深信服官方微信 深信服移动官网 深圳市南山区学苑大道1001号南山智园A1栋 咨询热线 400-806-6868 服务热线 400-630-6430 www.sangfor.com.cn 《网络安全法》 （解读） Cybersecurity Law 责任要求 条文解读 合规建议深信服智安全 深信服c智安全 专注做实用的安全， 让每个组织的安全建设更有效、更简单！ 网络安全法 网络安全法 概述 网络安全法是我国第一部网络安全领域的法律，是保障网 络安全的基本法， 与 《国家安全法》 、 《反恐怖主义法》 、 《刑法》、《保密法》、《治安管理处罚法》、《计算机信息系统安全保护条例》等现行法律法规共同构成中国关 于网络安全管理的法律体系。责任导读 主 管单位第八条：明确网络安全的监管责任 第十九条：开展网络安全宣传教育第三十条：规范职能，防止权力滥用第四十五条：执法部门的职业保密要求第五十条：网络信息安全监管职责第五十二条：建立行业层面的网络安全监测预警和信息通报制度第五十一条、第五十三条、第五十四条、第五十五条、第五十八条：网络安全事件应急响应与处置审计监管 安全教育职业保密监测预警 通报 应急响应 与处置 网 络运营者层面第九条、第二十一条、第二十四条、 第二十五条、第二十八条、第四十二条、第四十七条、第五十六条：网络运营者承担的义务第四十条：用户信息保护第四十一条：个人信息的收集与保护第四十条：“删除权”第四十四条：严禁“非法出售”第四十九条：投诉举报制度及责任人防病毒和 网络入侵 网络监测与 日志存储 数据分类、 备份与加密 网络应急预案个人信息保护网络安全法 网络安全法 国 家层面第一条：制法目的 第五条：国家采取手段处理网络安全风险第六条：构建网络安全良好环境第七条：开展网络空间治理第十三条：未成年人在网络环境中的保护第十五条：促进网络安全人才培养第二十条：促进网络安全人才培养第五十一条：建立网络安全监测预警和信息通报制度 其他第十一条：相关行业组织规范第十二条：个人和组织网络行为规范第十四条：举报维权第二十六条：网络安全认证、检测和风险评估须遵守国家规定第二十九条：情报交换与风险评估关 键基础设施运营者第三十一条：关键基础设施相关定义 第三十二条：安全保护工作第三十三条：建设工作第三十四条：关键信息基础设施运营者的义务第三十五条：相关安全产品的采购第三十六条：采购保密协议第三十七条：重要数据境外输出的安全评估第三十九条：风险评估和信息共享安全建设 安全保护安全审查保密要求境内存储检测评估 网 络产品和服务提供者第十条： 对产品和服务在数据安全方面的要求 第十六条： 国家鼓励加大投入、重点扶持、保护 知识产权、支持创新项目第十七条： 关于网络安全的认证、检测和风险评 估工作 第十八条： 开发数据安全保护技术，促进公共数 据资源开放 第二十二条：第二十七条：网络产品和服务提供 者的义务 第二十三条： 网络安全产品的检测与认证 第三十五条：关键信息基础设施运营者的产品和 服务的采购 第三十六条：保密协议 第三十八条：检测评估工作 第四十八条： 电子信息、软件下载的数据安全符合国家标准 强制性要求 及时告知漏洞 等风险 不得擅自终止 维护服务 专用产品经过 检测和认证 专用产品签署 保密协议网络安全法 网络安全法 02 01 目录 CONTENTS条文解读 第一章 总则 02 第二章 网络安全支持与促进 06 第三章 网络运行安全 08 一般规定 08 关键信息基础设施的运行安全 12 第四章 网络信息安全 15 第五章 监测预警与应急处置 18第六章 法律责任 21第七章 附则 27第一章 总则 第一条 为了保障网络安全，维护网络空间主权和国家安全、社 会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。 解读：本条指明网络安全法的制定目的。 第二条 在中华人民共和国境内建设、运营、维护和使用网络， 以及网络安全的监督管理，适用本法。 解读：本条指明了网络法的适用范围。 第三条 国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。 第四条 国家制定并不断完善网络安全战略，明确保障网络安全 的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。 解读：未来国家可能会出台网络安全战略，网络安全上升到国家战略层面。网络安全法 网络安全法 04 03 第二十一条 国家实行网络安全等级保护制度。网络运营者应当 按照网络安全等级保护制度的要求，履行下列安全保护义务，保 障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负人， 落实网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安 全行为的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技术措 　 　　　施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施； （五）法律、行政法规规定的其他义务。 解读：1·国家实行网络安全等级保护制度，不做等保相当于不合法。 2·网络安全法要求明确责任人，出现安全事故，直接负责人需要承担责 任并且接受法律处罚。 3·网络中应有防范病毒入侵、网络攻击的能力。 4·网络日志不仅仅是要保存，而且需要存储不少于6个月。 5·做好数据的分类、备份和加密。第五条 国家采取措施，监测、防御、处置来源于中华人民共和 国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。 第六条 国家倡导诚实守信、健康文明的网络行为，推动传播社 会主义核心价值观，采取措施提高全社会的网络安全意识和水 平，形成全社会共同参与促进网络安全的良好环境。 解读：全民普及并提升安全意识。企业和组织管理好网络并规范好上网行为， 净化网络；个人依法上网，加强自我防范意识。 第七条 国家积极开展网络空间治理、网络技术研发和标准制 定、打击网络违法犯罪等方面的国际交流与合作，推动构建和 平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。 解读：表明国家在网络安全领域开放合作的立场。本条款说明将来国家会有配 套的制度、标准出台。 第八条 国家网信部门负责统筹协调网络安全工作和相关监督管 理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。解读：这一条明确了网络安全的监管责任。目前在国家层面主要是中央网信办 网络安全协调局负责统筹协调，工信部网络安全管理局负责网络安全相关管理工作，公安部网络安全保障局负责安全保障工作。 第九条 网络运营者开展经营和服务活动，必须遵守法律、行政 法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全 保护义务，接受政府和社会的监督，承担社会责任。 解读：表明了网络运营者要承担的一般性义务。 第十条 建设、运营网络或者通过网络提供服务，应当依照法 律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。 解读：保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪 活动，维护网络数据的完整性、保密性和可用性都是网络运营者要做的工作。 第十一条 网络相关行业组织按照章程，加强行业自律，制定网 络安全行为规范，指导会员加强网络安全保护，提高网络安全保 护水平，促进行业健康发展。 解读：明确了行业组织的责任义务。 第十二条 国家保护公民、法人和其他组织依法使用网络的权利第二十二条 网络产品、服务应当符合相关国家标准的强制性要 求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关