一、概述

通過上一篇文章初步瞭解了法律位階、網安行業的監管機構及其職責；本文將會介紹網安法立法歷程，以及網安基本法律法規的解讀。

二、網安立法歷程

網際網路已經發展了50多年，中國接入網際網路也已近30年，經歷過了"亂象叢生"的野蠻生長時代，如今各項法律法規、條例等也在陸續完善和出臺，行業逐漸走向成熟化、規範化。

法律法規、條例辦法概覽（以正式施行時間或最後修訂時間為序）：

其中具備里程碑意義的，如：

• 《資訊保安等級保護管理辦法》
  即我們常稱的《等保》，是由公安部、國家保密局、國家密碼管理局、國務院資訊聯合釋出，於2007年6月22日正式施行；該《辦法》是為規範資訊保安等級保護管理，提高資訊保安保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進資訊化建設，根據《中華人民共和國計算機資訊系統安全保護條例》等有關法律法規而制定。

- 《中華人民共和國國家安全法》
2015年頒佈，首次提出『網路空間主權』這一概念，其中提到的關鍵基礎設施、資料安全法、網路安全審查制度等，都在近年逐一落實，具有一定的前瞻性和指向性。

- 《中華人民共和國網路安全法》
由全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過，自2017年6月1日起施行。
《網路安全法》是為保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會資訊化健康發展而制定的法律。網路安全法共有7章79條，內容上有6方面突出亮點：
第一，明確了網路空間主權的原則；第二，明確了網路產品和服務提供者的安全義務；第三，明確了網路運營者的安全義務；第四，進一步完善了個人資訊保護規則；第五，建立了關鍵資訊基礎設施安全保護制度；第六，確立了關鍵資訊基礎設施重要資料跨境傳輸的規則。

• 沒有網路安全就沒有國家安全
  網路安全牽一髮而動全身，深刻影響政治、經濟、文化、社會、軍事等各領域安全。沒有網路安全就沒有國家安全，就沒有經濟社會穩定執行，廣大人民群眾利益也難以得到保障。
  ——2018年4月20日在全國網路安全和資訊化工作會議上的講話

• 《中華人民共和國刑法修正案(十一)》
  由2020年12月26日中華人民共和國第十三屆全國人大常委會第二十四次會議通過，2020年12月26日中華人民共和國主席令（第六十六號）公佈，自2021年3月1日起施行。其中重新對個人資訊定義範圍進行了擴充(相比網安法)，入侵計算機資訊系統和非法獲取/利用計算機資訊系統資料、及拒不履行資訊網路安全管理義務等都將收到刑法修正案的處罰。

• 《關鍵資訊基礎設施安全保護條例》
  xxxxxx

• 《中華人民共和國資料安全法》
  xxxxx

• 《中華人民共和國個人資訊保護法》
  xxxx

三、網安基本法律解讀

會對《國家安全法》、《等級保護制度》、《網路安全法》、《資料安全法》、《個人資訊保護法》進行解讀。

1、《國家安全法》

早在1993年，國家就頒佈過一部國家安全法(主席令68號)，主要是規定國家安全機關履行職責尤其是反間諜方面的工作職責。但隨著國家形勢的發展變化，舊版本的法律已經難以適用全面維護各領域國家安全的需要(在2014年通過《反間諜法》後相應被廢止)。2015年7月1日，第十二屆全國人民代表大會常務委員會第十五次會議通過，中華人民共和國主席令第29號公佈了《中華人民共和國國家安全法》。

《國家安全法》7章84條，其中的一大亮點是，第一次提出了"網路空間主權"的概念，可以理解為國家主權在網路空間的體現、延伸和反映。網路安全不再小眾範，已然上升到了國家主權層面。

《國家安全法》第二十五條規定，“加強網路管理，防範、制止和依法懲治網路攻擊、網路入侵、網路竊密、散佈違法有害資訊等網路違法犯罪行為，維護國家網路空間主權、安全和發展利益。”提出網路空間主權這一概念，是國家安全法的一大創新。在網際網路時代，國家疆域呈現陸地、海洋、空間、太空、網路空間五維格局，網路空間主權隨之出現。近年來，稜鏡門、維基解密以及大規模網際網路使用者資訊洩露等重大網路安全事件頻發，網路空間安全形勢日益嚴峻。在這種情況下，大多數國家都把特定網路置於自己主權管轄之下，並對相關網路行為進行約束和規範。在《國家安全法》中確立網路空間主權這一概念，有助於我國加強網路空間治理，建設網路安全保障體系，參與網路國際治理和合作，捍衛我國網路空間主權安全。

2、《網路安全等級保護基本要求》

《網路安全等級保護基本要求》由公安三所（公安部資訊保安等級保護評估中心）牽頭起草，2019年5月10日，國家標準《資訊保安技術 網路安全等級保護基本要求》(GB/T 22239-2019)釋出，將於2019年12月1日起實施。該標準貫徹了《網路安全法》關於網路安全等級保護制度的最新要求，替代了之前的《資訊保安技術 資訊系統安全等級保護基本要求》(GB/T 22239-2008)。

2.1、與舊版本的差異

隨著雲端計算、大資料、物聯網、移動網際網路、工控等技術的蓬勃發展，原有版本（《資訊保安技術 資訊系統安全等級保護基本要求》(GB/T 22239-2008)）不能完全適用新的發展場景，在時效性、易用性、可操作性上需要進一步完善，基於此誕生了新版本（《資訊保安技術 網路安全等級保護基本要求》(GB/T 22239-2019)）。

• 名稱：
  《資訊保安技術 資訊系統安全等級保護基本要求》(GB/T 22239-2008) ———〉 《資訊保安技術 網路安全等級保護基本要求》(GB/T 22239-2019)

• 範圍擴大：
  由原來的資訊系統調整為基礎資訊網路、資訊系統（含採用移動互聯技術的系統）、雲端計算平臺/系統、大資料應用/平臺/資源、物聯網和工業控制系統，更加適用於當前的安全場景。

• 安全要求細化
  對各級別的安全要求，分為安全通用要求和安全擴充套件要求，貼合不同場景，是的標準更具靈活性和針對性，通用安全要求針對共性問題，擴充套件安全要求針對差異化問題。
  第一級到第四級的安全要求都由“安全通用要求”和“安全擴充套件要求組成”，不同級別隨著安全性的提高安全要求逐漸嚴格。
  

• 技術和管理要求擴充
  技術要求：由 “ 物理安全” 、“ 網路安全” 、“ 主機安全” 、“ 應用安全” 、“ 資料安全和備份與恢復” ———> 修訂為
  “ 安全物理環境” 、“ 安全通訊網路” 、“ 安全區域邊界” 、“ 安全計算環境” 和“ 安全管理中心”

• 管理要求：由“ 安全管理制度” 、“ 安全管理機構” 、“ 人員安全管理” 、“ 系統建設管理” 、“ 系統運維管理” ------> 修訂為
  “安全管理制度” 、“ 安全管理機構” 、“ 安全管理人員” 、“ 安全建設管理” 、“ 安全運維管理”

• 增加對“雲端計算”、“移動網際網路”、“物聯網”、“工業控制系統”的安全要求，以及定級結果和安全要求的關係

2.2、安全通用要求和安全拓展要求

• 安全通用要求，分為技術要求和管理要求
  技術要求分類體現了從外部到內部的縱深防禦思想。對等級保護物件的安全防護應考慮從通訊網路到區域邊界再到計算環境的從外到內的整體防護, 同時考慮對其所處的物理環境的安全防護。對級別較高的等級保護物件還需要考慮對分佈在整個系統中的安全功能或安全元件的集中技術管理手段。

管理要求，安全管理的三要素：組織機構、制度、人，缺一不可，同時還應該系統建設整改過程中和執行維護過程中的重要活動實施控制和管理。在平常的安全運營工作中都有對映，如“安全制度”的制定/修訂/執行，“安全管理人員”中員工在企業全生命週期的安全培訓和教育，“安全運維管理”更是囊括了資產管理、漏洞和風險管理、安全事件處置、應急預案等等，安全的工作都能在其中找到關聯和對應。

• 安全拓展要求
  • 雲端計算安全擴充套件要求針對雲端計算環境的特點提出。主要內容包括“ 基礎設施的位置” 、“ 虛擬化安全保護” 、“ 映象和快照保護” 、“ 雲端計算環境管理” 和“ 雲服務商選擇” 等。
    
  • 移動互聯安全擴充套件要求針對移動互聯的特點提出。主要內容包括“ 無線接入點的物理位置” 、“ 移動終端管控” 、“ 移動應用管控” 、“ 移動應用軟體採購” 和“ 移動應用軟體開發” 等。
    
  • 物聯網安全擴充套件要求針對物聯網的特點提出。主要內容包括“ 感知節點的物理防護” 、“ 感知節點裝置安全” 、“ 閘道器節點裝置安全” 、“ 感知節點的管理” 和“ 資料融合處理” 等。
    
  • 工業控制系統安全擴充套件要求針對工業控制系統的特點提出。主要內容包括“ 室外控制裝置防護” 、“ 工業控制系統網路架構安全” 、“ 撥號使用控制” 、“ 無線使用控制” 和“ 控制裝置安全” 等。