一、网络安全市场政策发布情况
(一)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
2003年9月7日,中共中央办公厅、国务院办公厅发出通知,转发《国家信息化领导小组关于加强信息安全保障工作的意见》,并要求各地结合实际认真贯彻落实。该《意见》是为进一步提高信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展而提出的。它的诞生标志着我国信息安全保障工作有了总体纲领,其中提出要在5年内建设中国信息安全保障体系。
(二)《通信网络安全防护管理办法》
2010年初,工业和信息化部发布了《通信网络安全防护管理办法》(以下简称《办法》)。《办法》要求,2010年3月1日起,通信网络运行单位应按照各通信网络单元遭到破坏后可能造成的危害程度,将本单位已正式投入运行的通信网络单元划分为五级。
《办法》指出,通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并进行评审。
《办法》要求,通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照有关规定向电信管理机构备案。电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。
《办法》还指出,对于违反有关规定的通信网络运行单位,由电信管理机构依据职权责令改正;拒不改正的,给予警告,并处五千元以上三万元以下的罚款。
(三)《关于加强网络信息保护的决定》
2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》。
(四)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发[2012]23号
国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》提出,要实施"宽带中国"工程,构建下一代信息基础设施。到"十二五"末,全国固定宽带接入用户超过2.5亿户,互联网国际出口带宽达到每秒6500吉比特,第三代移动通信技术网络覆盖城乡,国际互联网协议第6版(IPv6)实现规模商用。该《意见》于5月9日在国务院常务会议上获得通过,对实施"宽带中国"工程、推动信息化和工业化深度融合、加快社会领域信息化、推进农业农村信息化、健全安全防护和管理、加快安全能力建设等六项重点工作作了全面部署。《意见》详细阐述了实施"宽带中国"工程的主要内容,"以光纤宽带和宽带无线移动通信为重点,加快信息网络宽带化升级。推进城镇光纤到户和行政村宽带普遍服务,提高接入带宽、网络速率和宽带普及率。加强3G网络纵深覆盖,支持具有自主知识产权的3G技术TD-SCDMA及其后续演进技术TD-LTE产业链发展,科学统筹3G及其长期演进技术协调发展。加快下一代广播电视网络建设,推进广播电视网络数字化、双向化和互联互通改造。"
(五)《电信和互联网用户个人信息保护规定》
2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号),并已于2013年9月1日起施行。
出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。
出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。
(六)《国务院关于推进物联网有序健康发展的指导意见》国发[2013]7号
2013年2月5日,《国务院关于推进物联网有序健康发展的指导意见》发布,明确了我国物联网发展的总体目标和近期目标,提出了加强统筹协调形成发展合力、营造良好发展环境等保障措施,并明确提出"积极开展物联网相关技术的知识产权分析评议"。这是首次将知识产权评议工作纳入物联网的发展规划。
(七)《关于加强国家级重要信息系统安全保障工作有关事项的通知》
公安部、发改委和财政部联合印发《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)。
(八)《2014年综治工作(平安建设)考核评价实施细则》
中央综治办印发《2014年综治工作(平安建设)考核评价实施细则》(中综办[2014]16号),将"信息安全保障工作"纳入对政府的考核。
(九)《关于促进智慧城市健康发展的指导意见》
2014年8月国家发改委等八部委联合印发了《关于促进智慧城市健康发展的指导意见》(发改高技[2014]1770号)文件
(十)《关于加强智慧城市网络安全管理工作的若干意见》
2015年公安部会同国家发改委、工信部、网信办印发了《关于加强智慧城市网络安全管理工作的若干意见》。组织开展"智慧城市"网络安全建设、管理和评价工作。
(十一)中华人民共和国刑法修正案(九)
2015年8月29日第十二届全国人民代表大会常务委员会第十六次会议通过中华人民共和国刑法修正案(九)。
(十二)《中华人民共和国网络安全法》
2017年6月1日《中华人民共和国网络安全法》正式实施。涵盖了个人信息安全、关键信息基础设施建设等多个领域。《网络安全法》作为我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法制建设的重要里程碑。同时,也表明国家开始在立法和行政的层面强制企业履行安全责任。
(十三)《关于推动资本市场服务网络强国建设的指导意见》。
2018年3月30日,中央网信办和证监会近日联合印发《关于推动资本市场服务网络强国建设的指导意见》。《意见》提出,将加快实施网络强国战略,促进网信企业规范发展,推进网络强国、数字中国建设。业内人士预计,到2021年我国网络信息安全产业规模将达到630亿元,年均增速达23.2%。
二、国家有关网络安全等级保护制度的政策及法律要求:
1、《中华人民共和国人民警察法》规定:人民警察履行"监督管理计算机信息系统的安全保护工作"的职责。
2、国务院令第147号规定:"公安部主管全国计算机信息系统安全保护工作","等级保护的具体办法,由公安部会同有关部门制定"。
3、2008年国务院"三定"方案,赋予公安部"监督、检查、指导信息安全等级保护工作"法定职责。
4、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
5、《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号):"落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。"
6、国家发改委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室联合印发了《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技[2012]1986号)
7、公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。
《安防控体系建设的意见》要求:"完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度"。
8、2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:"完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度"。
9、2014年12月中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》指出,"推进健全信息安全等级保护制度,完善网络安全风险监测预警、通报处置机制"。
10、《中央网络安全和信息化领导小组2015年工作要点》中,要求"落实国家信息安全等级保护制度"。
11、《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。
第三十一条国家对......关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
三、网络安全市场前景看好
一是国家意志和国家行动为产业发展注入强心剂。预计到2020年,将有一系列细化丰富的产业发展扶持政策出台,产业发展重心和方向更为明确,发展信心和步伐更为坚定。
二是关键信息基础设施领域仍是产业核心带动力。一方面,关键信息基础设施日益成为网络攻击的重点目标,安全防护能力建设需求迫切。另一方面,《关键信息基础设施安全保护条例》实施在即,网络安全"三同步"、检测评估、应急处置等细化要求将有效指导和规范关键信息基础设施保护实践。
三是细分领域助力网络安全服务市场打开新局面。国际上网络安全服务连续多年占据网络安全市场的六成份额,而我国服务市场的占比不足三成,随着网络安全事件频发和政策标准落地,应急服务、合规服务等服务市场发展态势逐步向好,为提升安全服务的价值认知、开辟服务市场空间将起到一定助益作用。
四是以应用为核心成为安全技术创新新思路。将关键信息基础设施保护需求与网络安全产业发展相结合,以产业创新带动能力升级,以能力建设驱动产业发展。
五是产业生态协同开创产业发展新基调。未来产业协同的发力点,将主要聚焦在安全架构创新、情报共享、防御联动等方面,体现在探索新型网络安全架构理念和促进威胁情报共享共用等方面。
六是职业教育和培训成为应对人才紧缺的关键。目前我国网络安全学科教育每年培养人才为1万人左右,远不能适应日益加剧的网络安全人才需求,同时,从业人员普遍在知识储备、技能等方面存在短板。随着我国网络安全人才培养体系完善,政策重点将有望向职业教育和培训方面发力。