网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　安全法不但对各种网络行为，明确了规范和法律责任，同时还是对我们如何建设网络安全提供了指引。从条文中，可以看到 iso27001 信息安全管理体系标准的影子。

　　安全法的各种规范和要求，其实已经长期存在于各行业的行业标准和主管部门对社会网络行为的指引中，没有太大的意外。

　　但是这次是以法律的形式颁发，且法律条文清晰标示出禁止准入、行政处分和判罚、刑事判罚等一系列的红线，这让笔者不禁为大家抹了一脸冷汗，因为太多的点需要注意了。接下来笔者挑出一些条文，让客户重点关注。

　　一、范围要看清 底线不能越

　　安全法把用户网络重要性分成2个层次定位：关键信息基础设施和非关键基础设施。

　　在第三十一条明确规定：”国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

　　“关键信息基础设施的具体范围和安全保护办法由国务院制定”。第一句话明确了什么是关键信息基础设施，第二句明确了安全保护办法规范谁制定。有的网络服务提供商比如域名解析这类看起来不属于重点行业范畴，但是一但出问题会引起大面积网络无法响应，并造成公共利益受损。这种业务也会被主管部门纳入到重点管理的范畴。

　　所以建议客户在条件允许下尽量谨慎一些，把安全等级提高。

　　管理归属网信部门 不配合就处罚

　　第八条明确规定了网信部门是负责统筹和监督网络安全工作的机构。电信主管部门、公安部门和其他机关部门在各自职责范围内负责网络安全保护和监督管理工作。

　　第四十九条明确规定网络运营者必须对网信部门和有关部门依法实施的监督检查予以配合。如果不配合将按六十九条处以个人和单位罚款。注意这只是说不积极配合，如果不作为、抵制和违反规定那后果会更严重。

　　一句话，主管部门的检查必须积极配合。

　　各单位要有编制 责任落实到人

　　从第二十一、三十四条对非关键和关键信息基础设置单位明确了要有网络安全负责人、要有网络安全管理机构、要有定期技能培训和考核。简单而言就是要有编制，培训投入和明确谁背责任。

　　特别需要关注一点，本法对招聘安全技术人员的资格也提出的要求。在第六十三条规定违反第二十七条(也就是从事过非法网络攻击行为)受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

　　这个规定将对已招收或者试图招收有非法前科黑客的单位敲响了警钟。

　　二、产品技术要达标 红线不能踩

　　本法更多的是从安全建设要达到的效果提出要求，并没有列出如何安全建设标准才能实现这一目标(实际上也不方便写出来)。不过我们从规定里面还是看到了一些比较具体的安全技术建设要求：第十条中提到依照法律、行政法规的规定和国家标准的强制性要求。也就是说关于在安全产品上必须满足国家标准的要去选购(也就是要关注国家颁发标准认证产品)。这里提到标准相信不少用户会遇到不同标准有时候会出现冲突、不一致等现象。

　　在第十五条中明确了：国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

　　第二十三条：网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

　　意思就说以后关键信息系统的产品采购需要在网信部门牵头发布的《网络关键设备和网络安全专用产品目录》中选取。