六十一号令培训课件

六十一号令培训课件第一章六十一号令背景介绍0102年首次颁布年修订必要性20172025网络安全法首次颁布，奠定了中国网络安面对新兴网络安全威胁与技术快速发展，全法律框架的基础，确立了网络安全等级原有法律条款需要与时俱进，应对人工智保护、关键信息基础设施保护等核心制能、物联网、5G等新技术带来的安全挑度战国家高度重视网络安全形势的深刻变化攻击规模激增新技术新风险双重挑战并存2020-2025年期间，全球物联网设备数量爆发式增既要维护国家安全和社会网络攻击事件增长了长、5G网络全面部署、公共利益,又要保护公民300%，攻击手段日益复人工智能技术广泛应用，个人隐私权利,在两者之杂化、专业化，给国家安在带来便利的同时也引入间寻求平衡成为法律修订全和经济发展带来严重威了前所未有的安全风险和的重要考量胁漏洞网络攻击威胁持续升级亿亿300%87¥890攻击增长率物联网设备年度损失2020-2025年全球网络攻击增长幅度2025年全球联网设备数量预测中国企业因网络攻击造成的经济损失第二章六十一号令核心内容概览数据安全个人信息保护关键基础设施建立健全数据分类分级保护制度，明确数据细化个人信息处理规则，强化用户知情同意明确关键信息基础设施范围和运营者责任，处理者的安全保护义务，加强重要数据和个权，规范个人信息收集、使用、存储和销毁建立安全保护体系，强化供应链安全管理人信息的安全管理全流程管理本次修订还涉及网络运营者安全义务的明确、跨境数据流动管理的加强、网络安全事件应急响应机制的完善等多个方面，构建了更加系统完备的网络安全法律保障体系主要修订条款解读一123第三条第十条第十五条网络安全等级保护制度完善网络产品和服务安全责任强化个人信息处理规则细化进一步细化网络安全等级保护的分类标准和要求网络产品和服务提供者承担更严格的安明确个人信息处理的合法性基础，规范收集保护要求，明确不同等级网络的安全防护措全责任，建立安全漏洞管理制度，及时发布使用行为，禁止过度收集，保障个人信息主施和管理责任安全补丁和风险提示体的各项权利主要修订条款解读二第二十条关键信息基础设施安第二十五条数据出境安全评估第三十条网络安全事件应急响全保护责任明确机制建立应要求明确关键信息基础设施的认定标准、运规定重要数据和个人信息出境必须通过建立网络安全事件分级响应机制,要求制营者的安全保护义务以及主管部门的监安全评估，明确评估程序、标准和监管定应急预案并定期演练,明确事件报告、督管理职责，建立专门保护制度要求，防范数据跨境流动风险处置和恢复的时限和程序从法律到实践的转化六十一号令的有效实施需要建立完善的制度体系和操作流程企业和组织应当将法律要求转化为具体的管理制度、技术措施和工作流程，确保合规要求落地生根这不仅是法律义务，更是提升自身安全能力、增强市场竞争力的重要途径第三章六十一号令对企业的影响合规成本上升重点行业压力企业网络安全合规成本预计增长20%，需要金融、电信、能源等关键行业面临更严格的监投入更多资源建设安全防护体系、开展安全评管要求，需要建立专门的安全管理部门和技术估和人员培训团队竞争优势转化体系建设必需合规不仅是成本，更是机遇建立良好的安全数据安全管理体系建设成为企业必备能力，需信誉可以增强客户信任，成为市场竞争的重要要从制度、技术、人员等多维度构建完整的安优势全保障机制企业合规案例分享案例一数据泄露重罚某大型互联网公司因未履行数据安全保护义务，导致上千万用户个人信息泄露，被监管部门罚款5000万元，并责令限期整改这一案例警示企业必须将数据安全放在首位案例二防护体系成功某能源企业投入巨资建立三级安全防护体系，成功抵御了多次APT高级持续性威胁攻击，保障了关键基础设施安全运行，获得行业表彰案例三合规带来增长某金融科技公司通过建立完善的合规体系，获得了国际客户的信任，业务量增长50%，品牌价值显著提升，实现了安全与发展的双赢第四章个人信息保护新要求明确信息定义范围明确个人信息的定义，特别细化了敏感个人信息的范围，包括生物识别、医疗健康、金融账户、行踪轨迹等信息，要求采取更严格的保护措施强化用户同意机制加强用户知情同意权，禁止默认勾选授权，要求以清晰易懂的方式告知用户信息处理目的、方式和范围，用户有权随时撤回同意规范跨境传输个人信息跨境传输需通过安全评估，评估内容包括数据接收方的安全保护能力、数据用途、保存期限等，确保境外安全可控个人信息保护实操指南数据最小化原则加密存储与访问控制定期安全审计只收集业务必需的个人信息，避免过度收采用加密技术保护存储的个人信息，建立严建立定期安全审计制度，开展风险评估，及集明确收集目的，收集范围应与处理目的格的访问控制机制，实施权限分级管理，确时发现和修复安全漏洞，确保个人信息保护直接相关，不得超出必要限度保只有授权人员才能访问相关数据措施持续有效运行个人信息全生命周期管理收集明示目的，最小必要，用户同意存储加密保护，访问控制，安全备份使用目的限定，授权使用，审计追踪销毁及时删除，安全清除，记录存档第五章关键信息基础设施保护明确设施范围运营者责任关键信息基础设施是指公共通信和信关键信息基础设施运营者应当履行网息服务、能源、交通、水利、金融、络安全保护义务，设置专门安全管理公共服务、电子政务、国防科技工业机构，开展定期安全评估，建立安全等重要行业和领域的网络设施、信息管理制度和操作规程，对重要系统和系统，一旦遭到破坏或数据泄露，可数据库进行容灾备份能严重危害国家安全、国计民生、公共利益监管职责国家网信部门负责统筹协调关键信息基础设施安全保护工作，国务院电信、公安、能源等部门依据各自职责负责关键信息基础设施安全保护和监督管理工作典型关键信息基础设施案例年电信运营商攻击事件2024DDoS2024年6月，某大型电信运营商遭受大规模分布式拒绝服务DDoS攻击，攻击流量峰值达到500Gbps，影响范围覆盖全国多个省份，数百万用户通信服务受到影响应急响应措施运营商立即启动应急预案，快速调集技术力量进行流量清洗和攻击溯源，与公安、网信部门协同作战，在4小时内基本恢复服务，12小时内完全恢复正常经验启示此次事件凸显了关键信息基础设施保护的重要性，也证明了政府与企业协同防护机制的有效性事后，该运营商进一步加强了安全防护能力建设，建立了更加完善的应急响应体系第六章数据安全管理体系建设数据安全战略规划1数据分类分级管理制度2数据安全责任人与管理组织3技术防护措施加密、脱敏、访问控制4安全监测、审计、应急响应与持续改进5数据安全管理体系是一个自上而下、层层落实的完整系统从战略规划到具体执行，从制度建设到技术实施，每个层面都需要精心设计和严格落实，形成闭环管理数据安全合规检查要点内部制度建设员工安全培训第三方服务商管理•数据安全管理制度•新员工入职安全培训•服务商安全资质审查•数据分类分级标准•定期安全意识教育•安全协议与责任条款•访问权限管理规定•专业技能提升培训•数据处理活动监督•数据生命周期管理•安全演练与考核•定期安全评估检查•安全事件报告制度•违规行为处罚机制•事件协同处置机制数据安全管理体系架构现代数据安全管理体系是一个多层次、多维度的综合防护系统它包括组织管理层面的制度建设和责任落实，技术防护层面的加密、访问控制和监测审计，以及运营保障层面的培训、演练和持续改进只有将这些要素有机结合，才能构建起坚固的数据安全防线第七章跨境数据流动管理数据出境识别1判断数据处理活动是否涉及数据出境，明确数据类型、数量和接收方信息2安全评估申报向国家网信部门申报，提交安全评估材料，说明数据出境必要性和安全保障措施评估审查3主管部门组织专家评审，重点审查数据安全风险和接收方保护能力4批准实施通过评估后获得批准，按照批准条件开展数据出境活动持续监督5定期报告数据出境情况，接受监督检查，发现风险及时整改案例某跨国电商企业因业务需要向境外总部传输中国用户订单数据，严格按照数据出境安全评估流程申报，经过三个月的评估审查，最终通过审批并签订了详细的数据保护协议，确保了数据跨境流动的合规性和安全性跨境数据风险防控措施加强合同管理技术隔离控制监测审计机制与境外接收方签订详细的数据保护协议，明确数建立数据出境专用通道，实施技术隔离和加密传建立数据出境监测系统，实时记录数据传输活据用途、保护责任、违约责任等条款约定争议输对出境数据进行脱敏处理，最小化数据传输动定期开展安全审计，评估境外数据处理合规解决机制，确保协议具有法律约束力范围，设置严格的访问权限性，及时发现和处置异常行为第八章网络安全事件应急响应事件分类标准报告处置流程根据事件的性质、影响范围和危害程度，网络安全事件分为四级发现网络安全事件后的标准处置流程特别重大事件I级影响国家安全

1.立即启动应急预案，控制事态重大事件II级跨省级影响

2.1小时内向主管部门报告较大事件III级跨市级影响

3.组织技术力量进行处置一般事件IV级局部影响

4.保存相关证据和日志

5.24小时内提交详细报告

6.事后总结并改进防护措施应急响应团队建设技术处置组指挥协调组负责事件分析、技术处置、系统恢复等工作负责应急响应的统一指挥、资源调度和对外沟通协调调查取证组负责事件调查、证据保全和攻击溯源工作后勤保障组信息通报组负责应急资源保障、人员调配和后勤支持负责内外部信息通报、舆情监测和媒体应对快速响应的核心是建立7×24小时值守机制和信息快速通报渠道定期开展应急演练，确保团队成员熟悉流程、协同高效事后要进行总结分析，持续优化应急响应能力第九章法律责任与处罚行政责任民事责任刑事责任警告、罚款、责令停业整顿、吊销许可证等行赔偿损失、消除影响、恢复名誉等民事法律责构成犯罪的，依法追究刑事责任，可能面临有政处罚措施任期徒刑等刑罚典型违法行为与处罚违法行为处罚对象处罚标准未履行网络安全保护义务网络运营者警告+罚款1万-10万元违法收集使用个人信息企业及责任人罚款10万-100万元未经评估数据出境数据处理者罚款50万-500万元发生安全事件未及时报告运营者及管理人员罚款+行政处分法律责任案例剖析案例一未履行安全义务被罚案例二个人信息泄露赔偿案例三非法数据交易入刑某社交平台因未建立网络安全管理制度、未某电商平台因安全漏洞导致500万用户个人某科技公司员工利用职务便利，非法获取公采取防范计算机病毒和网络攻击的技术措信息泄露，多名用户提起民事诉讼要求赔司数据库中的用户信息并出售给第三方，获施，被网信部门责令整改并处以80万元罚偿法院判决该平台承担侵权责任，向每位利50万元法院以侵犯公民个人信息罪判处款，相关负责人被处以5万元罚款并行政警受害用户赔偿精神损害抚慰金和实际损失，其有期徒刑三年，并处罚金50万元告总计赔偿金额超过2000万元第十章培训总结与行动指南战略意义六十一号令是维护国家网络安全、保护公民权益、促进数字经济健康发展的重要法律保障，具有重大战略意义合规关键步骤建立管理制度→开展风险评估→完善技术措施→加强人员培训→定期自查整改→持续监测改进持续改进网络安全是动态发展的，需要建立持续改进机制，密切关注技术发展和威胁变化，及时调整安全策略培训互动环节案例讨论问答环节常见问题解答Q1小型企业是否也需要完全遵守六十一号令？A是的所有网络运营者都需要遵守基本的网络安全义务,但具体要求会根据企业规模和业务性质有所不同Q2如何判断自己是否属于关键信息基础设施运营者？A由行业主管部门根据设施的重要性进行认定如有疑问,可向主管部门咨询Q3数据出境评估需要多长时间？A通常需要2-3个月,建议提前规划并准备充分的评估材料讨论主题如何应对网络安全新挑战场景设定您所在的企业是一家提供云服务的科技公司,拥有大量客户数据近期发现黑客组织正在针对同行业企业发起攻击讨论要点•应采取哪些紧急防护措施？•如何开展风险评估？•是否需要向监管部门报告？未来展望法律持续完善网络安全法将根据技术发展和实践需要持续修订完善,配套法规和标准体系将更加健全,形成完整的法律保障体系技术机遇挑战人工智能、量子计算、区块链等新技术既带来新的安全风险,也为安全防护提供新手段需要在发展与安全之间寻求平衡国际合作网络空间安全是全球性挑战,需要加强国际合作,参与全球网络安全治理,推动构建网络空间命运共同体战略目标到2035年,基本建成网络强国,形成完善的网络安全保障体系,关键信息基础设施安全得到全面保障,数据安全治理能力达到世界先进水平智能防护可信网络未来的网络安全将更加智能化、自动化基于人工智能的威胁检测、自适应安全防护、零信任架构等技术将广泛应用同时,通过区块链等技术构建可信网络生态,实现数据的安全可控流动我们正在迈向一个更加安全、可信的数字未来参考资料与学习资源官方法律文本权威解读文章学习平台与工具•中华人民共和国网络安全法2025年修•《网络安全法修订要点解读》-国家网•中国网络安全审查技术与认证中心订版信办•国家信息安全漏洞共享平台CNVD•全国人大常委会关于修改网络安全法的•《企业网络安全合规指南》-工信部•网络安全等级保护测评机构决定•《个人信息保护实施细则》-国家标准•各地网信办培训与咨询服务•国家网信办官方网站委www.cac.gov.cn结束语网络安全为人民,网络安全靠人民网络安全人人有责合规是企业生命线共筑安全防线维护网络安全不仅是政府和企业的责任,每一位对企业而言,网络安全合规不是负担,而是生存让我们携手并进,认真学习贯彻六十一号令,将公民都应增强网络安全意识,提升防护能力,共发展的基础只有建立完善的安全体系,才能赢法律要求转化为实际行动,共同筑牢国家网络安同营造清朗的网络空间得客户信任,在激烈的市场竞争中立于不败之全防线,为建设网络强国贡献力量!地谢谢大家!如有疑问,欢迎随时交流探讨。