前言
随着我(wǒ)(wǒ)國信息化建設的不斷推進和互聯網應用的日趨普及,網絡安全問題層出不窮:網絡入侵、網絡攻擊等非法活動威脅了我(wǒ)(wǒ)國信息安全;非法獲取、倒賣公民信息、侵犯知(zhī)識産權損害了我(wǒ)(wǒ)國公民的合法利益;危害國家安全、社會穩定與公共利益的不良信息借助網絡迅速傳播。反觀國外(wài),包括歐盟、美國、日本在内的國家或組織紛紛制定了與網絡安全相關的法律。
因此,《網絡安全法》的制定對我(wǒ)(wǒ)國相關立法工(gōng)作的重要性、完備性和緊迫性而言非常重要也非常必要。它是落實黨中(zhōng)央決策部署的重要舉措,是維護網絡安全的客觀需要,是維護大(dà)衆切身利益的必然要求,也是我(wǒ)(wǒ)國參與互聯網國際競争和國際治理的必然選擇。
《網絡安全法》的頒布實施,最重要的意義在于它把網絡安全工(gōng)作以法律形式提高到了國家安全戰略的高度,并将信息安全等級保護制度上升爲法律,成爲維護國家網絡空間主權、安全和發展利益的重要舉措。同時,它的出台也符合維護網絡安全的客觀需要,提高了全社會網絡安全保護的意識和能力,确保今後網絡使用更加安全、開(kāi)放(fàng)和便利。
關鍵内容
√ 基于《網絡安全法》要求,對近期與該法相關的法規标準進行了歸納總結,從而爲組織機構在法律應對與實施的具體(tǐ)操作中(zhōng)提供參考指南(nán);同時,本指南(nán)還識别了其他國家和地區的相關法規和标準,從而爲國内組織機構在應對、實施《網絡安全法》時提供對比和參考内容。
√ 本指南(nán)從網絡安全管理、網絡安全技術和個人信息保護等三方面的法律、法規監管要求出發,爲組織機構提供了合規差距分(fēn)析的參考維度及相應的合規要求;同時,在合規應對實施環節,從網絡運營安全、網絡信息安全及關鍵信息基礎設施保護等三方面,就“相關責任方”、“管理措施”及“技術措施”等三個維度總結了具體(tǐ)實施要點。
√ 爲确保組織機構建立完善的信息安全管理體(tǐ)系,本指南(nán)以信息安全等級保護制度和網絡安全等級保護及其他法規要求爲基礎,總結并設計出了包括安全策略、安全管理和安全技術在内的等級保護體(tǐ)系;同時,基于《網絡安全法》中(zhōng)對組織人員(yuán)能力和意識的要求,給出了相應的教育模型和培訓案例,最終實現組織信息安全的持續改進。
引言
2017年6月1日正式實施的《網絡安全法》具有裏程碑式的意義。它不僅是我(wǒ)(wǒ)國第一(yī)部網絡安全的專門性綜合性立法,提出了應對網絡安全挑戰這一(yī)全球性問題的中(zhōng)國方案,彰顯了黨和國家對網絡安全問題的高度重視,同時,它還是我(wǒ)(wǒ)國網絡安全法治建設的重要裏程碑,使得今後我(wǒ)(wǒ)國網絡安全管理工(gōng)作步入法制化軌道,信息安全行業将由合規性驅動過渡到合規性和強制性驅動并重的新階段。
《網絡安全法》在網絡空間主權、國家網絡安全等級保護制度、關鍵信息基礎設施保護、網絡運營者、網絡産品和服務提供者義務、保障網絡信息安全,個人信息保護、關鍵信息基礎設施重要數據跨境傳輸、監測預警與應急處置等方面做出明确規定。因此,國内組織機構,特别是涉及關鍵信息基礎設施的行業機構在踐行《網絡安全法》時,一(yī)方面應切實履行好自身網絡安全工(gōng)作的責任與義務,另一(yī)方面,還需要依據《網絡安全法》的法律要求進行落地實施,有效提高自身的網絡安全保護水平。
一(yī)、《網絡安全法》概述
1. 立法背景
2014年2月中(zhōng)央網絡安全和信息化領導小(xiǎo)組成立,标志(zhì)着我(wǒ)(wǒ)國把網絡安全提升到了國家安全的高度并開(kāi)始醞釀網絡安全法編寫工(gōng)作;2015年6月十二屆全國人大(dà)常委會審議了《網絡安全法(草案)》,2016年7月二次審議稿正式在中(zhōng)國人大(dà)網公布,并向社會公開(kāi)征求意見;2016年11月7日,曆經全國人大(dà)常委會兩次審議的關于我(wǒ)(wǒ)國網絡安全管理的法律《中(zhōng)華人民共和國網絡安全法》最終審議通過,并于2017年6月1日正式實施。
與國外(wài)立法相比,《網絡安全法》曆經三年就發布實施無疑是快速的。這是因爲中(zhōng)國當前的網絡安全迫切要求。網絡已經深刻地融入了中(zhōng)國經濟社會生(shēng)活的各個方面,網絡安全威脅也随之向經濟社會的各個層面滲透,網絡安全的重要性随之不斷提高。
一(yī)方面,黨的十八大(dà)以來,國家主管部門加強了國家網絡安全工(gōng)作并做出了重要的部署,對加強網絡安全法制建設提出了明确的要求,制定《網絡安全法》是适應我(wǒ)(wǒ)們國家網絡安全工(gōng)作新形勢、新任務,落實中(zhōng)央決策部署,保障網絡安全和發展利益的重大(dà)舉措,是落實國家總體(tǐ)安全觀的重要舉措。另一(yī)方面,中(zhōng)國是網絡大(dà)國,也是面臨網絡安全威脅最嚴重的國家之一(yī),迫切需要建立和完善網絡安全的法律制度,提高全社會的網絡安全意識和網絡安全保障水平,使我(wǒ)(wǒ)們的網絡更加安全、更加開(kāi)放(fàng)、更加便利,也更加充滿活力。
在這樣的形勢下(xià),制定網絡安全法是維護國家廣大(dà)人民群衆切身利益的需要,是維護網絡安全的客觀需要,是落實國家總體(tǐ)安全觀的重要舉措。
2. 立法意義
《網絡安全法》旨在保障我(wǒ)(wǒ)國網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展。其立法的意義主要體(tǐ)現在以下(xià)幾點:
該法從法律層面上把我(wǒ)(wǒ)國網絡安全工(gōng)作提高到了國家安全戰略的高度,強調對關鍵信息基礎設施及個人信息數據的保護,明确了國家、主管部門、網絡所有者、運營者及普通用戶各自的責任以及違規後的相關處罰。
該法律的出台對我(wǒ)(wǒ)國互聯網安全管理具有重大(dà)意義,是我(wǒ)(wǒ)國網絡安全法律法規體(tǐ)系建設的一(yī)個重要裏程碑,爲我(wǒ)(wǒ)國網絡安全工(gōng)作提供了法律依據。
從企業角度來看,該法律将強化互聯網監管力度,規範網絡空間秩序,爲企業“互聯網+”業務的發展營造良好的環境。
從個人角度來看,在當前個人信息因信息管理出現漏洞而被洩露并違法使用,進而導緻個人權利和利益頻(pín)遭侵害的背景下(xià),該法律對個人信息保護提出了明确要求,從而有效地保障了公民權利。
3. 内容概述
3.1 法律内容
《網絡安全法》全文共7章79條。其中(zhōng),第三章“網絡運行安全”和第四章“網絡信息安全”分(fēn)别對網絡運營者、關鍵信息基礎設施的網絡運行和個人信息管理做了詳細說明。
《網絡安全法》章節概覽
3.2 保護對象
縱觀法律全文,《網絡安全法》的重點保護對象主要針對第三章第二節 “關鍵信息基礎設施的運行安全”中(zhōng)的“關鍵信息基礎設施”和第四章“網絡信息安全”中(zhōng)的“個人信息”。
1) 關鍵信息基礎設施
由于關鍵信息基礎設施在國家網絡安全中(zhōng)有着舉足輕重的作用,因此,國家對重要行業和領域,以及其他一(yī)旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生(shēng)、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
關鍵信息基礎設施保護範圍:
政府機關和能源、金融、交通、水利、衛生(shēng)醫療、教育、社保、環境保護、公用事業等行業領域的單位;
電(diàn)信網、廣播電(diàn)視網、互聯網等信息網絡,以及提供雲計算、大(dà)數據和其他大(dà)型公共信息網絡服務的單位;
國防科工(gōng)、大(dà)型裝備、化工(gōng)、食品藥品等行業領域科研生(shēng)産單位;
廣播電(diàn)台、電(diàn)視台、通訊社等新聞單位;
其他重點單位。
* 以上關鍵信息關鍵基礎設施的範圍參考了網信辦2017年7月發布的《關鍵信息基礎設施安全保護條例(征求意見稿)》
2) 個人信息
個人信息是指以電(diàn)子或其他方式記錄的能夠單獨或與其他信息結合識别自然人身份的各種信息,包括與确定自然人相關的生(shēng)物(wù)特征、位置、行爲等信息,如姓名、出生(shēng)日期、身份證号、個人賬号信息、住址、電(diàn)話(huà)号碼、指紋、虹膜等。
*以上個人信息的定義參考了全國信息安全标準化技術委員(yuán)會2016年12月發布的《個人信息安全規範(征求意見稿)》
3.3 保護方法
《網絡安全法》中(zhōng)涉及的保護方法主要有以下(xià)幾種:
1) 實施等級保護
《網絡安全法》第二十一(yī)條規定“網絡運營者應當按照網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改”。
2) 網絡運行安全和關鍵信息基礎設施保護
在确保網絡運行安全方面,要制定安全制度,落實安全職責,部署安全技術措施,防範網絡攻擊(第21條);确保網絡産品和服務的安全性和合規性(第22條);網絡關鍵設備和網絡安全專用産品的安全認證和安全檢測(第23條);建立網絡安全事件處置流程,及時啓動應急預案(第25條);關鍵信息基礎設施的網絡安全與信息化應做到“三同步”(第33條);設立信息安全專門機構和負責人,定期培訓考核,系統與數據容災備份,應急預案并定期演練(第39條);采購安全産品與服務要接受主管部門的安全審查(第35條);要與安全産品與服務方簽訂保密協議(第36條);重要數據和個人信息跨境傳輸(第37條);至少每年進行一(yī)次安全評估,并向主管部門上報評估結果;主管部門對關鍵信息基礎設施進行抽查檢測與評估(第38、39條)。
3) 個人信息保護
在個人信息保護方面,組織應制定敏感信息保護制度(第21(4)、37、40、45、47、48、50條);網絡運營者收集、使用個人信息時,要向用戶明示并取得同意,不得超範圍濫用個人信息(第22、41、44、45條);網絡運營者應當采取技術措施和其他必要措施,确保其收集的個人信息安全(第42條);個人有權要求網絡運營者删除和更改其個人信息(第43條);網絡運營者要對其内部及外(wài)部用戶使用網絡行爲進行監督(第46、47、48條);網絡運營者應當建立網絡信息安全投訴、舉報制度,配合主管部門的調查與處置(第49、50條)。
4) 網絡安全檢測與預警
爲保障網絡安全,《網絡安全法》第二十一(yī)條還規定,“網絡運營者應當采取監測、記錄網絡運行狀态、網絡安全事件的技術措施,并按照規定留存相關的網絡日志(zhì)不少于六個月”, 第五十二條規定,“負責關鍵信息基礎設施安全保護工(gōng)作的部門,應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,并按照規定報送網絡安全監測預警信息。”;第五十一(yī)條規定,國家層面上“國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分(fēn)析和通報工(gōng)作,按照規定統一(yī)發布網絡安全監測預警信息。”
5) 網絡安全應急管理
《網絡安全法》第二十五條規定,“普通網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生(shēng)危害網絡安全的事件時,立即啓動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。“;第三十四條規定,“關鍵信息基礎設施的運營者除制定網絡安全事件應急預案外(wài)還應定期進行演練”。對于行業監管者而言,第五十三條規定,“負責關鍵信息基礎設施安全保護工(gōng)作的部門應當制定本行業、本領域的網絡安全事件應急預案,并定期組織演練”。國家層面,第三十九條規定,“網信部門定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協同配合能力”。
6) 網絡安全技術人才培養和安全意識宣傳
《網絡安全法》第三十四條規定,關鍵信息基礎設施的運營者還應當定期對從業人員(yuán)進行網絡安全教育、技術培訓和技能考核; 第十九條則要求各級人民政府、有關部門應組織開(kāi)展經常性的網絡安全宣傳教育,并指導、督促有關單位做好網絡安全宣傳教育工(gōng)作,大(dà)衆媒體(tǐ)應有針對性地面向社會進行網絡安全宣傳教育。
7) 職責落實與違規處罰
爲确保《網絡安全法》順利實施,執行有力,該法第六章“法律責任”對所涉及責任主體(tǐ)的違法懲處進行了詳細規定。
二、《網絡安全法》實施
爲有效地推進《網絡安全法》的實施,總體(tǐ)可分(fēn)爲相關法規識别、合規差距分(fēn)析、合規對應實施和體(tǐ)系持續完善四個步驟。本部分(fēn)詳細描述前三個步驟,第三部分(fēn)“信息安全體(tǐ)系完善”描述第四個步驟。
1. 相關法規識别
《網絡安全法》第八條規定:“國務院電(diàn)信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責範圍内負責網絡安全保護和監督管理工(gōng)作。”因此,各網絡運營者在實施《網絡安全法》時,不僅要深入了解《網絡安全法》的要求,還需要參考其他配套的法規及标準,以确保《網絡安全法》的安全控制措施能有效落實。
近年來,主管部門及安全标準化機構發布了多個與《網絡安全法》實施相關的法規與标準,有的還處在征求意見當中(zhōng)。爲方便各類機構在實施《網絡安全法》時加以參考,把最重要的相關法規與标準列表如下(xià):
國内近期發布《網絡安全法》相關法規标準
國外(wài)相關法律與規範識别
組織在實施《網絡安全法》時,可以根據自身的需要對其他國家和地區的相關法規和标準進行識别,其目的一(yī)方面使國内機構借鑒國外(wài)的一(yī)些網絡安全最佳實踐,同時可以爲國外(wài)組織在國内實施網絡安全合規要求時,建立一(yī)個可以對比的參照系。
國外(wài)網絡安全相關法規
2. 合規差距分(fēn)析
以《網絡安全法》爲基礎,網絡運營者應從網絡安全管理、網絡安全技術和個人信息保護三方面綜合考慮各項法律、法規的監管要求,通過對組織現狀的了解,對組織當前合規情況進行差距分(fēn)析。
《網絡安全法》合規差距分(fēn)析
3. 合規對應實施
《網絡安全法》具體(tǐ)合規實施時,可以從網絡運營安全、網絡信息安全及關鍵信息基礎設施保護三個方面,描述對應的保護要求和對應條款,分(fēn)别從“相關責任方”、“管理措施”及“技術措施”三個維度分(fēn)析其具體(tǐ)實施要點。以下(xià)舉例說明。
3.1 網絡運營安全控制措施
3.2 網絡信息安全控制措施
3.3 關鍵信息基礎設施安全控制措施
三、信息安全體(tǐ)系完善
按照《網絡安全法》實施網絡安全控制措施,是當前國内各類組織在信息安全方面的重要實踐,但我(wǒ)(wǒ)們也要清醒地看到,落實法律的合規要求隻是組織信息安全的最基本要求,法規不可能面面俱到。因此,就算組織逐條落實了法規的要求,也隻是達到了合規的基本要求,也不能保證組織的信息安全體(tǐ)系達到一(yī)個完善的水平。
因此,在合規的基礎上,我(wǒ)(wǒ)們建議組織根據《網絡安全法》的要求,通過等級保護的方法來進一(yī)步完善信息安全保障體(tǐ)系,通過人員(yuán)安全培訓與意識教育來提升組織的人員(yuán)安全能力,通過持續安全評估與IT審計來推進安全體(tǐ)系持續完善。
1. 等級保護相關規範标準
信息安全等級保護制度是國家信息安全保障工(gōng)作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。
組織可以基于合規差距分(fēn)析結果并參照網絡安全等級保護和其他法規對信息安全的要求,建立健全組織信息安全保障體(tǐ)系,部署并完善安全管理策略和安全技術措施,持續穩定地提升信息安全水平。
到目前爲止,國家制定與頒布了與等級保護相關的多個國家标準,一(yī)些重點行業也制定了本行業的信息安全等級保護标準,等級保護的方法近年來在國内得到廣泛的應用。
已經發布的等級保護相關标準:
正在征求意見的等級保護标準修訂稿
爲配合國家落實《網絡安全法》,等級保護标準的名稱将由原來的GB/T22239-2008《信息安全技術 信息系統安全等級保護基本要求》改爲“信息安全技術 網絡安全等級保護基本要求”,标準由原來的一(yī)個标準變更爲多個部分(fēn)組成的标準,分(fēn)别爲:
等級保護對象由原來的信息系統,調整爲:安全等級保護的對象包括網絡基礎設施、信息系統、大(dà)數據、雲計算平台、物(wù)聯網、工(gōng)控系統等。
等級保護相關的定級指南(nán)、測評指南(nán)、設計技術要求、測評要求、測評過程指南(nán)等相關标準也發布了相應的修訂版(征求意見稿)。
2. 等級保護體(tǐ)系的設計
等級保護的設計分(fēn)爲安全策略設計、安全管理設計及安全技術設計三個方面的内容,形成信息安全保障體(tǐ)系的組織體(tǐ)系、策略體(tǐ)系、技術體(tǐ)系及運行體(tǐ)系。
2.1 總體(tǐ)安全策略設計
總體(tǐ)策略設計的目标是形成組織綱領性的安全策略文件,包括确定安全方針和安全策略兩方面的内容。安全方針是闡明安全工(gōng)作的使命和意願,定義信息安全的總體(tǐ)目标,規定信息安全責任機構和職責,建立安全工(gōng)作運行模式等;安全策略是說明安全工(gōng)作的主要策略,包括安全組織機構劃分(fēn)策略、業務系統分(fēn)級策略、數據信息分(fēn)級策略、等級保護對象互連策略、信息流控制策略等。
通過方針與策略的設計,以便組織可以結合等級保護基本要求系列标準、行業基本要求和安全保護特殊要求,構建機構等級保護對象的安全技術體(tǐ)系結構和安全管理體(tǐ)系結構。對于新建的等級保護對象,應在立項時明确其安全保護等級,并按照相應的保護等級要求進行總體(tǐ)安全策略設計。
2.2 安全管理體(tǐ)系設計
根據等級保護基本要求系列标準、行業基本要求、安全需求分(fēn)析報告等,設計等級保護對象安全管理體(tǐ)系框架。主要是從安全管理制度、安全管理機構、人員(yuán)安全管理、系統建設管理、系統運維管理五個方面進行設計。
安全管理體(tǐ)系設計成果可分(fēn)爲四層。第一(yī)層爲總體(tǐ)方針、安全策略,通過信息安全總體(tǐ)方針、安全策略明确機構信息安全工(gōng)作的總體(tǐ)目标、範圍、原則等。第二層爲信息安全管理制度,通過對信息安全活動中(zhōng)的各類内容建立管理制度,約束信息安全相關行爲。第三層爲安全技術标準、操作規程,通過對管理人員(yuán)或操作人員(yuán)執行的日常管理行爲建立操作規程,規範信息安全管理制度的具體(tǐ)技術實現細節。第四層爲記錄、表單,用于在信息安全管理制度、操作規程實施時需填寫的表單和需保留的操作記錄。
2.3 安全技術體(tǐ)系設計
根據組織總體(tǐ)安全策略文件、GB/T 22239、行業基本要求和安全需求,設計等級保護對象的安全技術體(tǐ)系架構。等級保護對象的安全技術防護體(tǐ)系由從外(wài)到内的“縱深防禦”體(tǐ)系構成,首先通過“物(wù)理環境安全防護”保護服務器、網絡設備以及其他設備設施免遭地震、火(huǒ)災、水災、盜竊等事故導緻的破壞,然後通過“通信網絡安全防護”保護暴露于外(wài)部的通信線路和通信設備,通過“網絡邊界安全防護”對等級保護對象實施邊界安全防護,内部不同級别定級對象盡量分(fēn)别部署在相應保護等級的内部安全區域,低級别定級對象部署在高等級安全區域時遵循“就高保護”原則,對于内部安全區域将實施“主機設備安全防護”和“應用和數據安全防護”,通過“安全管理中(zhōng)心”對整個等級保護對象實施統一(yī)的安全技術管理。
等級保護對象的安全技術體(tǐ)系架構見下(xià)圖所示:
根據安全技術架構的設計,組織可以尋找相應的技術與産品來實施安全控制措施。安全技術與産品的選擇,請參考安全調查分(fēn)析機構安全牛推出的 “網絡安全行業全景圖”(http://all.aqniu.com/)。
網絡安全全景圖目前共分(fēn)爲17大(dà)安全領域,59個細分(fēn)領域,包含約200家安全企業和相關機構,比較全面地對主流的安全技術與産品進行了介紹,可以供用戶在選擇技術與産品解決方案時加以參考。
3. 信息安全教育與培訓
《網絡安全法》第三十四條規定,關鍵信息基礎設施的運營者還應當履行對從業人員(yuán)進行網絡安全教育、技術培訓和技能考核的義務。
信息安全教育與培訓是實施有效信息管理的重要基礎,組織要周期性地進行信息安全教育與培訓規劃,要在員(yuán)工(gōng)中(zhōng)形成一(yī)個行之有效、常抓不懈的氛圍,教育的形式既要生(shēng)動有趣,又(yòu)要緊湊有效。組織可以考慮采用以下(xià)NIST基于角色與職責的、框架式的安全教育模型:
組織可根據各崗位人員(yuán)信息安全能力建設需求,設計未來3到5年信息安全培訓規劃,并針對各崗位的工(gōng)作特征,制定各崗位信息安全能力需求表,以及由知(zhī)識組合成的課程。根據組織的實際情況可采用以下(xià)基于角色與職責的、框架式的課程設計。以下(xià)是基于崗位與信息安全知(zhī)識體(tǐ)對應的培訓方案示例:
此外(wài),《網絡安全法》第十九條規定,“各級人民政府及其有關部門應當組織開(kāi)展經常性的網絡安全宣傳教育,并指導、督促有關單位做好網絡安全宣傳教育工(gōng)作。“因此,網絡運營者在進行人員(yuán)能力建設的同時,還應加強包括管理層在内全員(yuán)網絡安全意識培養和重要性宣傳的工(gōng)作。
普通員(yuán)工(gōng)是各項業務的執行者,員(yuán)工(gōng)信息安全意識的薄弱是組織信息安全最大(dà)的風險。内部員(yuán)工(gōng)無意的疏忽,往往會引發敏感信息洩露等安全事件的發生(shēng)。内部員(yuán)工(gōng)的信息安全意識水平提升有助于減少信息安全風險,提升組織的總體(tǐ)信息安全水平。
組織應設計與提供貫穿員(yuán)工(gōng)整個職業生(shēng)命周期的、多種層次、多種方式的信息安全意識宣貫,提高組織全體(tǐ)員(yuán)工(gōng)的信息安全意識水平。以下(xià)是各類信息安全意識教育形式示例:
4. 安全體(tǐ)系的持續改進
組織在經過合規差距分(fēn)析并建成組織、管理和技術體(tǐ)系之後,要推進體(tǐ)系的運行。如果條件許可,組織還可以建立信息安全監控運行中(zhōng)心(SOC),對安全運行狀态進行檢測與管理。組織要持續地收集體(tǐ)系運行數據,對體(tǐ)系運行狀态進行測量,并根據測量結果建立信息安全績效考核機制,這樣才能把信息安全要求落實到業務流程和員(yuán)工(gōng)崗位之中(zhōng)。
組織要建立信息安全保障體(tǐ)系的PDCA循環模式,以推進體(tǐ)系建設的持續完善,全面提升組織的風險識别、安全防禦、安全檢測、安全響應與安全恢複能力,最終實現風險可視化、防禦主動化、運行自動化、管理流程化的安全目标,積極、主動、快速地應對網絡安全風險,保障業務與數據安全。