网络安全保障工作规范2019

A. 如何保障网络安全

法律分析：
国家对网络安全行业越来越重视，未来人才培训和产业规模发展前景可观，如何规范，保障网络安全行业健康发展，国家出台了一系列相关法规政策：
2016年11月：《中华人民共和国网络安全法》，于2017年6月1日开始实施。主要强调了金融、能源、交通、电子政务等行业在网络安全等级保护制度的建设，是我国第一部网络空间管理方面的基础性法律。
2017年1月：《关于促进互联网健康有序发展的意见》，意见要求要加快完善市场准入制度，提升网络安全保障水平，维护用户合法权益、打击网络违法犯罪、增强网络管理能力，防范移动互联网安全风险。
2018年3月：《关于推动资本市场服务网络强国建设的指导意见》，意见重点强调要推动网信事业和资本市场协调发展，保障国家网络安全和金融安全，促进网信和证券监督工作联动。
2019年3月：《中央企业负责人经营业绩考核办法》，将网络安全纳入考核范围。
2019年10月：《中华人民共和国密码法》，将规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提出了国家对密码实行分类管理。
2019年5月24日：《网络安全审查办法（征求意见稿）》，由国家网信办发布。
2019年7月2日：《云计算服务安全评估办法》，由国家网信办、发改委、工信部及财政部。

法律依据：
《中华人民共和国网络安全法》 第一条 为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

B. 在中华人民共和国境内建设运营什么和使用网络

      国家坚持网络安全与信息化发展并重，遵循积极利用、科告厅行学发展、依法管伏燃理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，袜哗建立健全网络安全保障体系，提高网络安全保护能力。

     在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

      根据《中华人民共和国网络安全法》第十条规定，建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

C. 新疆维吾尔自治区网络安全管理条例

第一章总则第一条为了维护国家安全和社会公共利益，保障网络安全，保护公民、法人和其他组织的合法权益，实现自治区社会稳定和长治久安，根据《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》和有关法律法规，结合自治区实际，制定本条例。第二条自治区行政区域内建设、运营、维护和使用网络以及网络安全的监督管理，适用本条例。第三条自治区网络安全工作坚持党的领导，坚持党组织全覆盖。

自治区建立健全网络安全保障体系，强化网络安全监督管理，鼓励网络技术创新和应用，加强网络安全人才培养，提高网络安全保护能力。第四条自治区实行网络安全综合治理。各级人民政府、行业主管或者监管部门应当依法履行相应职责；网络运营者、网络使用者应当遵守法律法规和本条例规定，享有法定权利，履行法定义务。

国家机关、人民团体、企事业单位和个人应当积极参与、相互配合，共同维护网络安全秩序。

按照确保网络安全、谁主管谁负责和属地管理的原则，自治区实行网络安全责任制和年度目标责任考核制，并将其纳入社会治安综合治理。第五条自治区网信部门负责统筹协调自治区行政区域内网络安全工作和相关监督管理工作，建立统一指挥、协同配合、资源共享、高效处置的网络安全工作机制，编制并组织实施自治区网络安全规划。

州（市、地）县（市、区）网信部门负责统筹协调本行政区域网络安全工作和相关监督管理工作。

县级以上通信、公安、经信、保密等部门依照有关法律法规和本条例的规定，在各自职责范围内负责网络安全保护和监督管理的相关工作。

国家安全机关在网络领域依法行使维护国家安全的职责。第六条网信、通信、公安等部门应当设置举报平台，公示举报电话和电子邮箱。任何个人和组织有权对危害网络运行安全、信息安全的行为进行举报。接到举报的部门应当依法及时作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

有关部门应当对举报人的相关信息予以保密，并对举报有功人员进行奖励。第七条自治区倡导诚实守信、健康文明的网络行为，建立完善网络安全宣传教育制度和政府、学校、家庭、社会相衔接工作机制，经常性地开展网络安全宣传教育活动，把网络安全法律法规纳入普法内容，增强公民特别是青少年的法治意识和网络安全意识。第二章网络安全保障与促进第八条自治区人民政府应当加大投入，制定促进网络安全产业发展的政策措施，支持多语种等网络安全技术研发和高科技产品推广，支持高等院校、科研机构和企业围绕社会稳定和长治久安，开展网络安全技术创新，研究开发网络安全新技术、新产品。

县级以上人民政府应当依据国家和自治区网络安全规划，建立健全网络安全保障机制，加大对网络安全技术防护、网络安全监测、网络安全风险评估、网络安全应急响应，以及网络安全宣传教育培训等方面的投入。第九条自治区督促网络运营者采用国家和行业标准，支持高校、科研机构、企业和网络相关行业组织参与网络安全国家标准、地方标准和行业标准的制定。第十条自治区网信部门应当统筹协调有关部门建立网络安全保障工作机制，完善网络安全防护体系，提高网络安全风险预测和管控能力。第十一条县级以上网信部门应当对本行政区域内投资规模较大、跨部门、跨行业、涉及国计民生的信息化项目的安全性和可能存在的风险，组织进行论证评审。

各行业、各部门应当对本行业、本部门信息化项目的安全性和可能存在的风险，组织进行论证评估。第十二条网络运营者应当遵守法律法规的规定，享有法定权利，承担社会责任，履行网络安全保护义务，在进行网络建设、运营和服务时，应当执行国家标准的强制性要求，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性，保障网络安全、稳定运行。

网络运营者应当确保网络安全经费投入，保障网络安全技术防护设施建设、运行维护、人员培训、安全测评等网络安全所需资金。第十三条网络运营者应当履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，严格身份认证和权限管理；

（二）采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；

（三）加强技术监控，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据容灾备份和加密认证等措施；

（五）法律、法规规定的其他义务。

D. 中华人民共和国网络安全法

第一章总 则第一条为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。第二条在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。第三条国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。第四条国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。第五条国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。第六条国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。第九条网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第十一条网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。第十二条国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。第十三条国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。第二章网络安全支持与促进第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。第十六条国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

E. 等级保护2.0国家标准

网络安全等级保护制度》2.0国家标准发布，其中关于企业数据保护有以下要求：应提供重要数据的本地数据备份与恢复能力；应提供异地数据备份功能，利用通信网络能将重要数据定时批量传送至备用场地，应识别需要定期备份的重要业务信息、系统数据及软件系统等；应规定备份信息的备份方式、备份频度、存储介质、保质期等；应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份程序和恢复程序等。该标准的发布标志着我国网络安全等级保护工作正式进入“2.0时代”。等级保护工作的落实有效提升了我国的网络安全防护能力。等保2.0的发布，是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充，是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。
【拓展资料】
国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于2019年12月1日开始实施。
发布会由市场监督管理总局新闻宣传司领导主持。市场监督管理总局标准技术司副司长通报国家标准制定流程改革情况并发布重要国家标准。公安部信息安全等级保护评估中心规划咨询部副主任陈广勇对《信息安全技术网络安全等级保护基本要求》国家标准进行了解读。
信息安全等级保护制度是国家信息安全保障工作的基础，也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作，发现企业网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。
相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系，为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，2018年公安部正式发布《网络安全等级保护条例（征求意见稿）》，国家对信息安全技术与网络安全保护迈入2.0时代。
据了解，原来的保护对象主要包括各类重要信息系统和政府网站，保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等，在此基础上，等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象，并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
有国内专业机构表示，等保2.0国家标准对比等保1.0，在保护范围、法律效力、技术标准、安全体系、定级流程、定级指导等方面均发生变化，信息安全系统改造在即。等保2.0做出对关键信息基础设施“定级原则上不低于三级”的指导，测评分数的要求由60分提升至75分以上，且第三级及以上信息系统每年或每半年就要进行一次测评。国家重点行业将带头加大信息安全产品和咨询服务的持续投入。回顾我国信息安全产业曾在等保1.0影响下进入加速发展期，专家预计，等保2.0将继续带动行业大发展，至少打开百亿级以上增量市场空间。

F. 儿童个人信息网络保护规定

儿童个人信息网络保护规定是什么？

第一条为了保护儿童个人信息安全，促进儿童健康成长，根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规，制定本规定。

第二条本规定所称儿童，是指不满十四周岁的未成年人。

第三条在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动，适用本规定。

第四条任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

第五条儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全。

第六条鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等，加强行业自律，履行社会责任。

第七条网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

第八条网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

第九条网络运营者收集、使用、转移、披露儿童个人信息的，应当以显着、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。

第十条网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：

（一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；

（二）儿童个人信息存储的地点、期限和到期后的处理方式；

（三）儿童个人信息的安全保障措施；

（四）拒绝的后果；

（五）投诉、举报的渠道和方式；

（六）更正、删除儿童个人信息的途径和方法；

（七）其他应当告知的事项。

前款规定的告知事项发生实质性变化的，应当再次征得儿童监护人的同意。

第十一条网络运营者不得收集与其提供的服务无关的儿童个人信息，不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。

第十二条网络运营者存储儿童个人信息，不得超过实现其收集、使用目的所必需的期限。

第十三条网络运营者应当采取加密等措施存储儿童个人信息，确保信息安全。

第十四条网络运营者使用儿童个人信息，不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要，确需超出约定的目的、范围使用的，应当再次征得儿童监护人的同意。

第十五条网络运营者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。工作人员访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息。

第十六条网络运营者委托第三方处理儿童个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处理事项、处理期限、处理性质和目的等，委托行为不得超出授权范围。

前款规定的受委托方，应当履行以下义务：

（一）按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息；

（二）协助网络运营者回应儿童监护人提出的申请；

（三）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向网络运营者反馈；

（四）委托关系解除时及时删除儿童个人信息;

（五）不得转委托；

（六）其他依法应当履行的儿童个人信息保护义务。

第十七条网络运营者向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估。

第十八条网络运营者不得披露儿童个人信息，但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。

第十九条儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

第二十条儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的，网络运营者应当及时采取措施予以删除，包括但不限于以下情形：

（一）网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的；

（二）超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的；

（三）儿童监护人撤回同意的；

（四）儿童或者其监护人通过注销等方式终止使用产品或者服务的。

第二十一条网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。

第二十二条网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。

第二十三条网络运营者停止运营产品或者服务的，应当立即停止收集儿童个人信息的活动，删除其持有的儿童个人信息，并将停止运营的通知及时告知儿童监护人。

第二十四条任何组织和个人发现有违反本规定行为的，可以向网信部门和其他有关部门举报。

网信部门和其他有关部门收到相关举报的，应当依据职责及时进行处理。

第二十五条网络运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，由网信部门依据职责进行约谈，网络运营者应当及时采取措施进行整改，消除隐患。

第二十六条违反本规定的，由网信部门和其他有关部门依据职责，根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理；构成犯罪的，依法追究刑事责任。

第二十七条违反本规定被追究法律责任的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第二十八条通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的，依照其他有关规定执行。

第二十九条本规定自2019年10月1日起施行。

G. 【2019年整理】等级保护标准体系简介

网络安全保护等级定义：

网络安全等级保护是指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。网络安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高网络安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

实行网络安全等级保护制度，能够充分调动国家、公民、法人和其他组织的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国网络安全的发展将起到重要推动作用。

二、网络安全保护等级划分

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

三、网络安全等级定级流程

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例

H. 专家解读2019年《网络安全法》草案

一、重大历史进步

网络安全不是今天才重要，网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务，可见决心之巨。只是网络安全立法之路实在艰辛，时国务院信息办审时度势，由信息安全条例角度入手，并连续数年推动其列入国务院法制办二类立法计划，之后未能再进一步。2008年后，国务院信息办职能整体划转至工业和信息化部，有关方面意识到制定条例未必就比人大立法容易，且国务院行政法规无力调整现行上位法的法律规定，遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法，国家立法资源有限，每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法，还要考虑工业立法，一半指标已不得用，而信息化方向还有一部历史更为悠久的电信法望眼欲穿，信息安全法终究连个队都没排上。期间，人大建议、政协提案不计其数，社会公众翘首以盼，均无果。

此次草案公开征求意见，表明这项工作进入了实质性立法程序，这是一个重大历史进步。欢欣鼓舞之所在，不是因为草案具体内容，而源于征求意见本身的象征意义。时至今日，我们对网络安全立法不是搞清楚、看明白了，而是问题更多、更复杂了，很多观点分歧可能更大了，网络安全立法难度不降反升，但突破恰恰在此时。中央网络安全和信息化领导小组成立后，中央领导同志英明决策，切实将网络安全提升到了国家安全和发展的高度，不但作出“网络强国”的全局战略部署，更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等，无一不历经多年论证而蹉跎，今朝方开花结果。

诚然，网络安全立法工作十分艰巨，草案肯定有这样那样的问题，但今天的一小步，是国家网络安全工作的一大步。我们应该宽容它、呵护它，使其不断成熟、更加科学，成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志，确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多，还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法，这些“软性”法律规定确有必要，其意在于宣示国家网络安全工作的基本原则，明确建设网络安全保障体系的主要举措，从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼，驱动之双轮，要坚持以安全保发展、以发展促安全，不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。要努力实现技术创新和体制机制创新，不断增强维护网络安全的新思路、新方法、新举措、新本领，而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释，且一笔带过，然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题，中国对广泛开展国际合作持积极态度，合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等，目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年 实践 和各国经验表明，网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立，有必要通过立法增强领导小组及其办公室的权威性。草案规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括，对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作，由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作，由网信部门会同国务院有关部门制定办法或组织实施。由此，政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要，首先是要制定网络安全国家战略，对外宣示主张，对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划，确保战略落地，确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系，充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入，以加快产业发展，深化技术研发，提升网络安全创新能力。

九是做好宣传教育和 人才 培养工作。首先，要开展经常性的网络安全宣传教育;其次，要通过学历教育和在职培训，采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线(即基本要求)，其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多，当前需要立法规范的事项也很多，于是就有了综合法与专门法的争议。一个基本事实是，目前世界上鲜见网络安全的综合法，有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护，近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法(《电子签名法》不应该计算在内)，草案首先要体现综合性，其侧重点应该在以下四个方面：

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供法律依据，体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次，这些规定和措施往往经过了实践检验，部门间争议较小，有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架，这些基本制度带有全局性、基础性，是推动基础性工作、夯实基础能力所必需。

此外，为了突出实用性，草案还应部分体现专门法的特点。这应从三个方面去考虑：

一是实施重点防护，对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如，信息系统安全受控于人是我们面临的心腹大患，斯诺登事件使我们进一步看清风险所在，这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看，草案比较好地处理了综合法与专门法的关系问题，但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开)，或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法，原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外，草案没有突出对公民个人权益的更多保护，如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘，这不能不说是小的遗憾。

五、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“CyberSecurity”之译，非“NetworkSecurity”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对于“网络安全”，则按“网络空间安全”去解释即可。

另外，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。

I. 三化六防内容是什么

网络安全工作的“三化六防”措施，即实战化、体系化、常态化的思路，以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施，进一步研究绘制网络空间地理信息图谱，构建国家网络空间综合防控系统闷并辩，不断提升国家网络安全防御的能力和水平。
关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之蔽老重。《条例》是我国首部专门针对关键信息基础设施安全保护工作的行政法规，在关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等方面进行了界定和规范，为加强关键信息基础设施安全保护工作提供了重要法治保障。
公安部今年出台文件，提出网络安全“新目标、新理念、新举措、新高度”的“四新”要求。核心内容是“三化六防”措施的落实，三化即实战化、体系化、常态化，六防即动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控。当前网络安全工作应按照问题导向、实战化引领原则，从防御迈向对抗，组建网络安全“航母战斗群”，实现网络安全的体系化作战。
早在2019年10月31日，三大运营商公布了5G商用套餐，并于当年11月1日正式上线，这标志着我国正式进入5G商用时代。
场景实验室创始人吴声表示，数字化的人进化为场景化的人，以人为中心的连接走向深入，5G商业进入场景化互联新篇章。场景时代，数据流动的可信、安全将定义企业新竞争力，以亚信安全为代表的企业正在推动以场景驱动的敏捷协同安全网络的构建，以实现数字生活的安全可信、友好可持续。
法律依据
《中华人民共和国网络安全法》
第三条 国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全蚂缺保障体系，提高网络安全保护能力。