信息來源：安全牛

前言

隨著我國信息化建設的不斷推進和互聯(lián)網(wǎng)應用的日趨普及，網(wǎng)絡安全問題層出不窮：網(wǎng)絡入侵、網(wǎng)絡攻擊等非法活動威脅了我國信息安全；非法獲取、倒賣公民信息、侵犯知識產(chǎn)權損害了我國公民的合法利益；危害國家安全、社會穩(wěn)定與公共利益的不良信息借助網(wǎng)絡迅速傳播。反觀國外，包括歐盟、美國、日本在內(nèi)的國家或組織紛紛制定了與網(wǎng)絡安全相關的法律。

因此，《網(wǎng)絡安全法》的制定對我國相關立法工作的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實黨中央決策部署的重要舉措，是維護網(wǎng)絡安全的客觀需要，是維護大眾切身利益的必然要求，也是我國參與互聯(lián)網(wǎng)國際競爭和國際治理的必然選擇。

《網(wǎng)絡安全法》的頒布實施，最重要的意義在于它把網(wǎng)絡安全工作以法律形式提高到了國家安全戰(zhàn)略的高度，并將信息安全等級保護制度上升為法律，成為維護國家網(wǎng)絡空間主權、安全和發(fā)展利益的重要舉措。同時，它的出臺也符合維護網(wǎng)絡安全的客觀需要，提高了全社會網(wǎng)絡安全保護的意識和能力，確保今后網(wǎng)絡使用更加安全、開放和便利。

關鍵內(nèi)容

√ 基于《網(wǎng)絡安全法》要求，對近期與該法相關的法規(guī)標準進行了歸納總結，從而為組織機構在法律應對與實施的具體操作中提供參考指南；同時，本指南還識別了其他國家和地區(qū)的相關法規(guī)和標準，從而為國內(nèi)組織機構在應對、實施《網(wǎng)絡安全法》時提供對比和參考內(nèi)容。

√ 本指南從網(wǎng)絡安全管理、網(wǎng)絡安全技術和個人信息保護等三方面的法律、法規(guī)監(jiān)管要求出發(fā)，為組織機構提供了合規(guī)差距分析的參考維度及相應的合規(guī)要求；同時，在合規(guī)應對實施環(huán)節(jié)，從網(wǎng)絡運營安全、網(wǎng)絡信息安全及關鍵信息基礎設施保護等三方面，就“相關責任方”、“管理措施”及“技術措施”等三個維度總結了具體實施要點。

√ 為確保組織機構建立完善的信息安全管理體系，本指南以信息安全等級保護制度和網(wǎng)絡安全等級保護及其他法規(guī)要求為基礎，總結并設計出了包括安全策略、安全管理和安全技術在內(nèi)的等級保護體系；同時，基于《網(wǎng)絡安全法》中對組織人員能力和意識的要求，給出了相應的教育模型和培訓案例，最終實現(xiàn)組織信息安全的持續(xù)改進。

引言

2017年6月1日正式實施的《網(wǎng)絡安全法》具有里程碑式的意義。它不僅是我國第一部網(wǎng)絡安全的專門性綜合性立法，提出了應對網(wǎng)絡安全挑戰(zhàn)這一全球性問題的中國方案，彰顯了黨和國家對網(wǎng)絡安全問題的高度重視，同時，它還是我國網(wǎng)絡安全法治建設的重要里程碑，使得今后我國網(wǎng)絡安全管理工作步入法制化軌道，信息安全行業(yè)將由合規(guī)性驅動過渡到合規(guī)性和強制性驅動并重的新階段。

《網(wǎng)絡安全法》在網(wǎng)絡空間主權、國家網(wǎng)絡安全等級保護制度、關鍵信息基礎設施保護、網(wǎng)絡運營者、網(wǎng)絡產(chǎn)品和服務提供者義務、保障網(wǎng)絡信息安全，個人信息保護、關鍵信息基礎設施重要數(shù)據(jù)跨境傳輸、監(jiān)測預警與應急處置等方面做出明確規(guī)定。因此，國內(nèi)組織機構，特別是涉及關鍵信息基礎設施的行業(yè)機構在踐行《網(wǎng)絡安全法》時，一方面應切實履行好自身網(wǎng)絡安全工作的責任與義務，另一方面，還需要依據(jù)《網(wǎng)絡安全法》的法律要求進行落地實施，有效提高自身的網(wǎng)絡安全保護水平。

一、《網(wǎng)絡安全法》概述

1. 立法背景

2014年2月中央網(wǎng)絡安全和信息化領導小組成立，標志著我國把網(wǎng)絡安全提升到了國家安全的高度并開始醞釀網(wǎng)絡安全法編寫工作；2015年6月十二屆全國人大常委會審議了《網(wǎng)絡安全法（草案）》，2016年7月二次審議稿正式在中國人大網(wǎng)公布，并向社會公開征求意見；2016年11月7日，歷經(jīng)全國人大常委會兩次審議的關于我國網(wǎng)絡安全管理的法律《中華人民共和國網(wǎng)絡安全法》最終審議通過，并于2017年6月1日正式實施。

與國外立法相比，《網(wǎng)絡安全法》歷經(jīng)三年就發(fā)布實施無疑是快速的。這是因為中國當前的網(wǎng)絡安全迫切要求。網(wǎng)絡已經(jīng)深刻地融入了中國經(jīng)濟社會生活的各個方面，網(wǎng)絡安全威脅也隨之向經(jīng)濟社會的各個層面滲透，網(wǎng)絡安全的重要性隨之不斷提高。

一方面，黨的十八大以來，國家主管部門加強了國家網(wǎng)絡安全工作并做出了重要的部署，對加強網(wǎng)絡安全法制建設提出了明確的要求，制定《網(wǎng)絡安全法》是適應我們國家網(wǎng)絡安全工作新形勢、新任務，落實中央決策部署，保障網(wǎng)絡安全和發(fā)展利益的重大舉措，是落實國家總體安全觀的重要舉措。另一方面，中國是網(wǎng)絡大國，也是面臨網(wǎng)絡安全威脅最嚴重的國家之一，迫切需要建立和完善網(wǎng)絡安全的法律制度，提高全社會的網(wǎng)絡安全意識和網(wǎng)絡安全保障水平，使我們的網(wǎng)絡更加安全、更加開放、更加便利，也更加充滿活力。

在這樣的形勢下，制定網(wǎng)絡安全法是維護國家廣大人民群眾切身利益的需要，是維護網(wǎng)絡安全的客觀需要，是落實國家總體安全觀的重要舉措。

2. 立法意義

《網(wǎng)絡安全法》旨在保障我國網(wǎng)絡安全，維護網(wǎng)絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展。其立法的意義主要體現(xiàn)在以下幾點：

• 該法從法律層面上把我國網(wǎng)絡安全工作提高到了國家安全戰(zhàn)略的高度，強調(diào)對關鍵信息基礎設施及個人信息數(shù)據(jù)的保護，明確了國家、主管部門、網(wǎng)絡所有者、運營者及普通用戶各自的責任以及違規(guī)后的相關處罰。
• 該法律的出臺對我國互聯(lián)網(wǎng)安全管理具有重大意義，是我國網(wǎng)絡安全法律法規(guī)體系建設的一個重要里程碑，為我國網(wǎng)絡安全工作提供了法律依據(jù)。
• 從企業(yè)角度來看，該法律將強化互聯(lián)網(wǎng)監(jiān)管力度，規(guī)范網(wǎng)絡空間秩序，為企業(yè)“互聯(lián)網(wǎng)+”業(yè)務的發(fā)展營造良好的環(huán)境。
• 從個人角度來看，在當前個人信息因信息管理出現(xiàn)漏洞而被泄露并違法使用，進而導致個人權利和利益頻遭侵害的背景下，該法律對個人信息保護提出了明確要求，從而有效地保障了公民權利。

3. 內(nèi)容概述

3.1 法律內(nèi)容

《網(wǎng)絡安全法》全文共7章79條。其中，第三章“網(wǎng)絡運行安全”和第四章“網(wǎng)絡信息安全”分別對網(wǎng)絡運營者、關鍵信息基礎設施的網(wǎng)絡運行和個人信息管理做了詳細說明。

《網(wǎng)絡安全法》章節(jié)概覽

3.2 保護對象

縱觀法律全文，《網(wǎng)絡安全法》的重點保護對象主要針對第三章第二節(jié) “關鍵信息基礎設施的運行安全”中的“關鍵信息基礎設施”和第四章“網(wǎng)絡信息安全”中的“個人信息”。

1) 關鍵信息基礎設施

由于關鍵信息基礎設施在國家網(wǎng)絡安全中有著舉足輕重的作用，因此，國家對重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。

關鍵信息基礎設施保護范圍：

• 政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位；
• 電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位；
• 國防科工、大型裝備、化工、食品藥品等行業(yè)領域科研生產(chǎn)單位；
• 廣播電臺、電視臺、通訊社等新聞單位；
• 其他重點單位。

* 以上關鍵信息關鍵基礎設施的范圍參考了網(wǎng)信辦2017年7月發(fā)布的《關鍵信息基礎設施安全保護條例（征求意見稿）》

2) 個人信息

個人信息是指以電子或其他方式記錄的能夠單獨或與其他信息結合識別自然人身份的各種信息，包括與確定自然人相關的生物特征、位置、行為等信息，如姓名、出生日期、身份證號、個人賬號信息、住址、電話號碼、指紋、虹膜等。

*以上個人信息的定義參考了全國信息安全標準化技術委員會2016年12月發(fā)布的《個人信息安全規(guī)范(征求意見稿)》

3.3 保護方法

《網(wǎng)絡安全法》中涉及的保護方法主要有以下幾種：

1) 實施等級保護

《網(wǎng)絡安全法》第二十一條規(guī)定“網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改”。

2) 網(wǎng)絡運行安全和關鍵信息基礎設施保護

在確保網(wǎng)絡運行安全方面，要制定安全制度，落實安全職責，部署安全技術措施，防范網(wǎng)絡攻擊（第21條）；確保網(wǎng)絡產(chǎn)品和服務的安全性和合規(guī)性（第22條）；網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的安全認證和安全檢測（第23條）；建立網(wǎng)絡安全事件處置流程，及時啟動應急預案（第25條）；關鍵信息基礎設施的網(wǎng)絡安全與信息化應做到“三同步”（第33條）；設立信息安全專門機構和負責人，定期培訓考核，系統(tǒng)與數(shù)據(jù)容災備份，應急預案并定期演練（第39條)；采購安全產(chǎn)品與服務要接受主管部門的安全審查(第35條)；要與安全產(chǎn)品與服務方簽訂保密協(xié)議（第36條）；重要數(shù)據(jù)和個人信息跨境傳輸（第37條）；至少每年進行一次安全評估，并向主管部門上報評估結果；主管部門對關鍵信息基礎設施進行抽查檢測與評估（第38、39條）。

3) 個人信息保護

在個人信息保護方面，組織應制定敏感信息保護制度（第21(4)、37、40、45、47、48、50條）；網(wǎng)絡運營者收集、使用個人信息時，要向用戶明示并取得同意，不得超范圍濫用個人信息（第22、41、44、45條）；網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全（第42條）；個人有權要求網(wǎng)絡運營者刪除和更改其個人信息（第43條）；網(wǎng)絡運營者要對其內(nèi)部及外部用戶使用網(wǎng)絡行為進行監(jiān)督（第46、47、48條）；網(wǎng)絡運營者應當建立網(wǎng)絡信息安全投訴、舉報制度，配合主管部門的調(diào)查與處置（第49、50條）。

4) 網(wǎng)絡安全檢測與預警

為保障網(wǎng)絡安全，《網(wǎng)絡安全法》第二十一條還規(guī)定，“網(wǎng)絡運營者應當采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月”， 第五十二條規(guī)定，“負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度，并按照規(guī)定報送網(wǎng)絡安全監(jiān)測預警信息。”；第五十一條規(guī)定，國家層面上“國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門加強網(wǎng)絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息?！?

5) 網(wǎng)絡安全應急管理

《網(wǎng)絡安全法》第二十五條規(guī)定，“普通網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險；在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告?！埃坏谌臈l規(guī)定，“關鍵信息基礎設施的運營者除制定網(wǎng)絡安全事件應急預案外還應定期進行演練”。對于行業(yè)監(jiān)管者而言，第五十三條規(guī)定，“負責關鍵信息基礎設施安全保護工作的部門應當制定本行業(yè)、本領域的網(wǎng)絡安全事件應急預案，并定期組織演練”。國家層面，第三十九條規(guī)定，“網(wǎng)信部門定期組織關鍵信息基礎設施的運營者進行網(wǎng)絡安全應急演練，提高應對網(wǎng)絡安全事件的水平和協(xié)同配合能力”。

6) 網(wǎng)絡安全技術人才培養(yǎng)和安全意識宣傳

《網(wǎng)絡安全法》第三十四條規(guī)定，關鍵信息基礎設施的運營者還應當定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核； 第十九條則要求各級人民政府、有關部門應組織開展經(jīng)常性的網(wǎng)絡安全宣傳教育，并指導、督促有關單位做好網(wǎng)絡安全宣傳教育工作，大眾媒體應有針對性地面向社會進行網(wǎng)絡安全宣傳教育。

7) 職責落實與違規(guī)處罰

為確保《網(wǎng)絡安全法》順利實施，執(zhí)行有力，該法第六章“法律責任”對所涉及責任主體的違法懲處進行了詳細規(guī)定。

二、《網(wǎng)絡安全法》實施

為有效地推進《網(wǎng)絡安全法》的實施，總體可分為相關法規(guī)識別、合規(guī)差距分析、合規(guī)對應實施和體系持續(xù)完善四個步驟。本部分詳細描述前三個步驟，第三部分“信息安全體系完善”描述第四個步驟。

1. 相關法規(guī)識別

《網(wǎng)絡安全法》第八條規(guī)定：“國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責網(wǎng)絡安全保護和監(jiān)督管理工作。”因此，各網(wǎng)絡運營者在實施《網(wǎng)絡安全法》時，不僅要深入了解《網(wǎng)絡安全法》的要求，還需要參考其他配套的法規(guī)及標準，以確保《網(wǎng)絡安全法》的安全控制措施能有效落實。

近年來，主管部門及安全標準化機構發(fā)布了多個與《網(wǎng)絡安全法》實施相關的法規(guī)與標準，有的還處在征求意見當中。為方便各類機構在實施《網(wǎng)絡安全法》時加以參考，把最重要的相關法規(guī)與標準列表如下：

國內(nèi)近期發(fā)布《網(wǎng)絡安全法》相關法規(guī)標準

• 國外相關法律與規(guī)范識別

組織在實施《網(wǎng)絡安全法》時，可以根據(jù)自身的需要對其他國家和地區(qū)的相關法規(guī)和標準進行識別，其目的一方面使國內(nèi)機構借鑒國外的一些網(wǎng)絡安全最佳實踐，同時可以為國外組織在國內(nèi)實施網(wǎng)絡安全合規(guī)要求時，建立一個可以對比的參照系。

國外網(wǎng)絡安全相關法規(guī)

2. 合規(guī)差距分析

以《網(wǎng)絡安全法》為基礎，網(wǎng)絡運營者應從網(wǎng)絡安全管理、網(wǎng)絡安全技術和個人信息保護三方面綜合考慮各項法律、法規(guī)的監(jiān)管要求，通過對組織現(xiàn)狀的了解，對組織當前合規(guī)情況進行差距分析。

《網(wǎng)絡安全法》合規(guī)差距分析

3. 合規(guī)對應實施

《網(wǎng)絡安全法》具體合規(guī)實施時，可以從網(wǎng)絡運營安全、網(wǎng)絡信息安全及關鍵信息基礎設施保護三個方面，描述對應的保護要求和對應條款，分別從“相關責任方”、“管理措施”及“技術措施”三個維度分析其具體實施要點。以下舉例說明。

3.1 網(wǎng)絡運營安全控制措施

3.2 網(wǎng)絡信息安全控制措施

3.3 關鍵信息基礎設施安全控制措施

三、信息安全體系完善

按照《網(wǎng)絡安全法》實施網(wǎng)絡安全控制措施，是當前國內(nèi)各類組織在信息安全方面的重要實踐，但我們也要清醒地看到，落實法律的合規(guī)要求只是組織信息安全的最基本要求，法規(guī)不可能面面俱到。因此，就算組織逐條落實了法規(guī)的要求，也只是達到了合規(guī)的基本要求，也不能保證組織的信息安全體系達到一個完善的水平。

因此，在合規(guī)的基礎上，我們建議組織根據(jù)《網(wǎng)絡安全法》的要求，通過等級保護的方法來進一步完善信息安全保障體系，通過人員安全培訓與意識教育來提升組織的人員安全能力，通過持續(xù)安全評估與IT審計來推進安全體系持續(xù)完善。

1. 等級保護相關規(guī)范標準

信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進信息化健康發(fā)展，維護國家安全、社會秩序和公共利益的根本保障。

組織可以基于合規(guī)差距分析結果并參照網(wǎng)絡安全等級保護和其他法規(guī)對信息安全的要求，建立健全組織信息安全保障體系，部署并完善安全管理策略和安全技術措施，持續(xù)穩(wěn)定地提升信息安全水平。

到目前為止，國家制定與頒布了與等級保護相關的多個國家標準，一些重點行業(yè)也制定了本行業(yè)的信息安全等級保護標準，等級保護的方法近年來在國內(nèi)得到廣泛的應用。

已經(jīng)發(fā)布的等級保護相關標準：

• 計算機信息系統(tǒng)安全等級保護劃分準則(GB 17859-1999)（基礎類標準）
• 信息系統(tǒng)安全等級保護基本要求(GB/T 22239-2008)（應用類建設標準）
• 信息系統(tǒng)安全保護等級定級指南(GB/T 22240-2008)（應用類定級標準）
• 信息系統(tǒng)安全等級保護實施指南(GB/T 25058-2010)（基礎類標準）
• 信息系統(tǒng)等級保護安全設計技術要求(GB/T 25070-2010)（應用類建設標準）
• 信息系統(tǒng)安全等級保護測評要求(GB/T 28448-2012)（應用類測評標準）
• 信息系統(tǒng)安全等級保護測評過程指南(GB/T 28449-2012)（應用類測評標準）
• 信息系統(tǒng)通用安全技術要求(GB/T 20271-2006)（應用類建設標準）
• 信息系統(tǒng)安全管理要求(GB/T 20269-2006)（應用類管理標準）
• 信息系統(tǒng)安全工程管理要求(GB/T 20282-2006)（應用類管理標準）

正在征求意見的等級保護標準修訂稿

為配合國家落實《網(wǎng)絡安全法》，等級保護標準的名稱將由原來的GB/T22239-2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求》改為“信息安全技術 網(wǎng)絡安全等級保護基本要求”，標準由原來的一個標準變更為多個部分組成的標準，分別為：

• GB/T 22239.1 信息安全技術 網(wǎng)絡安全等級保護基本要求-第1部分 安全通用要求
• GB/T 22239.2 信息安全技術 網(wǎng)絡安全等級保護基本要求-第2部分 云計算安全擴展要求
• GB/T 22239.3 信息安全技術 網(wǎng)絡安全等級保護基本要求-第3部分 移動互聯(lián)安全擴展要求
• GB/T 22239.4 信息安全技術 網(wǎng)絡安全等級保護基本要求-第4部分 物聯(lián)網(wǎng)安全擴展要求
• GB/T 22239.5 信息安全技術 網(wǎng)絡安全等級保護基本要求-第5部分 工業(yè)控制安全擴展要求
• GB/T 22239.6 信息安全技術 網(wǎng)絡安全等級保護基本要求-第6部分 大數(shù)據(jù)安全擴展要求

等級保護對象由原來的信息系統(tǒng)，調(diào)整為：安全等級保護的對象包括網(wǎng)絡基礎設施、信息系統(tǒng)、大數(shù)據(jù)、云計算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)等。

等級保護相關的定級指南、測評指南、設計技術要求、測評要求、測評過程指南等相關標準也發(fā)布了相應的修訂版（征求意見稿）。

2. 等級保護體系的設計

等級保護的設計分為安全策略設計、安全管理設計及安全技術設計三個方面的內(nèi)容，形成信息安全保障體系的組織體系、策略體系、技術體系及運行體系。

2.1 總體安全策略設計

總體策略設計的目標是形成組織綱領性的安全策略文件，包括確定安全方針和安全策略兩方面的內(nèi)容。安全方針是闡明安全工作的使命和意愿，定義信息安全的總體目標，規(guī)定信息安全責任機構和職責，建立安全工作運行模式等；安全策略是說明安全工作的主要策略，包括安全組織機構劃分策略、業(yè)務系統(tǒng)分級策略、數(shù)據(jù)信息分級策略、等級保護對象互連策略、信息流控制策略等。

通過方針與策略的設計，以便組織可以結合等級保護基本要求系列標準、行業(yè)基本要求和安全保護特殊要求，構建機構等級保護對象的安全技術體系結構和安全管理體系結構。對于新建的等級保護對象，應在立項時明確其安全保護等級，并按照相應的保護等級要求進行總體安全策略設計。

2.2 安全管理體系設計

根據(jù)等級保護基本要求系列標準、行業(yè)基本要求、安全需求分析報告等，設計等級保護對象安全管理體系框架。主要是從安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面進行設計。

安全管理體系設計成果可分為四層。第一層為總體方針、安全策略，通過信息安全總體方針、安全策略明確機構信息安全工作的總體目標、范圍、原則等。第二層為信息安全管理制度，通過對信息安全活動中的各類內(nèi)容建立管理制度，約束信息安全相關行為。第三層為安全技術標準、操作規(guī)程，通過對管理人員或操作人員執(zhí)行的日常管理行為建立操作規(guī)程，規(guī)范信息安全管理制度的具體技術實現(xiàn)細節(jié)。第四層為記錄、表單，用于在信息安全管理制度、操作規(guī)程實施時需填寫的表單和需保留的操作記錄。

2.3 安全技術體系設計

根據(jù)組織總體安全策略文件、GB/T 22239、行業(yè)基本要求和安全需求，設計等級保護對象的安全技術體系架構。等級保護對象的安全技術防護體系由從外到內(nèi)的“縱深防御”體系構成，首先通過“物理環(huán)境安全防護”保護服務器、網(wǎng)絡設備以及其他設備設施免遭地震、火災、水災、盜竊等事故導致的破壞，然后通過“通信網(wǎng)絡安全防護”保護暴露于外部的通信線路和通信設備，通過“網(wǎng)絡邊界安全防護”對等級保護對象實施邊界安全防護，內(nèi)部不同級別定級對象盡量分別部署在相應保護等級的內(nèi)部安全區(qū)域，低級別定級對象部署在高等級安全區(qū)域時遵循“就高保護”原則，對于內(nèi)部安全區(qū)域將實施“主機設備安全防護”和“應用和數(shù)據(jù)安全防護”，通過“安全管理中心”對整個等級保護對象實施統(tǒng)一的安全技術管理。

等級保護對象的安全技術體系架構見下圖所示：

根據(jù)安全技術架構的設計，組織可以尋找相應的技術與產(chǎn)品來實施安全控制措施。安全技術與產(chǎn)品的選擇，請參考安全調(diào)查分析機構安全牛推出的 “網(wǎng)絡安全行業(yè)全景圖”（http://all.aqniu.com/）。

網(wǎng)絡安全全景圖目前共分為17大安全領域，59個細分領域，包含約200家安全企業(yè)和相關機構，比較全面地對主流的安全技術與產(chǎn)品進行了介紹，可以供用戶在選擇技術與產(chǎn)品解決方案時加以參考。

3. 信息安全教育與培訓

《網(wǎng)絡安全法》第三十四條規(guī)定，關鍵信息基礎設施的運營者還應當履行對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核的義務。

信息安全教育與培訓是實施有效信息管理的重要基礎，組織要周期性地進行信息安全教育與培訓規(guī)劃，要在員工中形成一個行之有效、常抓不懈的氛圍，教育的形式既要生動有趣，又要緊湊有效。組織可以考慮采用以下NIST基于角色與職責的、框架式的安全教育模型：

組織可根據(jù)各崗位人員信息安全能力建設需求，設計未來3到5年信息安全培訓規(guī)劃，并針對各崗位的工作特征，制定各崗位信息安全能力需求表，以及由知識組合成的課程。根據(jù)組織的實際情況可采用以下基于角色與職責的、框架式的課程設計。以下是基于崗位與信息安全知識體對應的培訓方案示例：

此外，《網(wǎng)絡安全法》第十九條規(guī)定，“各級人民政府及其有關部門應當組織開展經(jīng)常性的網(wǎng)絡安全宣傳教育，并指導、督促有關單位做好網(wǎng)絡安全宣傳教育工作?！耙虼耍W(wǎng)絡運營者在進行人員能力建設的同時，還應加強包括管理層在內(nèi)全員網(wǎng)絡安全意識培養(yǎng)和重要性宣傳的工作。

普通員工是各項業(yè)務的執(zhí)行者，員工信息安全意識的薄弱是組織信息安全最大的風險。內(nèi)部員工無意的疏忽，往往會引發(fā)敏感信息泄露等安全事件的發(fā)生。內(nèi)部員工的信息安全意識水平提升有助于減少信息安全風險，提升組織的總體信息安全水平。

組織應設計與提供貫穿員工整個職業(yè)生命周期的、多種層次、多種方式的信息安全意識宣貫，提高組織全體員工的信息安全意識水平。以下是各類信息安全意識教育形式示例：

4. 安全體系的持續(xù)改進

組織在經(jīng)過合規(guī)差距分析并建成組織、管理和技術體系之后，要推進體系的運行。如果條件許可，組織還可以建立信息安全監(jiān)控運行中心（SOC），對安全運行狀態(tài)進行檢測與管理。組織要持續(xù)地收集體系運行數(shù)據(jù)，對體系運行狀態(tài)進行測量，并根據(jù)測量結果建立信息安全績效考核機制，這樣才能把信息安全要求落實到業(yè)務流程和員工崗位之中。

組織要建立信息安全保障體系的PDCA循環(huán)模式，以推進體系建設的持續(xù)完善，全面提升組織的風險識別、安全防御、安全檢測、安全響應與安全恢復能力，最終實現(xiàn)風險可視化、防御主動化、運行自動化、管理流程化的安全目標，積極、主動、快速地應對網(wǎng)絡安全風險，保障業(yè)務與數(shù)據(jù)安全。