网络安全法及等保2.pdfVIP

网络安全法及等保2--第1页

1.现行重要法律法规框架（网络安全）

（关基单位：指关键基础设施单位）

注：本图列举了当前我国在非涉密网络安全领域施行的几部重要法律和国家推荐标准；它们

构成了我们日常网络安全建设中的基础法律框架。在合法合规的前提下，我们所有的网络安

全建设都必须参照上述法律和标准进行。

1

网络安全法及等保2--第1页

网络安全法及等保2--第2页

2.网络安全法重要建设内容解读

《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度。各网络运营者

应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。

除此之外，《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安

全等对以下方面做了详细规定：

网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，

确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等

危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，

留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上

述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果

的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系

统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立

即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事

件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的，

会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元

以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份：第三十四条第三项规定/第二十一条第四项规定，关键信息基础设施/普通网

络运营者单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的

会被依照此条款责令改正。

应急演练：第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急

预案，并定期进行演练。没有网络安全事件预案的，或者没有定期演练的，会被依照此条进

行责令改正。

安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安

全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评

估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全

检测评估的单位要被责令改正。

关键信息基础设施的运营者网络安全保护义务：（一）建立健全网络安全管理、评价考

核制度，拟订关键信息基础设施安全保护计划；（二）组织推动网络安全防护能力建设，开

展网络安全监测、检测和风险评估；（三）按照国家及行业网络安全事件应急预案，制定本

单位应急预案，定期开展应急演练，处置网络安全事件；（四）认定网络安全关键岗位，组

织开展网络安全工作考核，提出奖励和惩处建议；（五）组织网络安全教育、培训；（六）履

行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；（七）对关键信

息基础设施设计、建设、运行、维护等服务实施安全管理；（八）按照规定报告网络安全事

件和重要事项。

2

网络安全法及等保2--第2页

网络安全法及等保2--第3页

《中华人民共和国网络安全法》对网络运营者的要求及建