新《網(wǎng)絡(luò)安全法》與電力企業(yè)相關(guān)安全條例的解讀2017-9-5編輯ppt二、網(wǎng)絡(luò)體系安全總體思路滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)。使得網(wǎng)絡(luò)系統(tǒng)的等級(jí)保護(hù)建設(shè)方案最終既可以滿足等級(jí)保護(hù)的相關(guān)要求，又能夠全方面為業(yè)務(wù)系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。編輯ppt1/13/2023編輯ppt三、主機(jī)安全總體思路1.采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進(jìn)入、離開(kāi)或駐留服務(wù)器與桌面主機(jī)時(shí)保持可用性、完整性和保密性。2.主機(jī)層威脅與風(fēng)險(xiǎn)包括：攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布?；攻擊者利用網(wǎng)絡(luò)擴(kuò)散病毒；內(nèi)部人員下載、拷貝軟件或文件，打開(kāi)可疑郵件時(shí)引入病毒；授權(quán)用戶對(duì)系統(tǒng)錯(cuò)誤配置或更改；由于授權(quán)用戶的不正確啟動(dòng)和恢復(fù)導(dǎo)致安全機(jī)制失效；攻擊者利用通過(guò)惡意代碼或木馬程序，對(duì)網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進(jìn)行攻擊等。3.針對(duì)燃機(jī)數(shù)據(jù)監(jiān)測(cè)、分析與診斷中心信息系統(tǒng)，需要相應(yīng)的堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng)平臺(tái)等設(shè)備才能符合等級(jí)保護(hù)的基本要求。編輯ppt1/13/2023編輯ppt電廠如何符合安全條例的解讀編輯ppt一、概述目標(biāo)保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法。法律條文：共7章，79條2016年11月7日發(fā)布2017年6月1日起施行范圍總覽編輯ppt網(wǎng)絡(luò)安全等級(jí)保護(hù)制度第二十一條規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。安全保護(hù)義務(wù)包括：1）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

2）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

3）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

4）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

5）法律、行政法規(guī)規(guī)定的其他義務(wù)。電力行業(yè)解讀信息系統(tǒng)安全等級(jí)保護(hù)制度已實(shí)施多年，主要矛盾是能監(jiān)局與公安局之間。據(jù)近幾年形勢(shì)來(lái)看，今后備案全部由公安局關(guān)主導(dǎo)，能監(jiān)局只要求和檢查公安局的備案結(jié)果。二、網(wǎng)絡(luò)運(yùn)行安全編輯ppt網(wǎng)絡(luò)產(chǎn)品和服務(wù)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求不得設(shè)置惡意程序發(fā)現(xiàn)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期限內(nèi)，不得終止提供安全維護(hù)。用戶信息和個(gè)人信息合規(guī)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷售或者提供。國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄?，F(xiàn)階段被認(rèn)可的是公安機(jī)關(guān)的。三、網(wǎng)絡(luò)運(yùn)行安全編輯ppt關(guān)鍵信息基礎(chǔ)設(shè)施范圍

國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)…實(shí)行重點(diǎn)保護(hù)。國(guó)務(wù)院另行制定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法。三、網(wǎng)絡(luò)運(yùn)行安全法律義務(wù)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者將會(huì)承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全保護(hù)法定義務(wù)：1）建設(shè)要求：業(yè)務(wù)運(yùn)行穩(wěn)定可靠，安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用；

2）安全保護(hù)：專門(mén)安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人；安全教育、培訓(xùn)、考核；

容災(zāi)備份；應(yīng)急預(yù)案、定期演練

3）安全審查：采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)通過(guò)國(guó)家安全審查

4）保密要求：簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任5）境內(nèi)存儲(chǔ)：個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)編輯ppt三、網(wǎng)絡(luò)運(yùn)行安全法律義務(wù)6）檢測(cè)評(píng)估：每年至少進(jìn)行一次檢測(cè)評(píng)估，報(bào)送檢測(cè)評(píng)估情況和改進(jìn)措施。7）統(tǒng)籌協(xié)調(diào)：國(guó)家網(wǎng)信部門(mén)應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施：（一）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估；（二）定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力；（三）促進(jìn)有關(guān)部門(mén)、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享；（四）對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等，提供技術(shù)支持和協(xié)助。國(guó)家網(wǎng)信辦網(wǎng)站上公開(kāi)了可以做測(cè)評(píng)的機(jī)構(gòu)列表，必須從這列表中選擇，否則無(wú)法實(shí)現(xiàn)測(cè)評(píng)備案編輯ppt數(shù)據(jù)保護(hù)范圍：個(gè)人信息保護(hù)、用戶信息保護(hù)和商業(yè)秘密保護(hù)。四、網(wǎng)絡(luò)信息安全—數(shù)據(jù)保護(hù)個(gè)人信息：個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。用戶信息：引入了“用戶信息”的概念，可以理解為在用戶使用產(chǎn)品或服務(wù)過(guò)程中收集的信息構(gòu)成用戶信息，包括IP地址、用戶名和密碼、上網(wǎng)時(shí)間、Cookie信息等。商業(yè)秘密：是指不為公眾所知悉、能為權(quán)利人帶來(lái)經(jīng)濟(jì)利益，具有實(shí)用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營(yíng)信息。編輯ppt用戶信息保護(hù)要點(diǎn)收集：網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；保護(hù)：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。四、網(wǎng)絡(luò)信息安全—數(shù)據(jù)保護(hù)商業(yè)秘密保護(hù)要點(diǎn)依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門(mén)及其工作人員，必須對(duì)在履行職責(zé)中知悉的個(gè)人信息、隱私和商業(yè)秘密?chē)?yán)格保密，不得泄露、出售或者非法向他人提供。編輯ppt數(shù)據(jù)本地化關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。四、網(wǎng)絡(luò)信息安全—數(shù)據(jù)本地化其它規(guī)定下列數(shù)據(jù)在其它法律里有本地化要求：國(guó)家秘密和國(guó)家安全數(shù)據(jù)、征信數(shù)據(jù)、個(gè)人金融信息、地圖數(shù)據(jù)、網(wǎng)絡(luò)出版服務(wù)所需的必要的技術(shù)設(shè)備、網(wǎng)約車(chē)相關(guān)數(shù)據(jù)和信息。編輯ppt國(guó)家及主管部門(mén)建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息國(guó)家網(wǎng)信部門(mén)協(xié)調(diào)有關(guān)部門(mén)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練網(wǎng)絡(luò)安全事件發(fā)生的風(fēng)險(xiǎn)增大時(shí)，省級(jí)以上人民政府有關(guān)部門(mén)應(yīng)當(dāng)按照規(guī)定的權(quán)限和程序，并根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的特點(diǎn)和可能造成的危害：檢測(cè)、評(píng)估、預(yù)警、補(bǔ)救措施發(fā)生網(wǎng)絡(luò)安全事件，應(yīng)當(dāng)立即啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查和評(píng)估，要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取技術(shù)措施和其他必要措施，消除安全隱患，防止危害擴(kuò)大，并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息五、監(jiān)測(cè)預(yù)警與應(yīng)急處理編輯ppt行政處罰責(zé)令改正、警告、罰款，責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員等進(jìn)行罰款等；有關(guān)機(jī)關(guān)還可以把違法行為記錄到信用檔案。對(duì)于“非法入侵”等，法律還建立了職業(yè)禁入的制度。

六、法律責(zé)任民事責(zé)任違法《網(wǎng)絡(luò)安全法》的行為給他人造成損失的，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)承擔(dān)相應(yīng)的民事責(zé)任。治安管理處罰/刑事責(zé)任違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。編輯ppt七、電力企業(yè)守法要點(diǎn)法律合規(guī)要求

1.關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)義務(wù)，包括：設(shè)置專門(mén)安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核