法规标准 - 国家实行网络安全等级保护制度 - 《信息安全工程师笔记》

国家实行网络安全等级保护制度

国家实行网络安全等级保护制度

第二十一条国家实行计算机

运营者需履行下列保护义务，保障网络免受干扰，破坏者或未经授权的访问，防止网络数据泄露，或被窃取，篡改：
    1、制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护法
    2、采取防范计算机病毒和网络攻击，网络入侵，等危害网络安全的技术措施
    3、采取监控，记录网络运行状态，网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月
    4、采取数据分类，钟爱于哦数据备份和加密等措施
    5、法律，性质法规规定的其他义务

第二十二条

网络产品，服务应当符合相关国家标准的强制性要求

第二十三条

网络关键设备和网络安全专用产品应当安装相关国家标准强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

第二十四条

网络运营者为用户办理网络接入，域名注册服务，班里固定电话，移动电话等入网手续，或者为用户提供信息发布，即时通讯等服务，在与用户签订协议或者确认提供服务时，应要求用户提供真是身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

第二十五条

网络运营者应当制定安全事件应急预案，及时处置系统漏洞，计算机病毒，网络攻击，网络入侵等安全风险。

第二十六条

开展网络安全认证，检测，风险评估等活动，向社会发布系统漏洞，计算机病毒，网络攻击，网络入侵等网络安全信息，应遵守国家相关规定。

第二十七条任何个人，组织不得从事非法入侵他人网络，干扰他人网络正常功能，窃取网络数据等危害网络安全的活动。不得提供专门用于入侵，干扰网络正常功能及防护措施，窃取数据等危害网络安全的的程序，工具。明知他人从事危害网络安全活动的，不得为其提供技术支持，广告推广，支付结算等帮助。

第三十一条关键信息基础设施，实行重点保护

关键信息基础设施---公共通信，信息服务，能源，交通，水利，金融，公共服务，电子政务等。

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取如下措施：

1、对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存着安全风险进行检测评估
2、定期组织关键信息基础设施的运营者进行网络安全应急演习，提高应对网络安全事件的水平和协同配合能力
3、促进有关部门，关键信息基础设施的运营者以及有关研究机构，网络安全服务机构等之间的安全信息共享
4、对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助

国家实行网络安全等级保护制度

国家实行网络安全等级保护制度

第二十一条国家实行计算机

第二十二条

第二十三条

第二十四条

第二十五条

第二十六条

第三十一条关键信息基础设施，实行重点保护

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取如下措施：

第四十条网络运营者应当对其收集的用户信息严格保密，并建立用户信息保护机制

第四十二条网络运营者不得泄露，篡改，损毁其收集的个人数据；未经被收集者同意，不得向他人提供个人信息。经过处理，无法识别的个人且不能复原的除外。

第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息

第四十五条依法负有网络安全监督管理指的部门及工作人员，必须对在履行职责中知悉的个人信息，隐私和商业秘密严格保密，不得泄露，非法出售给他人。

第四十七条网络运营者应当加强对其用户发布的信息的管理，发现法律，行政法规禁止发布或者传输的信息，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

第四十八条任何个人和组织发生的电子信息，提供的应用软件，不得设置恶意程序，不得含有关法律，行政法规禁止发布和传播的信息。

第四十九条网络运营者应当尖利网络信息安全投诉，举报制度，公布投诉，举报方式等信息，及时处理有关投诉和举报。

第五十条国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律，行政法规机智发布或传输的信息的，应当要求运营者停止传输，采取消除等措施，保存有关记录。

第五十一条国家建立网络安全检测预警和信息通报制度。

辅助关键信息基础设施安全保护工作的部门，应当建立健全本行业，本领域的亡灵安全监测预警和信息通报制度，并按照规定报送网络安全监测预警消息

因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院批准或决定，可以在特定区域对网络通信采取先知等临时措施。

国家实行网络安全等级保护制度

国家实行网络安全等级保护制度

第二十一条 国家实行计算机

第二十二条

第二十三条

第二十四条

第二十五条

第二十六条

第三十一条 关键信息基础设施，实行重点保护

第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取如下措施：

第四十条 网络运营者应当对其收集的用户信息严格保密，并建立用户信息保护机制

第四十二条 网络运营者不得泄露，篡改，损毁其收集的个人数据；未经被收集者同意，不得向他人提供个人信息。经过处理，无法识别的个人且不能复原的除外。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息

第四十五条 依法负有网络安全监督管理指的部门及工作人员，必须对在履行职责中知悉的个人信息，隐私和商业秘密严格保密，不得泄露，非法出售给他人。

第四十七条 网络运营者应当加强对其用户发布的信息的管理，发现法律，行政法规禁止发布或者传输的信息，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

第四十八条 任何个人和组织发生的电子信息，提供的应用软件，不得设置恶意程序，不得含有关法律，行政法规禁止发布和传播的信息。

第四十九条 网络运营者应当尖利网络信息安全投诉，举报制度，公布投诉，举报方式等信息，及时处理有关投诉和举报。

第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律，行政法规机智发布或传输的信息的，应当要求运营者停止传输，采取消除等措施，保存有关记录。

第五十一条 国家建立网络安全检测预警和信息通报制度。

辅助关键信息基础设施安全保护工作的部门，应当建立健全本行业，本领域的亡灵安全监测预警和信息通报制度，并按照规定报送网络安全监测预警消息

因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院批准或决定，可以在特定区域对网络通信采取先知等临时措施。

第二十一条国家实行计算机

第三十一条关键信息基础设施，实行重点保护

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取如下措施：

第四十条网络运营者应当对其收集的用户信息严格保密，并建立用户信息保护机制

第四十二条网络运营者不得泄露，篡改，损毁其收集的个人数据；未经被收集者同意，不得向他人提供个人信息。经过处理，无法识别的个人且不能复原的除外。

第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息

第四十五条依法负有网络安全监督管理指的部门及工作人员，必须对在履行职责中知悉的个人信息，隐私和商业秘密严格保密，不得泄露，非法出售给他人。

第四十七条网络运营者应当加强对其用户发布的信息的管理，发现法律，行政法规禁止发布或者传输的信息，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

第四十八条任何个人和组织发生的电子信息，提供的应用软件，不得设置恶意程序，不得含有关法律，行政法规禁止发布和传播的信息。

第四十九条网络运营者应当尖利网络信息安全投诉，举报制度，公布投诉，举报方式等信息，及时处理有关投诉和举报。

第五十条国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律，行政法规机智发布或传输的信息的，应当要求运营者停止传输，采取消除等措施，保存有关记录。

第五十一条国家建立网络安全检测预警和信息通报制度。