【网信安全法律法规】

一、法律

1、中华人民共和国网络安全法

1.1 网络安全管理

本条款提到的网络安全等级保护制度是公安部运营多年的信息系统安全等级保护制度，网络安全法的出台也加强了对等保执行力度的要求，不做等保就属于违法行为了。

1.1.1 安全管理：

网络运营者需在企业内部明确网络安全的责任，并通过完善的规章制度、操作流程为网络安全提供制度保障。

1.1.2 技术层面：

网络运营者应采取各种事前预防、事中响应、事后跟进的技术手段，应对网络攻击，降低网络安全的风险。值得注意的是，网络日志的保存期限已明确要求不低于六个月。

1.1.3 数据安全方面：

网络运营者需对重要数据进行备份、加密，以此来保障数据的可用性、保密性。
应对策略：基于本方案将形成从主机层、网络层、应用层的整体防入侵措施。网络层具备抵御大流量的DDoS攻击、CC攻击的能力，避免因网络攻击导致出现业务中断或不可访问的情况。并实现安全监测和安全分析，实时发现网络入侵行为。

1.2 应急预案与响应要求

1.2.1 第二十五条规定:

网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

1.2.2 解读：

本条款的提出也是完善安全技术体系非常重要的一环，而响应能力的建设是当前网络运营者普遍存在的弱点。
整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范，或者说有规范但在出现网络安全事件的时候，发现应急预案根本没办法起到作用。
在公共云或者可运营的政务云上，有着完整的安全运营体系，当发生大规模网络安全事件时，安全运营团队会第一时间处理相关问题。或者使用云盾管家服务，针对网络运营者的业务制定应急预案和定期演练。

1.3 政务安全治理

1.3.1 第三十四条规定：

除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

1. 设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

2. 定期对从业人员进行网络安全教育、技术培训和技能考核；

3. 对重要系统和数据库进行容灾备份；

4. 制定网络安全事件应急预案，并定期进行演练；

5. 法律、行政法规规定的其他义务。

1.3.2 解读：

关键基础设施的安全隐患具有很大的破坏性和杀伤力，《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。

1.4 个人信息保护

1.4.1 第四十一、四十二、四十三条规定:

第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第四十三条：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

1.4.2 解读:

从这三条条款中可以看出，《网络安全法》聚焦个人信息泄露，明确网络产品服务提供者、运营者的责任。严厉打击出售贩卖个人信息的行为，对保护公众个人信息安全将起到积极作用。

除严防个人信息泄露，《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定：任何个人和组织不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布与实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

2、电子签名法

2.1 第一章 总则

第一条 为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益，制定本法。
第二条 本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
第三条 民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。
当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
前款规定不适用下列文书：

　　(一)涉及婚姻、收养、继承等人身关系的;

　　(二)涉及土地、房屋等不动产权益转让的;

　　(三)涉及停止供水、供热、供气、供电等公用事业服务的;

　　(四)法律、行政法规规定的不适用电子文书的其他情形。

2.2、第二章 数据电文

第四条 能够有形地表现所载内容，并可以随时调取查用的数据电文，视为符合法律、法规要求的书面形式。
第五条 符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：

　　(一)能够有效地表现所载内容并可供随时调取查用;

　　(二)能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。

第六条 符合下列条件的数据电文，视为满足法律，法规规定的文件保存要求：

　　(一)能够有效地表现所载内容并可供随时调取查用;

　　(二)数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;

　　(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。　　

第七条 数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
第八条 审查数据电文作为证据的真实性，应当考虑以下因素：

(一)生成、储存或者传递数据电文方法的可靠性;
(二)保持内容完整性方法的可靠性;
(三)用以鉴别发件人方法的可靠性;
(四)其他相关因素。

第九条 数据电文有下列情形之一的，视为发件人发送：

　　(一)经发件人授权发送的;

　　(二)发件人的信息系统自动发送的;

　　(三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。

当事人对前款规定的事项另有约定的，从其约定
第十条 法律、行政法规规定或者当事人约定数据电文需要确认收讫的，应当确认收讫。发件人收到收件人的收讫确认时，数据电文视为已经收到。
第十一条 数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间。
收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间，视为该数据电文的接收时间;来指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间。
当事人对数据电文的发送时间、接收时间另有约定的，从其约定。
第十二条 发件人的主营业地为数据电文的发送地点，收件人的主营业地为数据电文的接收地点。没有主营业地的，其经常居住地为发送或者接收地点。
当事人对数据电文的发送地点、接收地点另有约定的，从其约定。

2.3 第三章 电于签名与认证

第十三条 电子签名同时符合下列条件的，视为可靠的电子签名：

　　(一)电子签名制作数据用于电子签名时，属于电子签名人专有;

　　(二)签署时电子签名制作数据仅由电子签名人控制;

　　(三)签署后对电子签名的任何改动能够被发现;

　　(四)签署后对数据电文内容和形式的任何改动能够被发现。

　　当事人也可以选择使用符合其约定的可靠条件的电子签名。

第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。
第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。
第十六条 电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。
第十七条 提供电子认证服务，应当具备下列条件：

　　(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;

　　(二)具有与提供电子认证服务相适应的资金和经营场所;

　　(三)具有符合国家安全标准的技术和设备;

　　(四)具有国家密码管理机构同意使用密码的证明文件;

　　(五)法律、行政法规规定的其他条件。

第十八条 从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书;不予许可的，应当书面通知申请人并告知理由。

申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。

取得认证资格的电子认证服务提供者，应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。
第十九条 电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案。

电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
第二十条 电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。

电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。
第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：

　　(一)电子认证服务提供者名称;

　　(二)证书持有人名称;

　　(三)证书序列号;

　　(四)证书有效期;

　　(五)证书持有人的电子签名验证数据;

　　(六)电子认证服务提供者的电子签名;

　　(七)国务院信息产业主管部门规定的其他内容。

第二十二条 电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
第二十三条 电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。

电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。

电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。

电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
第二十四条 电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。
第二十五条 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。

3、数据安全法

3.1 目录

第一章　总则

第二章　数据安全与发展

第三章　数据安全制度

第四章　数据安全保护义务

第五章　政务数据安全与开放

第六章　法律责任

第七章　附则

3.2 解读

3.2.1 使用范围

3.2.2 定义

3.2.3 分工

3.2.4 数据安全与数据发展

3.2.5 数据安全制度

3.2.6 数据安全保护

3.2.7 政务数据安全与开放

3.2.8 数据违法处罚规定

4、个人信息保护法

4.1 目录

第一章　总则
第二章　个人信息处理规则
第一节　一般规定
第二节　敏感个人信息的处理规则
第三节　国家机关处理个人信息的特别规定
第三章　个人信息跨境提供的规则
第四章　个人在个人信息处理活动中的权利
第五章　个人信息处理者的义务
第六章　履行个人信息保护职责的部门
第七章　法律责任
第八章　附则

4.2 解读

4.2.1 限制过度收集个人信息

4.2.2 禁止大数据杀熟

4.2.3 禁止滥用人脸识别技术

4.2.4 严格保护敏感个人信息

4.2.5 未成年个人信息被列入敏感个人信息

4.2.6 赋予互联网平台特别义务

4.2.7 完善个人信息跨境提供规则

4.2.8 明确逝者个人信息保护规则

4.2.9 加大对违法处理个人信息行为的惩处力度

4.2.10 健全投诉、举报机制

5、密码法

5.1 目 录

第一章 总则
第二章 核心密码、普通密码
第三章 商用密码
第四章 法律责任
第五章 附则

5.2 解读

5.2.1 密码法是我国密码领域的综合性、基础性法律

5.2.2 密码法的内容

5.2.3 密码法分类管理

二、重要条例

1、关键信息基础设施保护条例

1.1 目录

第一章　总　　则
第二章　关键信息基础设施认定
第三章　运营者责任义务
第四章　保障和促进
第五章　法律责任
第六章　附　　则

1.2 解读

1.2.1 关键基础设施定义

1.2.2 特点

1.2.3 关键基础设施安全保护五大环节

1.2.4 保护部门职责

1.2.5 运营者责任和义务

1.2.6 其他个人、组织危害行为责任

2、网络安全等级保护条例2.0

2.1 目录

第一章 总 则
第二章 支持与保障
第三章 网络的安全保护
第四章 涉密网络的安全保护
第五章 密码管理
第六章 监督管理
第七章 法律责任
第八章 附 则

2.2 解读1

2.2.1 体系框架

2.2.2 等级保护工作流程

2.2.3 测评的变化

2.2.4 标准控制点与要求项数量的变化对比

等保2.0的标准控制点数量与等保1.0基本持平，汇总来看相对于旧标准有所精简，三级与四级的控制点数量均削减至71个。

要求项方面的精简程度更加明显，大量删减了冗杂条项。等保2.0的二级、三级、四级的要求项从旧标准的175个、290个、318个分别削减至148个、231个、246个。

2.2.5 新增要求项一一对应的信息安全新增产品

2.2.6 等保2.0主动防御体系具体部署设施

等保2.0与1.0最大的区别在于系统防护由被动防御变为主动防御，从前被动防御要求防火墙、杀病毒、IDS，现在上升到主动防御，除了传统的安全设备防火墙、网络版杀毒软件以及网关层的防毒墙外，还需要部署安全准入系统、堡垒机、双因素认证设备、漏洞扫描器、数据库防火墙；另外还需要定期的安全服务，包括渗透测试服务、系统上线前安全测试服务与安全运维服务；最后，还需部署SOC平台、安全态势感知平台，从全局性角度去检测、感知、发现整体的安全趋势及可能存在的安全问题，部署防APT（高级持续性威胁）攻击的设备发现一些潜在的不定期的隐蔽的各类攻击。

2.2.7 作为网络运营者，（内容上）企业应该怎么做

网络运营者应当依法履行下列一般安全保护义务，保障网络和信息安全（第20条）

1	确定网络安全等级保护工作责任人，建立网络安全等级保护工作责任制，落实责任追究制度；
2	建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全运维等制度；
3	落实机房安全管理、设备和介质安全管理、网络安全管理等制度，制定操作规范和工作流程；
4	落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施；
5	落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施，并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志；
6	落实数据分类、重要数据备份和加密等措施；
7	依法收集、使用、处理个人信息，并落实个人信息保护措施，防止个人信息泄露、损毁、篡改、窃取、丢失和滥用；
8	落实违法信息发现、阻断、消除等措施，落实防范违法信息大量传播、违法犯罪证据灭失等措施；
9	落实联网备案和用户真实身份查验等责任；
10	对网络中发生的案事件，应当在二十四小时内向属地公安机关报告；泄露国家秘密的，应当同时向属地保密行政管理部门报告；
11	法律、行政法规规定的其他网络安全保护义务。

第三级以上网络的运营者除履行上述一般网络安全保护义务外，还应当履行下列特殊安全保护义务（第21条）

1	确定网络安全管理机构，明确网络安全等级保护的工作职责，对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度；
2	制定并落实网络安全总体规划和整体安全防护策略，制定安全建设方案，并经专业技术人员评审通过；
3	对网络安全管理负责人和关键岗位的人员进行安全背景审查，落实持证上岗制度；
4	对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理；
5	落实网络安全态势感知监测预警措施，建设网络安全防护管理平台，对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析，并与同级公安机关对接；
6	落实重要网络设备、通信链路、系统的冗余、备份和恢复措施；
7	建立网络安全等级测评制度，定期开展等级测评，并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告；
8	法律和行政法规规定的其他网络安全保护义务。

三、国家标准

1、等保测评2.0

1.1 网络安全等级保护相关国家标准

 网络安全等级保护基本要求GBT22239-2019
 网络安全等级保护定级指南(GB/T22240-2020)
 网络安全等级保护实施指南GBT25058
 网络安全等级保护安全设计要求GB/T25070-2019
 网络安全等级保护测评要求GB/T28448-2019
网络安全等级保护测评过程指南GB/T28449-2018

1.2 等保测评2.0解读

1.2.1 网络安全等级保护项目的基本流程

1.2.2 信息安全法律法规及标准规范

1、网络安全法律政策体系
与网络安全相关的主要法律有：《中华人民共和国宪法》《中华人民共和国刑法》《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国保守国家秘密法》《中华人民共和国电子签名法》等。

与网络安全相关的行政法规有：《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网暂行规定》《计算机信息网络国际联网安全保护管理办法》《商用密码管理条例》《互联网信息服务管理办法》《计算机软件保护条例》等。

与网络安全相关的规章、地方性法规及规范性文件有：《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机病毒防治管理办法》《计算机信息系统保密管理暂行规定》《计算机信息系统国际联网保密管理规定》《广东省计算机信息系统安全保护管理规定》等。

2、网络安全标准体系

1.2.3 安全保护等级

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下5级。

第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序和公共利益。

第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。

第三级，等级保护对象受到破坏后，或者对社会秩序和公共利益造成严重危害，或者对国家安全造成危害。

第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重危害。

第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

1.2.4 信息安全风险分析原理图

1.2.5 纵深防御的安全体系

按照信息系统业务处理过程将系统划分成安全计算环境、安全区域边界和安全通信网络3部分，以计算节点为基础对这3部分实施保护，构成由安全管理中心支撑的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心、三重防护”结构。

一个完整的信息安全体系应该是安全技术、安全管理、安全运营的结合，三者缺一不可。

在方案设计中，“三个体系”（安全技术体系、安全管理体系和安全运营体系）既相对独立，又相互依赖和互补，共同形成整体的安全保障体系框架。

① 预警能力

利用云端的威胁情报、监控与检测、态势感知能力，赋予信息系统预警的能力，能够从海量的安全大数据中精确判断攻击行为，提前保护信息系统的安全。

② 防护能力

通过新技术产品进行替代并增强等级保护的安全技术控制措施，同时结合云防护的能力，提升整体的信息系统防护能力。

③ 溯源能力

利用威胁情报与本地全量数据进行整合，通过可视化分析技术，快速定位安全风险，形成智能的安全管理中心。

1.2.6 安全防护体系架构

1. 安全技术体系

安全技术体系设计内容主要涵盖 “一个中心、三重防护”，即安全运营和管理中心、计算环境安全、区域边界安全、通信网络安全。

（1）安全运营和管理中心

安全运营和管理中心是安全技术体系的核心和中枢，集安全监测中心、安全防御中心、安全运维中心和安全响应中心的功能为一体。

安全监测中心主要包括对系统、设备的安全监测和报警，并提供基于人工或工具的多层次的安全监测服务。

安全防御中心：在构建整体的技术防御体系的基础上，通过安全防御中心加强协调联动，进行积极主动防御，提升整体安全防御水平。

安全运维中心：实现安全运维操作的流程管理和标准化管理；实现自动化安全运维；实现运维策略可视化。

安全响应中心：采用“本地服务+云端服务+专家”的新型工作模式，结合云端的威胁情报、大数据提供及时的技术保障服务。

（2）三重防护

计算环境安全：为信息系统打造一个可信、可靠、安全的计算环境。从系统、应用的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、资源控制等方面，全面提升信息系统在系统及应用层面的安全。

区域边界安全：从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整性等方面，提升网络边界的可控性和可审计性。

通信网络安全：从保护局域网和广域网的数据传输安全、整体网络架构可靠和可用等方面保障网络通信安全。

2. 安全管理体系

仅有安全技术防护，无严格的安全管理相配合，难以保障整个系统的稳定安全运行。在系统建设、运行维护、日常管理中都要重视安全管理，制订并落实安全管理制度，明确责任权力，规范操作，加强人员、设备的管理以及人员的培训，提高安全管理水平，同时加强对紧急事件的应对能力，通过预防措施和恢复控制相结合的方式，使由意外事故所引起的破坏减小至可接受的程度。

3. 安全运营体系

由于安全技术和管理的复杂性、专业性和动态性，×××系统安全的规划、设计、建设、运行维护均需要有较为专业的安全服务和运营队伍支持。基础的安全运营服务包括系统日常维护、安全加固、应急响应、安全评估、安全培训和安全咨询等工作。在系统建设上线后，安全运营体系需要逐步完善，以确保系统运行。

1.2.7 通用安全技术体系设计

1.2.7.1 安全物理环境技术标准

1.2.7.2 网络和通信安全技术标准

1.2.7.3 安全区域边界技术标准

1.2.7.4 安全计算环境技术标准

1.2.7.5 安全运营管理中心技术标准

1.2.8 技术设计方案与等级保护合规技术要求的对标

1.2.9 软硬件配置建议

2、关键信息基础设施

2.1 关键信息基础设施相关国家标准

1、信息安全技术关键信息基础设施安全保护要求
2、信息安全技术关键信息基础设施安全控制措施
3、关键信息基础设施安全检查评估指南
4、关键信息基础设施边界确定方法
5、关键信息基础设施网络安全应急体系框架
6、关键信息基础设施安全防护能力评价方法
7、关键信息基础设施信息技术产品供应链安全要求

2.2 解读

2.2.1 信息安全技术关键信息基础设施安全保护要求

2.2.1.1 新的要求

安全管理方面：新增了成立网络安全工作委员会或领导小组，并明确提出了将领导班子成员作为首席网络安全官的要求。

应急演练方面：进一步明确了每年至少组织开展1次本组织的应急演练。

产品服务采购方面：建立和维护合格供应方目录；强化采购渠道管理，保持采购的网络产品和服务来源的稳定或多样性；获得提供者对网络产品和服务的10年以上知识产权授权；自行或委托第三方对定制开发的软件进行源代码安全检测。

安全计算环境方面：明确提出应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。

2.2.1.2 关键信息基础设施安全保护三项基本原则

（1）以关键业务为核心的整体防控

关键信息基础设施安全保护以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系。

（2）以风险管理为导向的动态防护

根据关键信息基础设施所面临的安全威胁态势，进行持续监测和安全控制措施的动态调整，形成动态的安全防护机制，及时有效地防范应对安全风险。

（3）以信息共享为基础的协同联防

积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

2.2.1.3 关键信息基础设施安全保护六个重点环节

（1）分析识别：业务、资产、风险、重大变更

提升分析识别能力，强化提升安全风险管控能力。关键信息基础设施的运营者应当配合保护工作部门，按照规定开展关键信息基础设施的识别和认定工作，并围绕关键信息基础设施承载的关键业务，开展资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。

其中对风险的分析识别是重中之重，而源代码是信息基础设施的重要组成部分，因此对于源代码中的风险识别尤为重要。这一部分可以借助对应的源代码扫描工具如SAST、SCA等工具对源代码中的安全漏洞及许可证风险进行检测、识别和分析，从而提升代码质量，保障关键信息基础设施的安全性。

（2）安全防护

根据已识别的关键业务、资产、安全风险，在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施，确保关键信息基础设施的运行安全。

《保护要求》除了在等级保护要求的基础上进一步细化，还重点突出了数据安全和供应链安全的要求，进一步规范化了数字化发展和可信可控背景下的安全能力保障。其中软件供应链安全越来越受到国家及各行业的重视，尤其是在各种软件供应链安全攻击事件频发的背景下，《网络安全审查办法》、《信息安全技术软件供应链安全要求》、《关基安全保护条例》等法规中都强调了要保障软件供应链安全。

（3）检测评估

为检验安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度、确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。

为了更好地提高关键信息基础设施的安全保护水平，针对检测评估工作，明确了其范围、内容、周期等要求，特别是在检测评估内容方面，将等级保护和密评等强合规要求满足情况作为重要的评估依据。

（4）监测预警

运营者制定并实施网络安全监测预警和通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示。建立威胁情报和信息共享机制，落实相关措施，提高关键信息基础设施主动防御的能力。

管理方面，明确开展监测预警工作的管理和要求，制定监测策略，明确监测对象、监测流程、监测内容，主动掌握威胁态势；技术措施方面，提升监测预警技术措施，实现相关技术措施的有效聚合和一体化管理。

（5）主动防御

以应对攻击行为的监测发现为基础，主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力。

（6）事件处置

对网络安全事件进行报告和处置，并根据检测评估、监测预警环节发现的问题、运营者制定并实施适当的应对措施，恢复由于网络安全事件而受损的功能或服务

2.2.1.4 安全建设方向

(1）加强供应链管理

关键信息基础设施的运营者需要对供应链进行全面管理和风险评估，以确保供应链的安全性和可靠性。同时，他们需要建立供应商管理制度，以确定供应商产品和服务的安全性和可靠性。此外，还需要建立供应链安全监测和预警机制，以及时发现和处理供应链安全事件。

(2)加强数据安全管理

为了确保数据的安全性和可靠性，关基运营者需要制定完善的数据安全管理制度。这包括对数据进行分类和分级，进行数据备份，使用数据加密技术，以及定期进行数据清除等措施。此外，关基运营者还需要建立数据安全监测和预警机制，以便及时发现和处理数据安全事件。在进行数据安全治理工作时，关基运营者应该注重数据的完整性、可用性和保密性，并确保数据的合法合规性。

(3)完善安全管理制度

为了确保关基运营的安全性，需要制定完善的安全管理制度和流程。这些制度和流程应该包括安全意识教育、培训，数据安全控制措施、安全监测和预警机制等。同时，需要建立安全事件处理机制，以便及时应对安全事件，并最大程度地减少损失。

(4)加强安全技术建设

为了确保关基运营的安全性和可靠性，需要加强安全技术建设。安全技术建设包括安全防护、安全检测、安全监测等方面。在选择安全技术和产品时，关基运营者需要根据自身运营情况做出判断和决策，建立适合自身运营的安全技术体系。这些技术体系可以包括安全漏洞扫描、入侵检测、数据加密、防火墙等技术手段，以确保系统的安全性和可靠性。

(5)加强合规管理

运营者需要遵守相关法规和标准，建立合规管理制度，并定期进行合规自查和审核，以确保自身的运营符合法规和标准的要求。

2.2.2 关键信息基础设施安全控制措施

2.2.2.1、风险识别

（1）资产识别

应围绕关键信息基础设施承载的关键业务，识别关键信息基础设施的资产，形成资产清单明确资产的管理责任人；对数据进行分类并按照分类标准制定符合其安全需求的保护策略。

（2）威胁识别

识别关键信息基础实施面临的威胁，并判断威胁可能性。

（3）脆弱性识别

可采用脆弱性扫描工具或技术定期对关键信息基础实施网络、信息系统及应用程序进行脆弱性扫描。

（4）漏洞管理

应使用漏送管理工具，自动识别、记录、处理、更新安全漏洞相关信息，对发现的安全漏洞在确保不影响业务连续性的前提下及时修复，修复后经改测试才可使用。

（5）已有安全措施识别

识别组织已有安全措施，并对安全措施有效性进行确认。

（6）风险分析

根据识别的资产、威胁、脆弱性进行风险分析。

2.2.2.2、安全防护

（1）等级保护合规要求

应根据定级对象的安全保护等级的安全要求进行安全建设、管理和运维，在等保基础上，对关键信息基础设施实施分区分域管理，根据承载业务的重要程度和数据敏感程度制定不同的安全策略。

（2）网络安全于信息化同步要求

关键信息基础设施运营者应做到同步规划、同步建设、同步使用。

（3）网络安全责任制

关键信息基础设施运营者应明确责任主体，建立关键信息基础设施应遵循职责分离、最小特权的原则设置相关岗位，明确岗位职责与风险。

（4）数据保护

关键信息基础设施运营者应建立规范的个人信息保护制度，符合GB/T 35273；运营者的个人信息和重数据应在境内存储，若确需出境，则需进行出境评估。

（5）灾难备份

关键信息基础设施运营者应确定灾难备份目标，制定策略，准备技术方案，建设灾备中心，制定并实施业务连续性计划，确保关键信息基础设施的业务连续性。

（6）人员与组织安全

建立网络安全管理框架，设立专门的网络安全管理机构，健全完善网络安全管理制度，落实网络安全防护措施。

做好人员安全审查（背景调查等），进行人员筛选（持证上岗）、人员调动或离职时及时清除访问权限。

（7）培训

入职培训应包括安全意识教育和基础安全培训，至少每年进行一次网络安全培训，培训后应进行技能考核。

（8）维护

关键信息基础设施运营者应审核并监视维护工具的使用，使用前进行恶意代码监测，维护时应填写维护记录，维护后确保设备仍可正常工作。

若采用境外远程维护，则需提前进行备案（远程维护策略、规程、工具），采用强鉴别技术建立远程维护会话，并对维护活动进行管理、控制和审计，维护日志留存不少于12个月，定期对远程维护日志进行审查。

（9）供应链保护

在选择网络产品、服务和网络产品、服务供应商时，应进行评估，确保符合国家相关标准要求，进行背景调查等，签署合同应明确产品和服务的设计、开发、实施、验证、交付、支持过程，定期检查、评审和审核供应商的服务支付。

2.2.2.3、检测评估

（1）自评估

每年至少进行一次安全评估，从合规检查、技术检测、分析评估三个主要环节进行，可选择自行或委网络安全服务机构进行，根据评估结果进行整改，并将评估结果及时上报对应的关键基础设施安全保护工作部门。

（2）安全检测

键信息基础设施运营者应通过关键信息基础设施安全保护工作部门认可的网络安全服务机构进行检测评估，在对检测评估发现的安全问题进行有效整改后方可上线。

（3）安全抽查

关键信息基础设施运营者应积极配合关键信息基础设施安全保护工作部门组织开展的关键信息基础设施的安全风险抽查检测工作。

2.2.2.4、监测预警

（1）安全监测

应设施安全监测预警机制，制定安全事件应急预案，建立并完善监测预警制度，提高监测能力，确定监测对象、指标、频率，定期对监测结果进行安全评估；

可发现攻击行为，并采用自动分析工具对攻击事件实时分析，可发现未授权本地、网络和远程连接以及对信息系统的非授权使用，当发现信息系统异常情况时，应及时告警；

进行物理访问检测，形成物理访问日志，定期或发生安全事件时，审查物理访问日志；安装物理入侵警报装置；

关键信息基础设施运营者应对公开来源的网站信息（如社交网站信息）进行监测，以确定组织信息是否已被未经授权的方式披露；

采用白名单、黑名单等方式，在网络出入口以及系统主机、移动计算设备上实施恶意代码防护机制，并配置恶意代码防护机制，定期扫描信息系统，检测到恶意代码及时阻断或隔离恶意代码；在系统出入口或网站中工作站、服务器或移动计算设备上部署垃圾信息检测与防护机制，确保恶意代码和垃圾信息防护机制及时更新。

（2）信息通报

关键信息基础设施运营者应根据国家行业主管或监管部门关键信息基础设施网络安全信息通报制度的要求；

关键信息基础设施运营者应以适当的方式参与本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度，持续接收行业主管或监管部门发布的安全风险、预警信息和应急防范措施建议。

2.2.2.5、应急处置

关键信息基础设施运营者应制定组织的网络安全事件预警，明确机构职责，确立预警监测、研判发布、预警响应、警报解除等流程，对预案演练、宣传、培训等工作进行规划，落实保障措施；定期培训、演练，总结和改进。

2.2.3

2.2.3.1合规检查

合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求，输出是否合规的结论，对不合规的具体项目进行说明，采取的方法包括现场资料核实、人员访谈、配置核查等形式。

2.2.3.2技术检测

技术检测分为主动方式和被动方式，主动方式是采用专业安全工具，配合专业安全人员，选取合适的技术检测接入点，通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段，采取远程检测和现场检测相结合的方式，发现其安全性和可能存在的风险隐患，也可参考其他安全检测资料和报告，对技术检测结果进行验证。

被动方式是辅助监测分析手段，通过选取合适的监测接入点，部署相应的监测工具，实时监测并分析检查评估对象的安全状况，发现其存在的安全漏洞、安全隐患。两种技术检测方式最终输出技术检测结果。

2.2.3.3 分析评估

分析评估是围绕关键信息基础设施承载业务特点，对关键信息基础设施的关键属性进行识别和分析，依据技术检测发现的安全隐患和问题，参考风险评估方法，对关键属性面临的风险进行风险分析进而对关键信息基础设施的整体安全状况的评估。

2.2.4 关键信息基础设施边界确定方法

2.2.4.1 业务安全性原则

CII （关键信息基础设施）的重要性不是指组成 CII 的网络设施、信息系统很重要，而是因为 CII 所支撑的关键业务非常重要。CII 一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务正常运行，进而危害国家安全、经济安全、社会稳定、公众健康和安全。因此，CII 边界识别应以保障关键业务安全为基本原则，将关键业务持续、稳定运行不可或缺的网络设施、信息系统识别出来，明确 CII 元素、确定 CII 边界。

注:例如，2G 移动通信网络曾是国家重点保护目标，时至今日，支撑 2G 移动通信业务的网络设施、信息系统已失去了重点保护的意义，因为 2G 移动通信业务已被 3G、4G 通信业务所取代。

2.2.4.2整体性原则

随着经济社会的不断发展，业务规模越来越大，不同业务模块、子业务之间相互依赖、彼此支撑，CII 边界识别应注重关键业务的整体性，确保关键业务的完整性，避免遗漏。此外，跨行业、跨领域已是普遍现象，涉及多个运营者的，应加强信息共享和联动协调，确保 CI]边界识别是从保障整个关键业务安全的角度开展。

注:例如，导航业务涉及到卫星、通信链路和直接向用户提供导航服务的三个部分，且每部分由不同的运营者负责经营。每个运营者在开展CII 边界识别时，首先应确保自身经营业务的完整，还应注重整体协调，从保障整个导航业务持续、稳定的角度考虑。

2.2.4.3重要性原则

在 CII 运营者所有网络设施、信息系统中，有些网络设施、信息系统对关键业务的持续、稳定运行是至关重要的，有些网络设施、信息系统仅仅是比较重要的，甚至有一些网络设施、信息系统对关键业务是无关紧要的，因此，开展 CII 边界识别应聚焦一旦遭到破坏、丧失功能或者发生数据泄露，会严重危害关键业务持续、稳定运行的网络设施、信息系统，严格控制范围。

2.2.4.4 动态识别原则

CII 与关键业务之间的支撑、依赖关系是动态的，而非静态的。CII 边界识别应采用动态工作方式及时更新 CII 边界信息。

当 CII 运营者的组织结构、业务架构、从属关系等发生重大调整时，应及时实施边界识别工作，确保CII 边界及时调整。

2.2.5 关键信息基础设施网络安全应急体系框架

2.2.6 关键信息基础设施安全防护能力评价方法

2.2.7 关键信息基础设施信息技术产品供应链安全要求