中国网络信息安全法课件

中国网络信息安全法课件深入解读《中华人民共和国网络安全法》目录010203立法背景与意义法律框架与基本原则网络安全支持与促进了解网络安全法的诞生背景和战略价值掌握法律适用范围和核心管理原则探索国家对网络安全产业的支持政策040506网络运行安全关键信息基础设施保护网络信息安全与个人信息保护学习等级保护制度和运营安全要求理解重点行业的特殊保护机制掌握个人信息保护的法律要求0708监测预警与应急处置法律责任与执法实践未来展望与挑战了解安全事件的响应机制认识违法后果和典型案例第一章立法背景与意义12016年11月7日全国人民代表大会常务委员会第二十四次会议正式通过《中华人民共和国网络安全法》，标志着我国网络安全领域有了基础性法律22017年6月1日网络安全法正式施行，开启我国网络空间法治化建设的新篇章这部法律的出台是应对日益严峻的网络安全威胁的必然选择，旨在维护国家网络空间主权和公共利益，促进信息化健康有序发展，同时切实保障广大公民和组织在网络空间的合法权益它填补了我国网络安全领域长期缺乏综合性、基础性法律的空白网络安全的国家战略地位战略定位网络安全和信息化是一体之两翼、驱动之双轮网络安全法确立了网络安全在国家安全体系中的重要地位，将其提升至国家战略层面核心目标保障网络空间主权，维护国家安全和社会公共利益•构建安全可信、开放有序的网络环境•推动网络安全技术创新与产业发展•加强网络安全人才培养和全民教育•没有网络安全就没有国家安全，网络安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大战略问题万亿1000+85%300+年度网络攻击事件来自境外攻击经济损失规模我国每年遭受的网络攻击大部分攻击源自境外黑客网络安全事件造成的年度事件超过千万起组织和敌对势力经济损失超过亿元300—国家安全面临严峻挑战，网络空间已成为没有硝烟的战场第二章法律框架与基本原则适用范围管理原则行为规范本法适用于中华人民共和国境内网络的建网络安全和信息化发展并重，遵循积极利促进网络信息依法有序自由流动，倡导诚实设、运营、维护和使用，以及网络安全的监用、科学发展、依法管理、确保安全的方针守信、健康文明的网络行为督管理网络安全法建立了包括网络运行安全、关键信息基础设施安全、网络信息安全等在内的完整法律框架法律坚持网络安全与信息化发展并重的理念，既要保障安全，又要促进发展，实现安全与发展的动态平衡网络运营者的安全义务1建立安全管理制度制定内部安全管理制度和操作规程，明确网络安全负责人，落实网络安全保护责任2采取技术防护措施部署防病毒、防攻击、数据加密等技术手段，防范计算机病毒、网络攻击和数据泄露3监测记录运行状态监测、记录网络运行状态和网络安全事件，按规定留存相关网络日志不少于六个月4数据分类与备份采取数据分类、重要数据备份和加密等措施，确保数据完整性和可用性第三章网络安全支持与促进标准体系建设产业扶持政策社会化服务体系国家建立和完善网络安全政府加大对网络安全技术鼓励发展网络安全认证、标准体系，推动制定网络产业的投入力度，支持重检测、风险评估等专业服安全国家标准和行业标点网络安全技术项目和创务机构，推动网络安全服准标准是网络安全的基新型企业发展，推动产学务市场化、专业化发展础性工作，为技术研发和研用深度融合产品应用提供统一规范国家通过多种方式支持网络安全技术创新和产业发展，包括设立专项资金、税收优惠、政府采购倾斜等政策措施，培育具有国际竞争力的网络安全产业集群网络安全人才培养与宣传教育高等教育培养政府宣传推广支持高等学校、职业学校设置网络安全相关专业课程，建立网络安全学科各级人民政府及有关部门组织开展经常性的网络安全宣传教育活动提升全,体系，培养网络安全专业人才和复合型人才社会的网络安全意识和防护技能媒体教育责任社会协同参与新闻、广播、电视等媒体应当有针对性地开展网络安全宣传教育普及网络鼓励企业、社会组织、个人等积极参与网络安全教育培训形成全社会共同,,安全知识增强公众防范能力维护网络安全的良好氛围,培养未来网络安全守护者网络安全人才是国家网络安全的核心竞争力通过举办各类网络安全竞赛、建立实训基地、开展校企合作等方式我国正在加速培养满足新时代需求的网络安全人才队伍从基,础教育到职业培训构建全方位、多层次的人才培养体系,第四章网络运行安全等级保护制度产品服务标准应急预案制度国家实行网络安全等级保护制度网络运营者网络产品、服务应当符合相关国家标准的强网络运营者应当制定网络安全事件应急预案,,应当按照网络安全等级保护制度的要求履行制性要求网络产品、服务的提供者不得设及时处置系统漏洞、计算机病毒、网络攻,相应的安全保护义务保障网络免受干扰、破置恶意程序发现其产品、服务存在安全缺击、网络侵入等安全风险在发生危害网络安,,,坏或者未经授权的访问陷、漏洞等风险时应当立即采取补救措施全的事件时立即启动应急预案,,网络运行安全是网络安全法的核心内容之一等级保护制度要求网络运营者根据网络的重要性和面临的威胁程度采取相应级别的安全保护措施实现分,,级分类管理网络产品安全责任禁止恶意程序产品提供者不得设置恶意程序,不得收集与服务无关的用户信息及时修补漏洞发现安全缺陷、漏洞等风险时,应当立即采取补救措施,按规定及时告知用户并向有关主管部门报告持续安全维护产品、服务具有收集用户信息功能的,提供者应当向用户明示并取得同意,持续提供安全维护服务,不得擅自终止第五章关键信息基础设施保护关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或者,数据泄露可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,能源设施通信信息电力、石油、天然气生产输送系统公共通信网络和信息服务系统交通运输铁路、民航、公路等交通管理系统电子政务金融服务政府机关信息系统和公共服务平台银行、证券、保险等金融服务系统关键信息基础设施安全事件案例1事件背景年某大型能源企业关键信息系统遭受攻击黑客通过钓2019APT,鱼邮件渗透内网植入勒索软件导致生产监控系统瘫痪,2事件影响攻击造成该企业多个生产基地停产直接经济损失超过万元,5000,供应链中断影响波及下游数百家企业3问题暴露事件暴露出企业在安全管理、技术防护、应急响应等方面存在重大漏洞内部安全意识薄弱未严格执行网络安全法相关要求,,4整改措施监管部门对该企业进行行政处罚并责令整改企业全面升级安全,防护体系建立专门安全管理机构加强人员培训和技术投入,,这一事件促使全行业加强对关键信息基础设施的保护力度推动网络安全法的严格执行和落实,国家安全的数字防线关键信息基础设施是经济社会运行的神经中枢是网络安全的重中之重一旦遭受攻击破,坏将对国家安全、经济发展和社会稳定造成严重影响加强关键信息基础设施保护建,,立完善的安全防护体系是维护国家网络空间主权和安全的必然要求,第六章网络信息安全与个人信息保护个人信息保护原则合法正当必要收集、使用个人信息应当遵循合法、正当、必要原则明示同意公开收集、使用规则明示收集、使用信息的目的、方式和范围并经被收,,集者同意敏感信息特殊保护安全保护处理个人生物识别信息、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意,采取技术措施和其他必要措施确保个人信息安全防止信息泄露、毁损、,,丢失未成年人信息保护收集使用未满十四周岁未成年人个人信息的应当征得其监护人同意制定专禁止非法提供,,门的个人信息处理规则不得向他人提供个人信息但经过处理无法识别特定个人且不能复原的除,外个人信息权利保障12知情权查阅权个人有权知晓个人信息处理者收集、存储、使用、加工、传输、提供、公开、删除个个人有权向个人信息处理者查阅、复制其个人信息,个人信息处理者应当及时提供查询人信息的规则,以及个人参与个人信息处理的方式和程序方式34更正权删除权个人发现其个人信息不准确或者不完整的有权请求个人信息处理者更正、补充符合法定情形的个人有权请求个人信息处理者删除其个人信息处理者应当及时删除,,,网络运营者和个人信息处理者应当提供便捷的权利行使途径建立个人信息保护投诉、举报机制违反规定处理个人信息将承担相应法律责任包括行政处罚和民事赔偿,,第七章监测预警与应急处置0102监测预警机制风险评估制度国家建立网络安全监测预警和信息通报制度加强网络安全信息收集、分析和通报工网络运营者应当定期开展网络安全风险评估及时发现和消除安全隐患,,作0304应急预案启动跨部门协作发生网络安全事件时应当立即启动应急预案采取相应补救措施并按规定向有关主有关部门应当加强网络安全信息共享和应急协作快速响应和处置网络安全风险,,,,管部门报告建立健全网络安全监测预警和应急处置机制是提高网络安全防护能力的重要保障通过实时监测、及时预警、快速响应能够最大限度地减少网络安全事件的危害和损,,失网络安全事件典型案例某大型电商平台数据泄露事件深度分析事件经过应急响应流程年某知名电商平台发生大规模用户数据泄露事件约万用户的姓立即封堵安全漏洞切断非法访问通道2020,

50001.,名、手机号、收货地址等敏感信息被非法获取并在暗网售卖启动应急预案成立事件处置小组

2.,原因分析向监管部门报告配合调查取证

3.,通知受影响用户提供风险提示和补救措施

4.,第三方合作商存在安全漏洞未严格执行数据访问权限管理•,开展全面安全审计排查其他潜在风险

5.,平台对供应商安全审查不到位数据传输未加密•,改进措施缺乏有效的数据泄露监测机制发现时间滞后•,平台全面升级数据安全防护体系建立供应商安全管理制度加强数据加密,,和访问控制部署数据泄露监测系统定期开展安全演练,,守护数字世界的前线网络安全应急指挥中心是网络安全防护体系的核心枢纽小时全天候监测网络安全7×24态势第一时间发现和处置安全威胁协调各方资源快速响应重大网络安全事件专业的,,应急响应团队、先进的技术手段、完善的协作机制共同构筑起保卫网络空间安全的坚固,防线第八章法律责任与执法实践违法行为类型法律责任形式非法侵入计算机信息系统行政处罚警告、罚款、责令停业••:整顿、吊销许可证窃取、泄露个人信息或重要数据•刑事责任情节严重构成犯罪的依制作、传播恶意程序•:,•法追究刑事责任从事危害网络安全的活动•民事赔偿造成他人损害的依法承•:,拒不履行网络安全保护义务•担民事责任典型执法案例某黑客团伙利用技术手段非法侵入多家企业网络系统窃取商业秘密和用户数据最,,终被判处有期徒刑并处罚金超过千万元相关企业也因未履行安全保护义务被处以行,政处罚监管部门职责国家网信办公安机关电信主管部门行业主管部门负责统筹协调网络安全工作和相关负责网络安全保护和监督管理工作负责网络建设、运营的监督管理协负责本行业、本领域网络安全的监,,监督管理工作制定网络安全战略、依法查处网络违法犯罪活动维护网调处理网络安全重大事件推动网络督管理制定行业网络安全标准和规,,,,规划和政策组织开展网络安全监测络空间秩序和公共安全基础设施安全保护范指导督促单位落实网络安全责任,,预警和应急处置各监管部门按照职责分工密切配合形成网络安全监管合力建立信息共享、联合执法、协同处置机制提高监管效能,,,第九章未来展望与挑战国际合作与治理网络空间没有国界,网络安全是全球性挑战各国应加强在网络安全标准、技术研发、打击网络犯罪等方面的国际合作治理趋势•推动构建和平、安全、开放、合作的网络空间•建立多边、民主、透明的全球互联网治理体系•加强数据跨境流动的国际规则协调•共同打击网络恐怖主义和网络犯罪法律完善持续完善网络安全法律法规体系,制定配套实施细则,加强与数据安全法、个人信息保护法等法律的衔接新兴技术安全风险人工智能安全AI算法的可解释性、数据投毒攻击、模型后门等新型安全威胁大数据安全海量数据的采集、存储、流转、应用各环节的安全保护挑战云计算安全云服务环境下的数据主权、隐私保护、责任边界等问题物联网安全海量终端设备的安全防护、身份认证、数据传输安全网络安全法的持续影响企业合规经营保障用户权益推动企业建立健全网络安全管理制度提升安强化个人信息保护规范数据处理行为增强公,,,全防护能力将网络安全纳入企业发展战略众对网络服务的信任和信心,产业健康发展法治化建设促进网络安全产业快速发展培育龙头企业推推动网络空间法治化进程明确各方权利义务,,,,动技术创新和产业升级为网络安全提供坚实法律保障网络安全法实施以来在保护国家安全、促进产业发展、维护公民权益等方面发挥了重要作用为我国网络强国建设提供了有力法律支撑,,智慧时代的安全保障随着、物联网、人工智能等新技术的广泛应用智慧城市建设进入快速发展期在享5G,受科技便利的同时必须高度重视网络安全防护从智能交通到智慧医疗从智能家居到,,工业互联网每一个应用场景都需要构建全方位、多层次的安全防护体系网络安全法为,智慧时代的健康发展保驾护航课堂互动网络安全法热点问题讨论:网络实名制的利与弊个人信息保护与大数据应用的平衡实名制有助于维护网络秩序、打击违法犯罪但也引发隐私保护担忧如何大数据技术需要海量数据支撑但个人,,在安全与隐私之间找到平衡点信息保护要求限制数据收集使用如何在保护隐私的同时发挥数据价值企业如何应对网络安全合规挑战中小企业面临资金、技术、人才等多重限制如何低成本高效率地满足网络安全法要,求这些问题没有标准答案需要在实践中不断探索在发展中逐步完善鼓励大家从不同角,,度思考提出自己的见解,案例分析某企业网络安全合规实践:某金融科技公司的合规之路实施等级保护建立安全管理体系对核心业务系统进行等级保护定级备案达到等保三级要求部署防火墙、入侵检测、,成立网络安全委员会,设立首席信息安全官CISO,制定全面的网络安全管理制度和操作数据加密等安全设施,定期开展等级测评规程明确各部门安全职责,个人信息保护应急响应机制建立个人信息全生命周期管理机制实施数据分类分级保护开发隐私保护管理系统为,,制定详细的应急预案,建立7×24小时安全监控中心,组建应急响应团队定期开展应急演用户提供便捷的权利行使渠道练提高快速响应和处置能力,实施效果经验总结•安全事件发生率下降60%•高层重视是合规工作的前提通过多项安全认证和审计持续投入是安全建设的保障••用户满意度和信任度显著提升全员参与是防护体系的基础••为业务拓展提供有力保障动态调整是适应发展的需要••复习与总结核心目标基本原则运营者义务保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进网络安全和信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针建立安全管理制度,采取技术防护措施,监测记录网络运行状态,保护个人信息,配合监管部门工作经济社会信息化健康发展关键信息基础设施保护个人信息保护对公共通信、能源、交通、金融、政务等重要行业和领域实施重点保护,设立专门安全管理机构,开展安全审查和风险评估收集使用个人信息应遵循合法、正当、必要原则,明示并取得同意采取安全保护措施,保障个人查阅、更正、删除等权利资源推荐官方法律文本及解读培训平台与竞赛《中华人民共和国网络安全法》国家网络安全宣传周活动••全文全国大学生信息安全竞赛•全国人大常委会法工委权威解读•网络安全职业技能竞赛•国家网信办配套规章制度•、等专业认证•CISP CISSP行业主管部门实施指南•推荐书籍与报告《网络安全法释义》•《网络安全等级保护解读》•

2.0《中国网络安全产业白皮书》•《网络安全态势报告》年度•建议同学们通过多种渠道深入学习网络安全知识关注最新政策动态和技术发展不断提,,升自身网络安全素养结束语网络安全人人有责,网络安全不仅是技术问题更是社会问题、法律问题每一位网络参与者都是网络安全的守护者都应当自觉遵守网络安全法律法规履行网络安全义务,,,让我们携手共建安全、清朗的网络空间为推动数字中国建设、实现中华民族伟大复兴的中国梦贡献力量,!增强安全意识规范网络行为共建清朗空间时刻保持警惕不断学习网络安全知识遵守法律法规做负责任的网络公民积极参与网络治理传播正能量,,,没有网络安全就没有国家安全就没有经济社会稳定运行广大人民群众利益也难以得到保障,,。