)系原則指南原有內(nèi)容支撐組件圖例新增內(nèi)容二、管理層：基于數(shù)據(jù)支撐的效果型閉環(huán)管理010203040506安全流程是否合理？安全防御是否生效？安全數(shù)據(jù)是否完整？安全人員如何分布？安全投資是否生效？安全技能是否具備？效果型閉環(huán)管理-建立網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全管理活動(dòng)：基于大數(shù)據(jù)技術(shù)，分析安全運(yùn)營(yíng)效能。自動(dòng)化方式獲取關(guān)鍵安全狀態(tài)指標(biāo)，將安全管理活動(dòng)實(shí)現(xiàn)在線化、平臺(tái)化，基于平臺(tái)進(jìn)行安全指標(biāo)比對(duì)、統(tǒng)計(jì)、關(guān)聯(lián)等分析，對(duì)安全運(yùn)營(yíng)效能進(jìn)行數(shù)字化考核，為管理決策提供數(shù)據(jù)依據(jù)，牽引安全工作。通過(guò)安全線上服務(wù)加強(qiáng)安全運(yùn)行工作規(guī)范性：對(duì)安全日常性工作、事件發(fā)現(xiàn)處置工作、應(yīng)急響應(yīng)工作形成標(biāo)準(zhǔn)化流程，逐步條令化、線上化，以技術(shù)管控強(qiáng)制執(zhí)行，從而提升安全運(yùn)營(yíng)的規(guī)范性。建立基于大數(shù)據(jù)技術(shù)的安全運(yùn)營(yíng)“新管理”機(jī)制，通過(guò)數(shù)據(jù)看安全流程是否合理、安全防御是否生效、安全數(shù)據(jù)是否完整、安全人員如何分布、安全投資是否有效，以數(shù)據(jù)為安全管理工作提供依據(jù)?；诖髷?shù)據(jù)技術(shù)的安全運(yùn)營(yíng)“新管理”支撐平臺(tái)建立網(wǎng)絡(luò)安全保障與效果評(píng)價(jià)模型網(wǎng)絡(luò)安全防御過(guò)程是一個(gè)動(dòng)態(tài)過(guò)程，采用過(guò)程方法建立信息安全保障模型的。模型說(shuō)明了信息安全保障是根據(jù)利益相關(guān)方的保障需求建立保障措施，形成保障能力，以實(shí)現(xiàn)保障效果的過(guò)程。可根據(jù)對(duì)保障效果的評(píng)價(jià)，動(dòng)態(tài)調(diào)整保障措施，以更好地滿足保障需求。建立保障措施：保障措施是基于企業(yè)的保障需求設(shè)計(jì)的一系列保障手段，是實(shí)現(xiàn)信息安全保障需求的途徑，設(shè)置一批安全建設(shè)工程或任務(wù)。形成保障能力：保障能力是工程和任務(wù)落地過(guò)程中所形成的應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力，是安全防御有效性的體現(xiàn)。實(shí)現(xiàn)保障效果：保障效果是保障能力對(duì)利益相關(guān)方保障需求的滿足程度，是從保障對(duì)象安全目標(biāo)實(shí)現(xiàn)程度的視角對(duì)保瘴措施運(yùn)行有效性的體現(xiàn)。利益相關(guān)方是指與保障對(duì)象的信息安全相關(guān)的主管部門、運(yùn)營(yíng)機(jī)構(gòu)和用戶等。網(wǎng)絡(luò)安全保障模型建立網(wǎng)絡(luò)安全保障有效性評(píng)價(jià)指標(biāo)體系安全能力完整性指標(biāo)：此指標(biāo)主要考核能力是否全面覆蓋政企安全機(jī)制、技術(shù)手段、安全運(yùn)營(yíng)、安全管理制度、安全責(zé)任等內(nèi)容，確保所需安全能力完整性。安全與信息化的融合指標(biāo)：此指標(biāo)主要考核網(wǎng)絡(luò)安全能力在信息化的所有層面的覆蓋性、融合性。在廣度上安全能力全面覆蓋信息化場(chǎng)景，在深度上安全組件與信息化組件相互融合，消除兩張皮。安全能力的協(xié)同聯(lián)動(dòng)指標(biāo)：此指標(biāo)主要考核各類安全的能力協(xié)同程度，形成協(xié)同聯(lián)動(dòng)，整體防護(hù)能力，避免安全能力之間的割裂導(dǎo)致的碎片化與低效率。建立安全評(píng)價(jià)指標(biāo)體系，對(duì)保障措施、保障能力、保障效果進(jìn)行綜合評(píng)價(jià)，要重點(diǎn)針對(duì)網(wǎng)絡(luò)安全防御的效果進(jìn)行評(píng)價(jià)考核，以考核結(jié)果倒逼過(guò)程優(yōu)化，通過(guò)動(dòng)態(tài)調(diào)整保障措施，完善保障能力，更好的滿足保障要求。網(wǎng)絡(luò)安全評(píng)價(jià)方法網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系結(jié)構(gòu)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系框架三級(jí)主要指標(biāo)24個(gè)三、執(zhí)行層：從零散建設(shè)演進(jìn)到面向業(yè)務(wù)的體系化建設(shè)安全基礎(chǔ)防護(hù)體系化等級(jí)保護(hù)基礎(chǔ)設(shè)施專項(xiàng)治理安全防護(hù)識(shí)別認(rèn)定全局風(fēng)險(xiǎn)管控實(shí)戰(zhàn)化持續(xù)安全運(yùn)行常態(tài)化組織制度流程工具評(píng)價(jià)數(shù)據(jù)安全安全物理環(huán)境網(wǎng)站防護(hù)供應(yīng)鏈5G區(qū)塊鏈等新技術(shù)應(yīng)用安全防護(hù)郵件安全訪問(wèn)控制身份鑒別授權(quán)管理密碼技術(shù)云計(jì)算移動(dòng)互聯(lián)物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全管理中心網(wǎng)絡(luò)安全風(fēng)險(xiǎn)洞察網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理自動(dòng)處置威脅情報(bào)誘捕對(duì)抗威脅監(jiān)測(cè)威脅運(yùn)營(yíng)協(xié)調(diào)指揮通報(bào)預(yù)警情報(bào)共享溯源取證保障工具運(yùn)行體系脆弱性檢測(cè)自動(dòng)化編排自查自糾攻防實(shí)戰(zhàn)演習(xí)應(yīng)急演練深度滲透測(cè)試安全風(fēng)險(xiǎn)評(píng)估運(yùn)維安全系統(tǒng)安全態(tài)勢(shì)感知資產(chǎn)測(cè)繪安全計(jì)算環(huán)境安全管理制度安全管理機(jī)構(gòu)安全管理人員安全運(yùn)維管理安全建設(shè)管理技術(shù)管理場(chǎng)景安全審計(jì)管理制度管理機(jī)構(gòu)管理人員通信網(wǎng)絡(luò)計(jì)算環(huán)境建設(shè)管理運(yùn)維管理人員審查人員篩選人員培訓(xùn)人員調(diào)動(dòng)人員離職職責(zé)分離互聯(lián)安全邊界防護(hù)安全審計(jì)鑒別與授權(quán)入侵防范數(shù)據(jù)安全災(zāi)備業(yè)務(wù)連續(xù)性自動(dòng)化管理同步建設(shè)供應(yīng)鏈保護(hù)采購(gòu)與使用供應(yīng)商管理審批與記錄運(yùn)維工具運(yùn)維人員等保落實(shí)制定制度展開(kāi)業(yè)務(wù)識(shí)別文檔化識(shí)別通報(bào)識(shí)別分析培訓(xùn)宣貫持續(xù)改進(jìn)風(fēng)險(xiǎn)識(shí)別資產(chǎn)識(shí)別業(yè)務(wù)識(shí)別自動(dòng)化識(shí)別資產(chǎn)清單優(yōu)先排序定期更新資產(chǎn)管理明確責(zé)任自動(dòng)化管理定期審核動(dòng)態(tài)更新業(yè)務(wù)影響分析風(fēng)險(xiǎn)庫(kù)風(fēng)險(xiǎn)報(bào)告風(fēng)險(xiǎn)容忍度風(fēng)險(xiǎn)策略更新及時(shí)開(kāi)展識(shí)別識(shí)別能力評(píng)審建立可恢復(fù)要求關(guān)保平臺(tái)：協(xié)同構(gòu)建國(guó)家立體化綜合防控體系關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)平臺(tái)網(wǎng)信辦、公安部單位1網(wǎng)絡(luò)安全態(tài)勢(shì)與安全運(yùn)營(yíng)中心單位2網(wǎng)絡(luò)安全態(tài)勢(shì)與安全運(yùn)營(yíng)中心…單位n網(wǎng)絡(luò)安全態(tài)勢(shì)與安全運(yùn)營(yíng)中心其他單位未建設(shè)其他單位未建設(shè)專業(yè)安全機(jī)構(gòu)

網(wǎng)絡(luò)空間情報(bào)中心行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)平臺(tái)城市級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)平臺(tái)網(wǎng)信：協(xié)調(diào)指揮平臺(tái)公安：關(guān)保平臺(tái)保護(hù)部門：監(jiān)控+指揮+評(píng)價(jià)平臺(tái)關(guān)基運(yùn)營(yíng)者：監(jiān)控指揮中心網(wǎng)信運(yùn)營(yíng)單位保護(hù)單位公安網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)網(wǎng)信部門統(tǒng)籌協(xié)調(diào)公安部門指導(dǎo)監(jiān)督保護(hù)部門行業(yè)監(jiān)督運(yùn)營(yíng)者安全保護(hù)信息化變革引起安全理念變革數(shù)字化：核心業(yè)務(wù)運(yùn)行在IT之上，“新基建”IT變成服務(wù):對(duì)業(yè)務(wù)的作用加劇IT體系規(guī)劃需求：企業(yè)架構(gòu)（EA）、服務(wù)管理、運(yùn)維管理（ITIL）比較原始的信息化，輔助性的。內(nèi)生安全：體系化的、內(nèi)生的、主動(dòng)的、同步規(guī)劃安全變成能力：可運(yùn)行的，可與信息化結(jié)合，局部結(jié)合合規(guī)需求：分散的、局部的、從旁模式事件式、應(yīng)激式安全信息化發(fā)展歷程網(wǎng)絡(luò)安全發(fā)展歷程1980199520052015202019852000201020192015最終目標(biāo)：要從零散建設(shè)演進(jìn)到面向業(yè)務(wù)的體系化建設(shè)能力重疊重復(fù)建設(shè)缺失能力管理能力運(yùn)營(yíng)能力舊模式規(guī)劃與建設(shè)、運(yùn)行未統(tǒng)一零散的項(xiàng)目設(shè)置項(xiàng)目間相互獨(dú)立、能力割裂、缺乏聯(lián)動(dòng)關(guān)注短期建設(shè)技術(shù)能力演進(jìn)新模式以規(guī)劃為牽引的建設(shè)和運(yùn)營(yíng)統(tǒng)一規(guī)劃、分步建設(shè)安全能力可擴(kuò)展的、可集成、可協(xié)同關(guān)注體系化作戰(zhàn)、持續(xù)的安全效果管理能力技術(shù)能力運(yùn)營(yíng)能力任務(wù)數(shù)據(jù)安全法保障數(shù)字經(jīng)濟(jì)的安全引擎當(dāng)我們談?wù)摂?shù)據(jù)時(shí)，我們?cè)谡務(wù)撌裁?？?shù)據(jù)結(jié)構(gòu)化非結(jié)構(gòu)化客戶信息產(chǎn)品代碼人力信息設(shè)計(jì)文檔薪資數(shù)據(jù)財(cái)務(wù)信息生產(chǎn)數(shù)據(jù)工程技術(shù)文檔商業(yè)計(jì)劃財(cái)務(wù)報(bào)表數(shù)據(jù)庫(kù)文件數(shù)據(jù)可分為結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù)兩大類可寫(xiě)入數(shù)據(jù)庫(kù)中作為文件單獨(dú)存儲(chǔ)流動(dòng)的信息當(dāng)我們談?wù)摂?shù)據(jù)安全時(shí)，我們?cè)谡務(wù)撌裁?？?shù)據(jù)的范圍數(shù)據(jù)的破壞方式數(shù)據(jù)的生命周期應(yīng)用電子證照電子檔案圖表圖像音頻視頻資料文件破壞更改泄露非法使用意外事故處理采集傳輸存儲(chǔ)廢棄數(shù)據(jù)與企業(yè)安全數(shù)據(jù)交換數(shù)據(jù)存儲(chǔ)數(shù)據(jù)獲取終端安全DLP數(shù)據(jù)傳輸安全數(shù)據(jù)庫(kù)安全隱私計(jì)算數(shù)據(jù)跨境交換個(gè)人隱私衛(wèi)士數(shù)據(jù)與國(guó)家安全國(guó)家安全《國(guó)家安全法》2015年7月1日通過(guò)并實(shí)施數(shù)據(jù)安全《數(shù)據(jù)安全法》2021年9月1日正式實(shí)施網(wǎng)絡(luò)安全《網(wǎng)絡(luò)安全法》2017年6月1日正式實(shí)施核心數(shù)據(jù)嚴(yán)格管理重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估分級(jí)分類配合調(diào)取數(shù)據(jù)數(shù)據(jù)交易中介特種數(shù)據(jù)類型汽車數(shù)據(jù)健康醫(yī)療數(shù)據(jù)人類遺傳數(shù)據(jù)測(cè)繪數(shù)據(jù)網(wǎng)絡(luò)運(yùn)行安全等級(jí)保護(hù)安全風(fēng)險(xiǎn)處置網(wǎng)絡(luò)實(shí)名制網(wǎng)絡(luò)產(chǎn)品/服務(wù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息安全內(nèi)容控制數(shù)據(jù)本地化與跨境網(wǎng)絡(luò)安全審查供應(yīng)鏈安全個(gè)人信息《個(gè)人信息保護(hù)法》2021年11月1日正式實(shí)施數(shù)據(jù)跨境敏感個(gè)人數(shù)據(jù)兒童個(gè)人數(shù)據(jù)權(quán)力響應(yīng)人格權(quán)中國(guó)網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域的法律體系是以三部法律為基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》2015年7月1日《數(shù)據(jù)安全法》2021年9月1日《個(gè)人信息保護(hù)法》2021年11月1日中國(guó)互聯(lián)網(wǎng)領(lǐng)域基礎(chǔ)性的法律法規(guī)框架體系就已完成，其他法律、法規(guī)、部門規(guī)章、地方性法規(guī)等等，都會(huì)在這三部法律組成的體系之下，繼續(xù)細(xì)化具體的內(nèi)容，逐步覆蓋互聯(lián)網(wǎng)、個(gè)人信息和數(shù)據(jù)活動(dòng)的方方面面。數(shù)據(jù)成為數(shù)字經(jīng)濟(jì)新要素2020年3月30日中共中央、國(guó)務(wù)院《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》明確將數(shù)據(jù)作為一種新型生產(chǎn)要素寫(xiě)入政策文件，是要充分發(fā)揮數(shù)據(jù)這一新型要素對(duì)其他要素效率的倍增作用，培育發(fā)展數(shù)據(jù)要素市場(chǎng)，使大數(shù)據(jù)成為推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的新動(dòng)能。推進(jìn)政府?dāng)?shù)據(jù)開(kāi)放共享提升社會(huì)數(shù)據(jù)資源價(jià)值加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)優(yōu)化經(jīng)濟(jì)治理基礎(chǔ)數(shù)據(jù)庫(kù)，加快推動(dòng)各地區(qū)各部門間數(shù)據(jù)共享交換，制定出臺(tái)新一批數(shù)據(jù)共享責(zé)任清單。培育數(shù)字經(jīng)濟(jì)新產(chǎn)業(yè)、新業(yè)態(tài)和新模式，支持構(gòu)建農(nóng)業(yè)、工業(yè)、交通、教育、安防、城市管理、公共資源交易等領(lǐng)域規(guī)范化數(shù)據(jù)開(kāi)發(fā)利用的場(chǎng)景。推動(dòng)人工智能、可穿戴設(shè)備、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等領(lǐng)域數(shù)據(jù)采集標(biāo)準(zhǔn)化。探索建立統(tǒng)一規(guī)范的數(shù)據(jù)管理制度。研究根據(jù)數(shù)據(jù)性質(zhì)完善產(chǎn)權(quán)性質(zhì)。推動(dòng)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級(jí)安全保護(hù)制度，加強(qiáng)對(duì)政務(wù)數(shù)據(jù)、企業(yè)商業(yè)秘密和個(gè)人數(shù)據(jù)的保護(hù)。

數(shù)據(jù)要素加速流通、共享、交易，帶來(lái)新場(chǎng)景下的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全法：整體思路上升到國(guó)家總體安全觀層面，與國(guó)家安全掛鉤；國(guó)家數(shù)據(jù)安全大戰(zhàn)略統(tǒng)籌發(fā)展與安全，數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用并重，利用數(shù)據(jù)保發(fā)展，同時(shí)數(shù)據(jù)濫用被剎車明確各級(jí)職責(zé)（國(guó)家、公安/網(wǎng)信、行業(yè)、運(yùn)營(yíng)者等）建立數(shù)據(jù)安全管理制度、數(shù)據(jù)安全保護(hù)體系、數(shù)據(jù)安全治理、數(shù)據(jù)安全應(yīng)急處置機(jī)制政務(wù)數(shù)據(jù)安全與開(kāi)放，健全數(shù)據(jù)安全管理制度，政務(wù)數(shù)據(jù)開(kāi)放目錄，政務(wù)開(kāi)放平臺(tái)加大對(duì)違法行為的處罰力度2021年6月10日，十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議通過(guò)了數(shù)據(jù)安全法。這部法律是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，也是國(guó)家安全領(lǐng)域的一部重要法律，將于2021年9月1日起施行。數(shù)據(jù)安全法整體思路數(shù)據(jù)安全法：整體框架第三章數(shù)據(jù)安全制度

21

數(shù)據(jù)分級(jí)分類保護(hù)制度23

數(shù)據(jù)安全應(yīng)急處置機(jī)制

24

數(shù)據(jù)安全審查制度

25

數(shù)據(jù)依法實(shí)施出口管制22數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，監(jiān)測(cè)預(yù)警管理

26針對(duì)歧視性禁止、限制的對(duì)等措施第一章總則3定義：數(shù)據(jù)、數(shù)據(jù)安全1-2目標(biāo)、范圍5-6明確主體、職責(zé)7明確數(shù)據(jù)要素8依法有序利用9-11宣傳普及，行業(yè)參考，交流合作第六章法律責(zé)任49-52履行義務(wù)，違法定責(zé)第七章附則53-55國(guó)家秘密及軍密數(shù)據(jù)的參照；本法執(zhí)行時(shí)間第二章數(shù)據(jù)安全與發(fā)展14國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略16加強(qiáng)數(shù)據(jù)技術(shù)開(kāi)發(fā)、數(shù)據(jù)安全研究17國(guó)家推進(jìn)數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)18促進(jìn)數(shù)據(jù)安全監(jiān)測(cè)評(píng)估、認(rèn)證服務(wù)19建立數(shù)據(jù)交易管理制度，培育數(shù)據(jù)交易市場(chǎng)20?數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，人才培養(yǎng)等4定位12投訴渠道13國(guó)家統(tǒng)籌安全與發(fā)展15?國(guó)家支持開(kāi)發(fā)利用數(shù)據(jù)，提升公共服務(wù)智能化服務(wù)水平第五章政務(wù)數(shù)據(jù)安全與開(kāi)放37國(guó)家大力推行電子政務(wù)建設(shè)38國(guó)家機(jī)關(guān)：需依法使用數(shù)據(jù)，并予以保密40國(guó)家機(jī)關(guān)：應(yīng)監(jiān)督受托方數(shù)據(jù)安全保護(hù)義務(wù)，不得留存、使用、泄露政務(wù)數(shù)據(jù)41國(guó)家機(jī)關(guān)應(yīng)該遵循政務(wù)數(shù)據(jù)公開(kāi)原則

42國(guó)家制定政務(wù)數(shù)據(jù)開(kāi)放目錄，構(gòu)建政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)39國(guó)家機(jī)關(guān)：健全數(shù)據(jù)安全管理制度、落實(shí)責(zé)任，保護(hù)政務(wù)數(shù)據(jù)安全

43其他組織履行職能和責(zé)任第四章數(shù)據(jù)安全保護(hù)義務(wù)28數(shù)據(jù)處理活動(dòng)、開(kāi)發(fā)數(shù)據(jù)新技術(shù)的目的29風(fēng)險(xiǎn)監(jiān)測(cè)、缺陷與漏洞；安全事件處置、報(bào)告30風(fēng)險(xiǎn)評(píng)估包括32合法，正當(dāng)收集數(shù)據(jù)33數(shù)據(jù)交易中介機(jī)構(gòu)，提供溯源和記錄34數(shù)據(jù)處理服務(wù)的許可35公安相關(guān)機(jī)關(guān)授權(quán)調(diào)取數(shù)據(jù)36司法用途的數(shù)據(jù)跨境管理31關(guān)基運(yùn)營(yíng)者重要數(shù)據(jù)出境安全管理27數(shù)據(jù)安全制度一、總則：數(shù)據(jù)跨境安全，自由流動(dòng)數(shù)據(jù)安全治理數(shù)據(jù)開(kāi)發(fā)利用國(guó)際合作交流參與國(guó)際規(guī)則和標(biāo)準(zhǔn)數(shù)據(jù)跨境安全第十一條國(guó)家積極開(kāi)展數(shù)據(jù)安全治理、數(shù)據(jù)開(kāi)發(fā)利用等領(lǐng)域的國(guó)際交流與合作，參與數(shù)據(jù)安全相關(guān)國(guó)際規(guī)則和標(biāo)準(zhǔn)的制定，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。二、數(shù)據(jù)安全與發(fā)展數(shù)據(jù)開(kāi)發(fā)利用數(shù)據(jù)安全促進(jìn)保障國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)數(shù)字經(jīng)濟(jì)發(fā)展納入本級(jí)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展規(guī)劃國(guó)家支持?jǐn)?shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全技術(shù)研究國(guó)家推進(jìn)數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)國(guó)家建立健全數(shù)據(jù)交易管理制度國(guó)家支持和開(kāi)展相關(guān)教育和培訓(xùn)，專業(yè)人才培養(yǎng)與交流第二章數(shù)據(jù)安全與發(fā)展14國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略16加強(qiáng)數(shù)據(jù)技術(shù)開(kāi)發(fā)、數(shù)據(jù)安全研究17國(guó)家推進(jìn)數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)18促進(jìn)數(shù)據(jù)安全監(jiān)測(cè)評(píng)估、認(rèn)證服務(wù)19建立數(shù)據(jù)交易管理制度，培育數(shù)據(jù)交易市場(chǎng)20?數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，人才培養(yǎng)等13國(guó)家統(tǒng)籌安全與發(fā)展15?國(guó)家支持開(kāi)發(fā)利用數(shù)據(jù)，提升公共服務(wù)智能化服務(wù)水平19建立數(shù)據(jù)交易管理制度，培育數(shù)據(jù)交易市場(chǎng)20?數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，人才培養(yǎng)等14國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略16加強(qiáng)數(shù)據(jù)技術(shù)開(kāi)發(fā)、數(shù)據(jù)安全研究17國(guó)家推進(jìn)數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)18促進(jìn)數(shù)據(jù)安全監(jiān)測(cè)評(píng)估、認(rèn)證服務(wù)15?國(guó)家支持開(kāi)發(fā)利用數(shù)據(jù)，提升公共服務(wù)智能化服務(wù)水平19建立數(shù)據(jù)交易管理制度，培育數(shù)據(jù)交易市場(chǎng)20?數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，人才培養(yǎng)等二、數(shù)據(jù)安全與發(fā)展:數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證相關(guān)標(biāo)準(zhǔn)發(fā)布：《數(shù)據(jù)管理能力成熟度評(píng)估模型(GB/T36073-2018)》簡(jiǎn)稱DCMM《數(shù)據(jù)安全能力成熟度模型(GB/T37988-2019)》簡(jiǎn)稱為DSMM《數(shù)據(jù)安全治理能力評(píng)估方法(T/ISC-0011-2021)》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法（YDT3801-2020）》第十八條國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng)。三、數(shù)據(jù)安全制度第三章數(shù)據(jù)安全制度

21

數(shù)據(jù)分級(jí)分類保護(hù)制度（重要數(shù)據(jù)目錄、國(guó)家核心數(shù)據(jù)、分類分級(jí)保護(hù)）23

數(shù)據(jù)安全應(yīng)急處置機(jī)制

24

數(shù)據(jù)安全審查制度（國(guó)家安全審查）

25

數(shù)據(jù)依法實(shí)施出口管制22數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，監(jiān)測(cè)預(yù)警管理（風(fēng)險(xiǎn)評(píng)估，監(jiān)測(cè)預(yù)警，風(fēng)險(xiǎn)報(bào)告，信息共享）獲取->分析->研判->預(yù)警

26針對(duì)歧視性禁止、限制的對(duì)等措施國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，制定重要數(shù)據(jù)目錄，加強(qiáng)重要數(shù)據(jù)保護(hù)國(guó)家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制國(guó)家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制（應(yīng)急預(yù)案、預(yù)警通報(bào)）國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。國(guó)家對(duì)屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。國(guó)家針對(duì)對(duì)華歧視性的禁止、限制等對(duì)等保護(hù)措施三、數(shù)據(jù)安全制度:數(shù)據(jù)分類分級(jí)保護(hù)制度重要的數(shù)據(jù)目錄，重點(diǎn)保護(hù)，由國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定國(guó)家核心數(shù)據(jù)，實(shí)行嚴(yán)格的管理制度明確“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度”，與國(guó)家“網(wǎng)絡(luò)安全等級(jí)保護(hù)”制度呼應(yīng)。要求各地區(qū)，各部門，各行業(yè)制定各自范圍里的“重要數(shù)據(jù)目錄”重要程度危害程度分類分級(jí)保護(hù)三、數(shù)據(jù)安全制度:數(shù)據(jù)安全審查和出口管制第二十四條國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。第二十五條國(guó)家對(duì)與維護(hù)國(guó)家安全和利益、履行國(guó)際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。第二條關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱運(yùn)營(yíng)者)采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，數(shù)據(jù)處理者(以下稱運(yùn)營(yíng)者)開(kāi)展數(shù)據(jù)處理活動(dòng)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。第六條掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。第十條網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估采購(gòu)活動(dòng)、數(shù)據(jù)處理活動(dòng)以及國(guó)外上市可能帶來(lái)的國(guó)家安全?險(xiǎn)，主要考慮以下因素:(

(五)核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取、泄露、毀損以及非法利用或出境的?險(xiǎn);(六)國(guó)外上市后關(guān)鍵信息基礎(chǔ)設(shè)施，核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被國(guó)外政府影響、控制、惡意利用的?險(xiǎn);(七)其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家數(shù)據(jù)安全的因素。第十六條網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為影響或可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)、數(shù)據(jù)處理活動(dòng)以及國(guó)外上市行為，由網(wǎng)絡(luò)安全審查辦公室按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，依照本辦法的規(guī)定進(jìn)行審查。四、數(shù)據(jù)安全保護(hù)義務(wù)第四章數(shù)據(jù)安全保護(hù)義務(wù)28數(shù)據(jù)處理活動(dòng)、開(kāi)發(fā)數(shù)據(jù)新技術(shù)的目的29風(fēng)險(xiǎn)監(jiān)測(cè)、缺陷與漏洞；安全事件處置、報(bào)告30重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估包括（重要數(shù)據(jù)種類、數(shù)量、活動(dòng)情況、風(fēng)險(xiǎn)、措施）32合法，正當(dāng)收集數(shù)據(jù)33數(shù)據(jù)交易中介機(jī)構(gòu)，提供溯源和記錄34數(shù)據(jù)處理服務(wù)的許可35公安相關(guān)機(jī)關(guān)授權(quán)調(diào)取數(shù)據(jù)36司法用途的數(shù)據(jù)跨境管理31關(guān)基運(yùn)營(yíng)者重要數(shù)據(jù)出境安全管理27健全全流程數(shù)據(jù)安全制度，開(kāi)展培訓(xùn)，采取措施，履行義務(wù)，明確職責(zé)，落實(shí)責(zé)任。依法開(kāi)展數(shù)據(jù)處理活動(dòng)，履行數(shù)據(jù)安全保護(hù)義務(wù)全流程、持續(xù)安全防護(hù)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置重要數(shù)據(jù)定期風(fēng)險(xiǎn)評(píng)估關(guān)基運(yùn)營(yíng)者重要數(shù)據(jù)出境安全管理依法進(jìn)行數(shù)據(jù)處理與服務(wù)數(shù)據(jù)合法、正當(dāng)收集數(shù)據(jù)交易行為規(guī)范數(shù)據(jù)處理服務(wù)許可數(shù)據(jù)調(diào)取嚴(yán)格審批四、數(shù)據(jù)安全保護(hù)義務(wù):重要數(shù)據(jù)出境安全管理?關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。四、數(shù)據(jù)安全保護(hù)義務(wù):數(shù)據(jù)出境評(píng)估辦法-國(guó)標(biāo)五、政務(wù)數(shù)據(jù)安全與開(kāi)放第五章政務(wù)數(shù)據(jù)安全與開(kāi)放37國(guó)家大力推行電子政務(wù)建設(shè)38國(guó)家機(jī)關(guān)：需依法使用數(shù)據(jù)，并予以保密40國(guó)家機(jī)關(guān)：應(yīng)監(jiān)督受托方數(shù)據(jù)安全保護(hù)義務(wù)，不得留存、使用、泄露政務(wù)數(shù)據(jù)41國(guó)家機(jī)關(guān)應(yīng)該遵循政務(wù)數(shù)據(jù)公開(kāi)原則

42國(guó)家制定政務(wù)數(shù)據(jù)開(kāi)放目錄，構(gòu)建政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)（統(tǒng)一規(guī)范、互聯(lián)互通、安全可控）39國(guó)家機(jī)關(guān)：健全數(shù)據(jù)安全管理制度、落實(shí)責(zé)任，保護(hù)政務(wù)數(shù)據(jù)安全

43其他組織履行職能和責(zé)任政務(wù)數(shù)據(jù)開(kāi)放目錄政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)健全數(shù)據(jù)安全管理制度、數(shù)據(jù)責(zé)任完善數(shù)據(jù)安全技術(shù)保護(hù)建設(shè)完善數(shù)據(jù)安全流轉(zhuǎn)監(jiān)測(cè)，風(fēng)險(xiǎn)預(yù)警等機(jī)制，監(jiān)督受托方數(shù)據(jù)安全保護(hù)義務(wù)；受托方按規(guī)定履行數(shù)據(jù)安全保護(hù)義務(wù)五、政務(wù)數(shù)據(jù)安全與開(kāi)放:安全與開(kāi)放并重依法收集、使用數(shù)據(jù)，個(gè)人隱私、個(gè)人信息、商業(yè)秘密等敏感信息保護(hù)?建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全電子政務(wù)系統(tǒng)建設(shè)受托方要經(jīng)過(guò)嚴(yán)格審核和批準(zhǔn)流程，并履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)，不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)。?按照規(guī)定及時(shí)、準(zhǔn)確地公開(kāi)政務(wù)數(shù)據(jù)?國(guó)家制定政務(wù)數(shù)據(jù)開(kāi)放目錄，構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)總結(jié)國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展；建立健全數(shù)據(jù)安全治理體系、明確職責(zé)主體、提高數(shù)據(jù)安全保護(hù)和保障能力；支持?jǐn)?shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全技術(shù)研究，推進(jìn)數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建立，建立數(shù)據(jù)交易管理制度，促進(jìn)數(shù)據(jù)的依法利用、有序流通；開(kāi)展數(shù)據(jù)安全知識(shí)宣傳教育，培養(yǎng)專業(yè)人才，全社會(huì)共同保證數(shù)據(jù)安全。行動(dòng)建議健全數(shù)據(jù)安全管理制度以及組織結(jié)構(gòu)建立數(shù)據(jù)安全治理體系完善相關(guān)標(biāo)準(zhǔn)的制定健全數(shù)據(jù)交易管理制度建立數(shù)據(jù)分類分級(jí)保護(hù)制度國(guó)家核心數(shù)據(jù)管理制度建立數(shù)據(jù)安全審查制度制定重要數(shù)據(jù)目錄數(shù)據(jù)出境管理辦法制定政務(wù)數(shù)據(jù)開(kāi)放目錄各行業(yè)各領(lǐng)域的數(shù)據(jù)分類分級(jí)保護(hù)制度各行業(yè)各領(lǐng)域的重要數(shù)據(jù)具體目錄明確權(quán)責(zé)：明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任數(shù)據(jù)安全治理的必要性組織、制度、流程、數(shù)據(jù)資產(chǎn)梳理、分類分級(jí)完善數(shù)據(jù)安全監(jiān)管體系數(shù)據(jù)安全監(jiān)管公安部、網(wǎng)信辦單位1單位2…單位n關(guān)基運(yùn)營(yíng)者…

城市國(guó)家級(jí)監(jiān)管數(shù)據(jù)安全管理制度重要數(shù)據(jù)目錄、政務(wù)數(shù)據(jù)開(kāi)放目錄及相關(guān)防護(hù)風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置、安全審查行業(yè)領(lǐng)域關(guān)基運(yùn)營(yíng)者及一般市場(chǎng)參與者行業(yè)/地域監(jiān)管?重要數(shù)據(jù)具體目錄風(fēng)險(xiǎn)管控、評(píng)估檢查；監(jiān)測(cè)、響應(yīng)、處置；通報(bào)協(xié)同考核；數(shù)據(jù)安全檢測(cè)、評(píng)估、認(rèn)證；可信網(wǎng)絡(luò)通信安全審計(jì)系統(tǒng)安全可信邊界安全管理中心用戶終端可信計(jì)算環(huán)境可信應(yīng)用計(jì)算節(jié)點(diǎn)可信節(jié)點(diǎn)數(shù)據(jù)安全法中安全防護(hù)是構(gòu)建在等保的基礎(chǔ)之上的全流程數(shù)據(jù)安全管理制度基于分類分級(jí)的數(shù)據(jù)安全保護(hù)措施風(fēng)險(xiǎn)管控、評(píng)估檢查；監(jiān)測(cè)、響應(yīng)、處置；重要數(shù)據(jù)出境管控基于全流程、數(shù)據(jù)流轉(zhuǎn)防護(hù)，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，不同等級(jí)系統(tǒng)數(shù)據(jù)交換、流轉(zhuǎn)嚴(yán)格控制中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)頂層設(shè)計(jì)負(fù)責(zé)國(guó)家數(shù)據(jù)安全工作的決策定制、指導(dǎo)實(shí)施國(guó)家數(shù)據(jù)安全戰(zhàn)略和重大方針數(shù)據(jù)交易與數(shù)據(jù)要素價(jià)值挖掘不愿共享不敢共享不能共享數(shù)據(jù)隱私數(shù)據(jù)價(jià)值挖掘數(shù)據(jù)安全使能新型生產(chǎn)要素缺數(shù)據(jù)！缺數(shù)據(jù)??！缺數(shù)據(jù)?。。∮?jì)算機(jī)視覺(jué)機(jī)器學(xué)習(xí)自然語(yǔ)言處理精準(zhǔn)推薦人工智能科研機(jī)構(gòu)國(guó)家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場(chǎng)明確義務(wù)主體及職責(zé)加強(qiáng)數(shù)據(jù)安全保護(hù)及技術(shù)支撐能力數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)管理數(shù)據(jù)分類分級(jí)訪問(wèn)控制數(shù)據(jù)跨境保護(hù)重要數(shù)據(jù)保護(hù)個(gè)人信息保護(hù)監(jiān)測(cè)響應(yīng)審計(jì)定責(zé)數(shù)據(jù)安全防護(hù)全流程數(shù)據(jù)