主讲:老孙
适用:2026年下半年系统规划与管理师考试
预计阅读时间:50分钟
一、上节回顾
上一讲讲完知识产权与软件版权——IT 资产的"产权护城河"。今天讲信息安全四大法律——数字化时代的"安全底线"。
我做项目 20 年,目睹了中国信息安全立法的"加速时期"——2017 网安法 / 2021 数安法 / 2021 个保法 / 2021 关基条例。短短 5 年内 4 部信息安全核心法律相继出台,标志着中国进入"信息安全严监管时代"。
1.1 四大法律的"3 大根本作用"
第一,保障国家安全——网络空间是国家主权
第二,保护人民利益——个人信息与数据权益
第三,护航数字经济——为数字化转型提供法律底座
3 大根本作用 = 四大法律对中国"不可替代"。
1.2 中国信息安全立法"3 个事实"
事实 1:2017-2021 年中国陆续出台 4 部核心信息安全法律
事实 2:网络安全事件年报告 ≥ 1000+ 起
事实 3:信息安全产业市场年 1500 亿 +
3 大事实 = 中国信息安全"时代背景"。
二、本讲导读
2.1 学习目标
- 【是什么】 准确说出 4 部核心法律 + 等保 2.0
- 【为什么】 理解 4 部法律为何是 IT 行业"必修课"
- 【怎么用】 能为一个组织设计信息安全合规体系
2.2 本讲在课程地图中的位置
本讲对标教材 第 23 章 信息安全法律法规。
2.3 一句话理解四大法律
网安法 + 数安法 + 个保法 + 关基条例 = 数字化时代的"安全底线"四件套。
【虚构案例提示】 本讲涉及"智慧邻里2.0项目""清华园物业""北京知知致用信息技术有限公司"均为培训教学所用的虚拟项目与虚构人物(详见第01讲首次案例声明)。
三、网络安全法(2017)
3.1 网安法概览
- 全称:中华人民共和国网络安全法
- 颁布:2016 年 11 月 7 日
- 生效:2017 年 6 月 1 日
- 中国第一部网络安全综合性法律
3.2 网安法的"5 大核心内容"
内容 1:网络运营者义务
- 安全防护义务
- 事件应急义务
- 实名制义务
- 安全培训义务
内容 2:关键信息基础设施
- 识别认定
- 重点保护
- 国家安全审查
内容 3:个人信息保护
- 收集告知 + 同意
- 不得泄露 / 篡改
- 不得提供第三方(除法律规定)
内容 4:网络监测预警
- 国家建立监测预警体系
- 应急处置机制
内容 5:法律责任
- 警告 / 罚款 / 吊销资质
- 严重者刑事追诉
5 大核心内容 = 网安法"骨架"。
3.3 网安法"6 大重要制度"
- 网络运营者安全等级保护制度(等保 2.0)
- 关键信息基础设施保护制度
- 网络产品安全审查制度
- 个人信息保护制度
- 监测预警制度
- 应急处置制度
6 大制度 = 网安法"执行抓手"。
四、数据安全法(2021)
4.1 数安法概览
- 全称:中华人民共和国数据安全法
- 颁布:2021 年 6 月 10 日
- 生效:2021 年 9 月 1 日
- 中国数据安全的"基本法"
4.2 数安法的"5 大核心内容"
内容 1:数据分类分级
- 一般数据
- 重要数据
- 核心数据
内容 2:数据安全管理
- 全生命周期管理
- 数据出境合规
内容 3:数据安全审查
- 影响国家安全的数据处理需审查
内容 4:数据流通
- 鼓励合规流通
- 反对数据垄断
内容 5:法律责任
- 最高罚款 1000 万 + 5 倍违法所得
- 严重者刑事追诉
5 大核心内容 = 数安法"骨架"。
4.3 数据分类分级的"4 级标准"
- 一般数据
- 重要数据
- 核心数据(少数)
3 级分类 = 数据安全"基础工作"。
五、个人信息保护法(2021)
5.1 个保法概览
- 全称:中华人民共和国个人信息保护法
- 颁布:2021 年 8 月 20 日
- 生效:2021 年 11 月 1 日
- 中国 GDPR
5.2 个保法的"5 大核心内容"
内容 1:处理规则
- 告知 + 同意
- 最小必要原则
- 公开透明
- 质量准确
- 安全保护
内容 2:敏感个人信息
- 单独同意
- 生物识别 / 宗教 / 医疗 / 金融账户 / 14 岁以下儿童等
内容 3:跨境传输
- 安全评估
- 个人单独同意
- 影响评估
内容 4:个人权利
- 知情权
- 决定权
- 查阅权
- 复制权
- 更正权
- 删除权
- 解释权
内容 5:法律责任
- 最高罚款 5000 万 + 5% 营业额
- 严重者刑事追诉
5 大核心内容 = 个保法"骨架"。
5.3 个保法"7 大处理原则"
- 合法(必须有合法依据)
- 正当(不得欺诈胁迫)
- 必要(最小化原则)
- 公开(公开处理目的)
- 透明(告知具体处理)
- 准确(数据准确完整)
- 安全(保障安全)
7 大处理原则 = 个保法"DNA"。
六、关基条例(2021)
6.1 关基条例概览
- 全称:关键信息基础设施安全保护条例
- 颁布:2021 年 7 月 30 日
- 生效:2021 年 9 月 1 日
- 国务院行政法规
6.2 关基的"识别范围"
- 公共通信和信息服务
- 能源
- 交通
- 水利
- 金融
- 公共服务
- 电子政务
- 国防科技工业
- 其他重要行业
8+ 行业关键系统 = 关基范围。
6.3 关基的"5 大特殊要求"
- 实施等保三级及以上
- 数据本地化
- 网络产品安全审查
- 应急演练
- 监测预警
5 大特殊要求 = 关基"硬约束"。
七、等保 2.0
7.1 等保 2.0 概览
- 网络安全等级保护制度 2.0
- 2019 年正式实施
- 国标 GB/T 22239、GB/T 22240 等
7.2 等保"5 级保护"
- 1 级:自主保护级
- 2 级:指导保护级
- 3 级:监督保护级
- 4 级:强制保护级
- 5 级:专控保护级
5 级保护 = 等保"分级体系"。
7.3 等保 2.0 的"5 大特点"
- 全覆盖(云 / 大数据 / IoT / 移动 / 工控)
- 强化技术(密码 + 监测)
- 突出关基
- 强化责任
- 与网安法对接
5 大特点 = 等保 2.0"DNA"。
清华园物业核心系统过等保 2.0 三级——这是中型物业"标准要求"。
八、案例锚点:清华园物业信息安全合规
8.1 起点(2024)
- 信息安全制度零散
- 无系统化合规
- 安全事件偶发
8.2 18 个月建设
Phase 1:
- 4 大法律盘点
- 等保 2.0 三级筹备
- 个人信息保护审计
Phase 2:
- 等保 2.0 三级通过
- 个保法影响评估
- 数据分类分级
Phase 3:
- 应急响应演练
- 持续合规审计
8.3 关键成果
- 等保 2.0 三级证书
- 个人信息保护合规
- 数据分类分级完成
- 安全事件 0
- 业主信息泄露 0
信息安全合规 = 中型物业"安全底线"。