第二章 網絡安全支持與促進

第十五條 網絡安全標準

●法律

1.《數據安全法》（2021年6月10日）

第17條 國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。

●行政法規及文件

2.《關鍵信息基礎設施安全保護條例》（2021年7月30日）

第39條 運營者有下列情形之一的，由有關主管部門依據職責責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

（一）在關鍵信息基礎設施發生較大變化，可能影響其認定結果時未及時將相關情況報告保護工作部門的；

（二）安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用的；

（三）未建立健全網絡安全保護制度和責任制的；

（四）未設置專門安全管理機構的；

（五）未對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查的；

（六）開展與網絡安全和信息化有關的決策沒有專門安全管理機構人員參與的；

（七）專門安全管理機構未履行本條例第十五條規定的職責的；

（八）未對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，未對發現的安全問題及時整改，或者未按照保護工作部門要求報送情況的；

（九）采購網絡產品和服務，未按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議的；

（十）發生合并、分立、解散等情況，未及時報告保護工作部門，或者未按照保護工作部門的要求對關鍵信息基礎設施進行處置的。

第十六條 網絡安全技術和產業發展

●部門規章及文件

《網絡安全審查辦法》（2021年12月28日）

第3條 網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。

第5條 關鍵信息基礎設施運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。

關鍵信息基礎設施安全保護工作部門可以制定本行業、本領域預判指南。

第十七條 網絡安全社會化服務體系建設

●法律

1.《數據安全法》（2021年6月10日）

第18條 國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。

國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。

2.《密碼法》（2019年10月26日）

第26條 涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供。商用密碼產品檢測認證適用《中華人民共和國網絡安全法》的有關規定，避免重復檢測認證。

商用密碼服務使用網絡關鍵設備和網絡安全專用產品的，應當經商用密碼認證機構對該商用密碼服務認證合格。

第27條 法律、行政法規及文件和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測評。

關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務，可能影響國家安全的，應當按照《中華人民共和國網絡安全法》的規定，通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。

●行政法規及文件

3.《關鍵信息基礎設施安全保護條例》（2021年7月30日）

第15條 專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行下列職責：

（一）建立健全網絡安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；

（二）組織推動網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估；

（三）按照國家及行業網絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網絡安全事件；

（四）認定網絡安全關鍵崗位，組織開展網絡安全工作考核，提出獎勵和懲處建議；

（五）組織網絡安全教育、培訓；

（六）履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；

（七）對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

（八）按照規定報告網絡安全事件和重要事項。

●部門規章及文件

4.《通信網絡安全防護管理辦法》（2010年1月21日）

第12條 通信網絡運行單位應當按照以下規定組織對通信網絡單元進行安全風險評估，及時消除重大網絡安全隱患：

（一）三級及三級以上通信網絡單元應當每年進行一次安全風險評估；

（二）二級通信網絡單元應當每兩年進行一次安全風險評估。

國家重大活動舉辦前，通信網絡單元應當按照電信管理機構的要求進行安全風險評估。

通信網絡運行單位應當在安全風險評估結束后三十日內，將安全風險評估結果、隱患處理情況或者處理計劃報送通信網絡單元的備案機構。

第十八條 數據資源安全保護和利用

第十九條 網絡安全宣傳教育

●法律

《廣告法》（2021年4月29日）

第73條 國家鼓勵、支持開展公益廣告宣傳活動，傳播社會主義核心價值觀，倡導文明風尚。

大眾傳播媒介有義務發布公益廣告。廣播電臺、電視臺、報刊出版單位應當按照規定的版面、時段、時長發布公益廣告。公益廣告的管理辦法，由國務院市場監督管理部門會同有關部門制定。

第二十條 網絡安全人才培養

●法律

1.《數據安全法》（2021年6月10日）

第20條 國家支持教育、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓，采取多種方式培養數據開發利用技術和數據安全專業人才，促進人才交流。

2.《電影產業促進法》（2016年11月7日）

第42條 國家實施電影人才扶持計劃。

國家支持有條件的高等學校、中等職業學校和其他教育機構、培訓機構等開設與電影相關的專業和課程，采取多種方式培養適應電影產業發展需要的人才。

國家鼓勵從事電影活動的法人和其他組織參與學校相關人才培養。