《網絡安全法實施指南》公布

序言

伴隨著在我國信息化規(guī)劃的不斷推進和互聯(lián)網應用的日趨普及化，網絡安全事件五花八門：互聯(lián)網侵入、黑客攻擊等違法活動威協(xié)了中國網絡信息安全；違法獲得、販賣公民信息、侵犯知識產權危害了我國公民的合法權益；傷害國防安全、社會穩(wěn)定與集體利益的不良記錄依靠互聯(lián)網快速散播?；剡^頭看海外，包含歐盟國家、國外、日本以內的我國或機構陸續(xù)制定了與網絡信息安全有關的法律法規(guī)。

因而，《網絡安全法》的制訂對國內有關法律工作的重要性、完備性和迫切性來講非常重要也十分必需。這是貫徹落實黨中央決策部署的重要舉措，是維護網絡安全的客觀性必須，是維護保養(yǎng)大家合法權益的必然要求，也是我國參加互聯(lián)網技術全球化競爭和國際性整治的必然趨勢。

《網絡安全法》的頒布實施，最重要的意義取決于它把網絡安全工作以法律形式提升到國家安全戰(zhàn)略的相對高度，并把信息安全等級維護規(guī)章制度升高為法律法規(guī)，變成維護國家互聯(lián)網空間主權、安全性和發(fā)展趨勢權益的重要舉措。與此同時，它頒布也合乎維護網絡安全的客觀性必須，提高了全社會網絡信息安全維護的自我意識和工作能力，保證將來互聯(lián)網應用更為安全性、對外開放和便捷。

重要具體內容

√根據(jù)《網絡安全法》規(guī)定，對最近與該法有關的法律規(guī)定規(guī)范進行了歸納總結，進而為組織架構在法律法規(guī)解決與執(zhí)行的實際操作中給予參照手冊；與此同時，本手冊還鑒別了其它國家和地區(qū)的有關條例和規(guī)范，進而為中國組織架構在解決、執(zhí)行《網絡安全法》時給予比照和參照具體內容。

√本手冊從網絡安全防護、信息安全技術和個人信息保護等三方面的法律法規(guī)、政策法規(guī)監(jiān)管要求考慮，為組織架構帶來了合規(guī)管理差距分析的參照層面及對應的合規(guī)管理規(guī)定；與此同時，在合規(guī)管理解決執(zhí)行階段，從網站運營安全性、網絡安全及重要信息基礎設施維護等三方面，就“有關肇事方”、“管理措施”及“技術措施”等三個維度匯總了落實措施關鍵點。

√為保證組織架構建立和完善的信息內容安全風險管理，本手冊以信息安全等級維護管理制度和網絡安全等級維護以及其他政策法規(guī)規(guī)定為根本，匯總并制定起了包含安全設置、安全工作和安全生產技術以內的等級保護測評管理體系；與此同時，根據(jù)《網絡安全法》中對組織人員工作能力和認識的規(guī)定，得出了對應的文化教育實體模型和培訓案例，最后完成機構網絡信息安全的持續(xù)改善。

前言

2017年6月1日宣布實行的《網絡安全法》具備劃時代的含義。它不僅僅是我國第一部網絡安全的專業(yè)性綜合型法律，提出了解決網絡信息安全考驗這一全球性問題的創(chuàng)新型國家，彰顯了黨和政府對網絡安全事件的十分重視，與此同時，它也是在我國網絡信息安全法制建設的關鍵階段目標，促使將來在我國網絡安全防護工作中踏入法治化路軌，網絡信息安全領域將由合規(guī)推動銜接到合規(guī)和強制推動并舉的新環(huán)節(jié)。

《網絡安全法》在互聯(lián)網空間主權、我國網絡安全等級維護規(guī)章制度、重要信息基礎設施維護、網絡運營者、網絡營銷產品和服務供應商責任、確保網絡安全，個人信息安全、重要信息基礎設施重要數(shù)據(jù)跨境電商傳送、監(jiān)測預警與應急預案等領域作出明文規(guī)定。因而，中國組織架構，尤其是涉及到重要信息基礎設施的領域組織在貫徹《網絡安全法》時，一方面應認真履行好本身網絡安全工作的責任與義務，另一方面，還要根據(jù)《網絡安全法》的法規(guī)規(guī)定開展落地實施，合理提高自身的網絡信息安全維護水準。

一、《網絡安全法》簡述

1.法律環(huán)境

2014年2月中間網絡信息安全和信息化管理領導組創(chuàng)立，意味著在我國把網絡信息安全提高到我國安全的相對高度并逐漸斟酌國家安全法撰寫工作中；2015年6月十二屆全國人大常委會決議了《網絡安全法（草案）》，2016年7月二次審議稿宣布在中國人大網發(fā)布，并向社會發(fā)展公開征求意見；2016年11月7日，經歷全國人大常委會2次決議的關于我國網絡安全防護的法律法規(guī)《中華人民共和國網絡安全法》最后審議通過，并且于2017年6月1日宣布執(zhí)行。

與海外法律對比，《網絡安全法》經歷三年就公布執(zhí)行無疑是迅速的。主要是因為我國現(xiàn)階段的網絡信息安全必然選擇?；ヂ?lián)網已深入地加入了我國社會經濟日常生活的方方面面，網絡信息安全威協(xié)也隨著向社會經濟的不同方面滲入，互聯(lián)網安全防范措施隨著不斷提升。

一方面，黨的十八大至今，我國主管機構提升了我國網絡安全工作并進行了至關重要的布署，對提升網絡信息安全法治建設提出了明晰的標準，制訂《網絡安全法》是融入我們國家網絡安全工作新形勢下、新任務，貫徹落實中央決策部署，確保網絡信息安全和發(fā)展趨勢權益的重大舉措，是貫徹落實國家總體安全觀的重要舉措。另一方面，中國是互聯(lián)網強國，都是遭遇網絡信息安全威協(xié)最嚴重的我國之一，急需解決創(chuàng)建和健全網絡安全的法律制度，提升全社會的網絡安全意識和網絡信息安全確保水準，使他們的互聯(lián)網更為安全性、更為對外開放、更為便捷，也愈發(fā)活力四射。

在這種趨勢下，制訂國家安全法是維護國家廣大人民群眾合法權益的必須，是維護網絡安全的客觀性必須，是貫徹落實國家總體安全觀的重要舉措。

2.法律實際意義

《網絡安全法》致力于確保在我國網絡信息安全，維護保養(yǎng)互聯(lián)網空間主權和國防安全、社會發(fā)展集體利益，維護中國公民、公司法人和其他組織的合法權利，推動社會經濟信息化管理健康發(fā)展。其法律的含義關鍵反映在以下幾個方面：

該法從法律法規(guī)方面上把在我國網絡安全工作提升到國家安全戰(zhàn)略的相對高度，注重對重要信息基礎設施及私人信息數(shù)據(jù)信息的維護，明確了我國、主管機構、互聯(lián)網使用者、運營人及一般用戶分別的義務及其違反規(guī)定前的有關懲罰。

該法規(guī)的頒布對在我國網絡安全管理方法具備積極意義，是我國互聯(lián)網安全法規(guī)服務體系的一個關鍵里程碑式，為在我國網絡安全工作帶來了法律規(guī)定。

從公司視角看來，該法規(guī)將加強互聯(lián)網技術監(jiān)管力度，標準網絡環(huán)境紀律，為公司“互聯(lián)網技術 ”服務的發(fā)展趨勢營造良好的自然環(huán)境。

從個體視角來講，在現(xiàn)階段私人信息因信息化管理發(fā)生系統(tǒng)漏洞而被泄漏并違反規(guī)定應用，從而造成個人權利和權益屢遭傷害的新時代背景下，該法規(guī)對個人信息安全提出了明確規(guī)定，因此合理地確保了公民基本權利。

3.內容概述

3.1法律法規(guī)具體內容

《網絡安全法》全篇共7章79條。在其中，第三章“網絡運行安全性”和第四章“網絡安全”各自對網絡運營者、重要信息基礎設施的網絡運行和本人信息化管理進行了詳細描述。

《網絡安全法》章節(jié)目錄概述

3.2維護目標

縱覽法律法規(guī)全篇，《網絡安全法》的保護區(qū)目標關鍵對于第三章第二節(jié)“重要信息基礎設施的運轉安全可靠”里的“重要信息基礎設施”和第四章“網絡安全”里的“私人信息”。

1)重要信息基礎設施

因為重要信息基礎設施在國家網絡安全中具有至關重要的功效，因而，我國對關鍵領域和行業(yè)，及其別的一旦遭到破壞、缺失作用或是數(shù)據(jù)泄漏，很有可能嚴重威脅國防安全、需求側改革、集體利益的重要信息基礎設施，在網絡安全等級維護機制的前提下，推行保護區(qū)。

重要信息基礎設施保護范圍：

政府部門和電力能源、金融業(yè)、交通出行、水利工程、衛(wèi)生醫(yī)療、文化教育、個人社保、生態(tài)環(huán)境保護、公共事業(yè)等行業(yè)領域的企業(yè)；

電信網絡、電視廣播網、互聯(lián)網技術等網絡信息，及其給予云計算技術、互聯(lián)網大數(shù)據(jù)和別的大中型公共資源互聯(lián)網服務的企業(yè)；

國防科工、大中型武器裝備、化工廠、食品藥品安全等行業(yè)領域科學研究生產單位；

電臺廣播、電視臺節(jié)目、新聞社等新聞單位；

別的重點單位。

*之上關鍵信息重要基礎設施建設的標準參照了通信管理局2017年7月公布的《關鍵信息基礎設施安全保護條例（征求意見稿）》

2)私人信息

個體信息是指以電子器件或多種方式紀錄的可以獨立或與更多信息融合鑒別普通合伙人真實身份的各種各樣信息內容，包含與明確普通合伙人有關的生物學特性、部位、方式等數(shù)據(jù)，如名字、出世日期、身份證號碼、本人用戶信息、家庭住址、聯(lián)系電話、指紋識別、虹魔等。

*之上本人信息的定義參照了全國各地網絡信息安全標準化技術聯(lián)合會2016年12月公布的《個人信息安全規(guī)范(征求意見稿)》

3.3維護方式

《網絡安全法》中涵蓋的維護方式關鍵有下列幾類：

1)執(zhí)行等級保護測評

《網絡安全法》第二十一條要求“網絡運營者理應按照網絡安全等級維護機制的規(guī)定，執(zhí)行以下安全保護責任，確?；ヂ?lián)網免遭影響、毀壞或是未經授權的瀏覽，防范數(shù)據(jù)泄漏或是被盜取、偽造”。

2)網絡運行安全性和重要信息基礎設施維護

在保證網絡運行安全方面，要制訂安全管理制度，貫徹落實安全職責，布署安全措施，預防黑客攻擊（第21條）；保證互聯(lián)網產品與服務的安全系數(shù)和合規(guī)（第22條）；互聯(lián)網主要設備和網絡信息安全專用型商品的認證證書和檢測服務（第23條）；創(chuàng)建網絡安全問題處理步驟，按時運行應急方案（第25條）；重要信息基礎設施的網絡信息安全與信息化管理應保證“三同步”（第33條）；開設網絡信息安全專門機構和責任人，按時培訓考核，系統(tǒng)軟件與數(shù)據(jù)信息容災備份，應急方案并按時演習（第39條)；購置安全性產品服務要接納主管機構的安全審查(第35條)；要與安全性產品服務方簽署保密協(xié)議書（第36條）；重要數(shù)據(jù)和私人信息跨境電商傳送（第37條）；最少每一年開展一次安全風險評估，并向主管機構匯報評估結果；主管機構對重要信息基礎設施開展抽樣檢查檢驗與評定（第38、39條）。

3)個人信息安全

在個人隱私保護層面，機構應制訂敏感信息維護規(guī)章制度（第21(4)、37、40、45、47、48、50條）；網絡運營者搜集、運用私人信息時，要向客戶明確并獲得答應，不可違反規(guī)定亂用私人信息（第22、41、44、45條）；網絡運營者理應采用技術措施和其它必要措施，保證其搜集的個人信息保護（第42條）；本人有權利規(guī)定網絡運營者刪掉和修改其私人信息（第43條）；網絡運營者會對其內部結構及外界客戶使用網絡個人行為開展監(jiān)管（第46、47、48條）；網絡運營者理應創(chuàng)建網絡安全舉報、舉報制度，相互配合主管機構的調研與處理（第49、50條）。

4)網絡信息安全檢驗與預警信息

為確保網絡信息安全，《網絡安全法》第二十一條還要求，“網絡運營者理應采用檢測、紀錄互聯(lián)網運行狀態(tài)、網絡安全問題的技術措施，并按規(guī)定存留有關的互聯(lián)網日志不少于六個月”，第五十二條要求，“承擔重要信息基礎設施安全保護工作中的單位，理應不斷完善本行業(yè)、本行業(yè)的網絡信息安全監(jiān)測預警和信息內容通報制度，并按規(guī)定申報網絡信息安全監(jiān)測預警信息內容。”；第五十一條要求，國家層面上“我國網信辦單位理應統(tǒng)籌兼顧相關部門提升網絡信息安全信息收集、剖析和通知工作中，按規(guī)定統(tǒng)一公布網絡信息安全監(jiān)測預警信息內容。”

5)網絡信息安全突發(fā)事件應對

《網絡安全法》第二十五條要求，“一般網絡運營者理應制訂網絡安全問題應急方案，立即處理安全漏洞、網絡病毒、黑客攻擊、網上入侵等安全隱患；在產生傷害網絡安全的事情時，馬上運行應急方案，采取相應的補救，并按規(guī)定向相關部門匯報。“；第三十四條要求，“重要信息基礎設施的運營人除制訂網絡安全問題應急方案外還應按時開展演習”。針對領域監(jiān)管人來講，第五十三條要求，“承擔重要信息基礎設施安全保護工作中的機構應該制訂本行業(yè)、本行業(yè)的網絡安全問題應急方案，并按時機構演習”。國家層面，第三十九條要求，“網信辦單位按時機構重要信息基礎設施的運營人開展互聯(lián)網安全應急演練，提升解決網絡安全問題的水準和協(xié)同配合工作能力”。

6)信息安全技術人才的培養(yǎng)和安全防范意識宣傳策劃

《網絡安全法》第三十四條要求，重要信息基礎設施的經營者還理應按時對從業(yè)者開展網絡安全知識、專業(yè)技術培訓和技能考核；第十九條則規(guī)定各個市人民政府、相關部門應深入開展習慣性的網絡安全宣傳文化教育，并具體指導、催促有關單位搞好網絡信息安全宣傳教育工作，大眾媒體應該有目的性地面向全國開展網絡安全宣傳文化教育。

7)崗位職責貫徹落實與違規(guī)處罰

為保證《網絡安全法》成功執(zhí)行，實行強有力，該法第六章“法律依據(jù)”對所涉及到責任主體的違反規(guī)定懲治進行了詳盡要求。

二、《網絡安全法》執(zhí)行

為合理地推動《網絡安全法》的執(zhí)行，整體可分成有關政策法規(guī)鑒別、合規(guī)管理差距分析、合規(guī)管理相匹配執(zhí)行和管理體系不斷健全四個步驟。本一部分詳細說明前三個步驟，第三部分“網絡信息安全管理體系健全”敘述第四個流程。

1.有關政策法規(guī)鑒別

《網絡安全法》第八條要求：“國務院令電信網主管機構、公安機關和別的相關行政機關按照此方法和有關法律、行政規(guī)章的要求，在自己崗位工作職責內承擔網絡信息安全維護和監(jiān)管工作中。”因而，各網絡運營者在執(zhí)行《網絡安全法》時，不但要深入了解《網絡安全法》的規(guī)定，還要參照別的配套設施的政策法規(guī)及規(guī)范，以保證《網絡安全法》的安全保障對策能有效落實。

近些年，主管機構及安全管理標準化組織發(fā)布了好幾個與《網絡安全法》執(zhí)行有關的條例與規(guī)范，有些還處于征詢建議之中。為便于各種組織在執(zhí)行《網絡安全法》時進行參照，把最主要的有關政策法規(guī)與規(guī)范目錄如下所示：

中國最近公布《網絡安全法》有關條例規(guī)范

海外相關法律與標準鑒別

機構在執(zhí)行《網絡安全法》時，能夠依據(jù)本身的必須對其它國家和地區(qū)的有關條例和規(guī)范開展鑒別，其目標一方面使中國組織參考外國的一些網絡信息安全最佳實踐，與此同時能夠為海外機構在中國執(zhí)行網絡信息安全合規(guī)管理規(guī)定時，創(chuàng)建一個可以比照的參考系。

海外網絡信息安全有關政策法規(guī)

2.合規(guī)管理差距分析

以《網絡安全法》為基本，網絡運營者需從網絡安全防護、信息安全技術和個人信息安全三方面充分考慮各類法律法規(guī)、政策法規(guī)的監(jiān)管要求，根據(jù)對機構現(xiàn)況的掌握，對機構現(xiàn)階段合規(guī)管理狀況開展差距分析。

《網絡安全法》合規(guī)管理差距分析

3.合規(guī)管理相匹配執(zhí)行

《網絡安全法》實際合規(guī)管理執(zhí)行時，能從網站運營安全性、網絡安全及重要信息基礎設施維護三個方面，敘述相匹配的維護標準和相匹配條文，各自從“有關肇事方”、“管理措施”及“技術措施”三個維度剖析其落實措施關鍵點。下列舉例子。

3.1網站運營安全管理對策

3.2網絡安全控制方法

3.3重要信息基礎設施安全管理對策

三、網絡信息安全管理體系健全

依照《網絡安全法》執(zhí)行網絡信息安全控制方法，是現(xiàn)階段中國各種機構在網絡信息安全層面的關鍵實踐活動，但是我們也需要保持清醒地見到，貫徹落實法律法規(guī)的合規(guī)管理規(guī)定僅僅機構網絡信息安全的最基本要求，政策法規(guī)不太可能考慮周全。因而，即使機構逐一貫徹落實了法律規(guī)定的需要，也只是超過了合規(guī)管理的基本要求，也不要確保結構的網絡信息安全管理體系做到一個健全的水準。

因而，在合規(guī)管理的前提下，咱們提議機構依據(jù)《網絡安全法》的規(guī)定，根據(jù)等級保護測評的辦法來進一步完善網絡信息安全保障機制，根據(jù)工作人員安全教育培訓與意識教育來提高機構的人員安全工作能力，根據(jù)不斷安全風險評估與IT財務審計來推動安全管理體系不斷健全。

1.等級保護測評有關規(guī)范標準

信息安全等級維護制度是我國網絡信息安全保障工作的基本制度、基本上對策和基本上方式，是推動信息化管理健康發(fā)展，維護國家安全、公共秩序和集體利益的根本保障。

機構能夠根據(jù)合規(guī)管理差距分析結論并參考網絡安全等級維護和別的政策法規(guī)對網絡信息安全的規(guī)定，不斷完善機構網絡信息安全保障機制，布署并健全安全性管理模式和安全措施，不斷平穩(wěn)地提高網絡信息安全水準。

到現(xiàn)在為止，我國制訂與施行了與等級保護測評有關的好幾個國家行業(yè)標準，一些重點行業(yè)也制定了本行業(yè)的信息安全等級維護規(guī)范，等級保護測評的方式近些年在中國獲得普遍的使用。

早已公布的等級保護測評相關標準：

已經征詢建議的等級保護測評規(guī)范修改草案

為協(xié)助我國貫徹落實《網絡安全法》，等級保護測評規(guī)范的名字將由原先的GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》改成“網絡安全技術網絡安全等級維護基本要求”，規(guī)范由原先的一個標準變動為好幾個部份構成的規(guī)范，各自為：

等級保護測評目標由原先的信息管理系統(tǒng)，調節(jié)為：安全級別維護的目標包含互聯(lián)網基礎設施建設、信息管理系統(tǒng)、互聯(lián)網大數(shù)據(jù)、云計算服務、物聯(lián)網技術、工控系統(tǒng)等。

等級保護測評有關的評定手冊、評測手冊、設計方案技術標準、評測規(guī)定、評測全過程手冊等相關標準也發(fā)布了相對應的修訂本（征求意見）。

2.等級保護測評系統(tǒng)的制定

等級保護測評的設計方案分成安全設置設計方案、安全工作設計方案及安全生產技術設計方案三個方面的具體內容，產生網絡信息安全保障機制的組織體系、對策管理體系、技術體系及運作管理體系。

2.1整體安全設置設計方案

整體策略設計的目標是產生機構基本綱領的安全設置文檔，包含明確安全方針和安全設置兩方面的信息。安全方針是表明安全生產工作的重任和意向，界定網絡信息安全的目標，要求網絡信息安全義務組織和崗位職責，創(chuàng)建安全生產工作運行模式等；安全設置是表明安全生產工作的首要戰(zhàn)略，包含安全性組織架構區(qū)劃對策、業(yè)務管理系統(tǒng)等級分類對策、信息數(shù)據(jù)等級分類對策、等級保護測評目標互聯(lián)對策、信息流廣告控制方法等。

根據(jù)戰(zhàn)略方針與對策的設計方案，便于機構能夠融合等級保護測評基本要求系列產品規(guī)范、領域基本要求和安全保護特別要求，搭建組織等級保護測評目標的安全生產技術系統(tǒng)架構和安全風險管理構造。針對新創(chuàng)建的等級保護測評目標，應在項目立項時確立其安全性保護等級，并根據(jù)對應的保護等級規(guī)定開展整體安全設置設計方案。

2.2安全風險管理設計方案

依據(jù)等級保護測評基本要求系列產品規(guī)范、領域基本要求、安全性需求分析報告等，設計方案等級保護測評目標安全風險管理架構。關鍵是以安全制度、安全管理機構、人員安全管理方法、系統(tǒng)建設管理方法、運維服務管理方法五個方面開展設計方案。

安全風險管理設計成果可分成四層。第一層為整體戰(zhàn)略方針、安全設置，根據(jù)網絡信息安全整體戰(zhàn)略方針、安全設置確立組織網絡信息安全運行的目標、范疇、標準等。第二層為網絡安全管理規(guī)章制度，根據(jù)對網絡信息安全活動中的各種具體內容創(chuàng)建管理方案，管束網絡信息安全有關個人行為。第三層為安全性標準規(guī)范、安全操作規(guī)程，根據(jù)對管理者或檢驗人員實行的日常管理行為創(chuàng)建安全操作規(guī)程，標準網絡安全管理規(guī)章制度的實際技術實現(xiàn)關鍵點。第四層為紀錄、表格，用以在網絡安全管理規(guī)章制度、安全操作規(guī)程執(zhí)行時需填好的表格和需保存的操作記錄。

2.3安全性技術體系設計方案

依據(jù)機構整體安全設置文檔、GB/T22239、領域基本要求和安全需求，設計方案等級保護測評目標的安全生產技術體系架構。等級保護測評目標的安全生產技術安全防護管理體系由從外到內的“深度防御力”管理體系組成，最先根據(jù)“物理環(huán)境安全防范”維護網絡服務器、計算機設備及其別的設備設施免受地震災害、火災事故、洪水災害、偷盜等安全事故造成的損壞，隨后根據(jù)“通訊網絡信息安全”維護曝露于外界的通信網絡和通訊設備，根據(jù)“互聯(lián)網界限安全防范”對等級保護測評目標執(zhí)行界限安全防范，內部結構不一樣等級評定目標盡可能各自布署在相對應保護等級的內部結構安全區(qū)域，低級別評定目標布署在高級安全區(qū)域時遵照“就高維護”標準，針對內部結構安全區(qū)域將執(zhí)行“服務器機器設備安全防范”和“運用和網絡信息安全安全防護”，根據(jù)“安全性管理處”對全部等級保護測評目標執(zhí)行統(tǒng)一的安全技術管理。

等級保護測評目標的安全生產技術體系架構見下圖所示：

依據(jù)安全性技術架構的設計方案，機構能夠找尋相對應的技術性與商品來執(zhí)行安全管理對策。安全生產技術與商品的選用，請參照安全性調研分析組織i春秋發(fā)布的“網絡信息安全領域全景圖片”（http://all.aqniu.com/）。

網絡信息安全全景圖片現(xiàn)階段共分成17大安全領域，59個細分行業(yè)，包括約200家安全性公司和有關組織，較為全方位地對流行的安全管理與商品進行了詳細介紹，能夠供客戶在挑選技術性與商品解決方法時進行參照。

3.網絡信息安全文化教育與學習培訓

《網絡安全法》第三十四條要求，重要信息基礎設施的經營者還理應執(zhí)行對從業(yè)者開展網絡安全知識、專業(yè)技術培訓和技能考核的責任。

網絡信息安全文化教育與學習培訓是實行合理信息化管理的重要基礎，機構要周期性地開展網絡信息安全文化教育與培訓規(guī)劃，要在職工中產生一個切實可行、狠下功夫的氣氛，文化教育的方式不僅生動活潑，還得緊密合理。機構可以選擇選用下列NIST根據(jù)人物角色與崗位職責的、框架式的安全知識教育實體模型：

機構可依據(jù)各職位工作人員網絡信息安全能力建設要求，設計方案將來3到5年網絡安全培訓整體規(guī)劃，并應對各職位的作業(yè)特點，制訂各職位網絡信息安全工作能力需求表，及其由專業(yè)知識組成的課程內容。依據(jù)機構的真實情況可使用下列根據(jù)人物角色與崗位職責的、框架式的課題設計。以下是根據(jù)職位與網絡信息安全專業(yè)知識體相對應的培訓實施方案實例：

除此之外，《網絡安全法》第十九條要求，“各級黨委市人民政府以及相關部門理應深入開展習慣性的網絡安全宣傳文化教育，并具體指導、催促有關單位搞好網絡信息安全宣傳教育工作。“因而，網絡運營者在做好工作人員能力建設的與此同時，還應提升包含高管以內全體人員網絡安全意識塑造和必要性宣傳策劃的工作中。

普通職工是各類業(yè)務流程的實施者，職工信息安全意識的欠缺是機構網絡信息安全較大的風險性。內部人員不經意的忽略，往往會引起比較敏感數(shù)據(jù)泄露等安全事故的出現(xiàn)。內部人員的信息安全意識水平提升有利于降低網絡信息安全風險性，增強結構的整體網絡信息安全水準。

機構應設計方案與給予圍繞職工全部崗位生命期的、多種多樣層級、多種方式的信息安全意識貫徹落實，提升機構全體人員的信息安全意識水準。以下是各種信息安全意識教育模式實例：

4.安全管理體系的持續(xù)改善

機構在通過合規(guī)管理差距分析并完工機構、管理方法和技術體系以后，要推動管理體系的運轉。假如標準批準，機構還能夠創(chuàng)建網絡信息安全監(jiān)管運作核心（SOC），對安全性運行狀態(tài)開展檢查與管理方法。機構要不斷地搜集管理體系運行數(shù)據(jù)，對管理體系運行狀態(tài)開展精確測量，并依據(jù)測量結果創(chuàng)建網絡信息安全績效考評體制，如何才能把網絡信息安全規(guī)定貫徹落實到工作流程和職工職位當中。

機構要創(chuàng)建網絡信息安全保障機制的PDCA循環(huán)模式，以推動服務體系的不斷健全，全面提高機構的風險分析、安全性防御力、檢測服務、安全性回應與安全性恢復力，最后完成風險性數(shù)據(jù)可視化、防御力積極化、運作自動化技術、管理方法系統(tǒng)化的安全計劃，積極主動、積極、快速地解決網絡信息安全風險性，確保業(yè)務流程與網絡信息安全。