2：合规先行——网络安全监管的法规、政策与标准体系

在CISP认证知识体系中，“网络安全监管”是贯穿所有安全工作的“底线框架”——无论是技术防护还是管理落地，都需在合规范围内开展。对于备考者而言，本知识域是CISE（8%）、CISO（10%）的基础考点，更是CISM（25%）的核心考查领域，且内容多以“记忆+理解”型题目出现，需重点掌握法规条款、政策要求与标准应用的关联逻辑。

一、网络安全法律体系：守住安全工作的“法律红线”

法律是网络安全的最高约束，考试中常考查核心法规的“出台背景”“关键条款”及“适用场景”，需重点聚焦《网络安全法》及关联法律。

1. 计算机犯罪：了解风险边界

需了解计算机犯罪的概念、特征及发展趋势，这是判断“违规与犯罪”的基础：

• 特征：隐蔽性（网络匿名性）、跨地域性（攻击可跨境实施）、高危害性（可能影响关键基础设施）。
• 发展趋势：从单一数据窃取向“勒索攻击+数据泄露”复合型犯罪演变，从个人目标向企业/国家目标延伸。
  考试中多以“案例题题干背景”形式出现，需能根据描述判断是否属于计算机犯罪范畴。

2. 我国立法体系：明确“法的层级”

需了解我国多级立法机制及法规分类，避免混淆不同层级法规的效力：

• 立法机制：全国人大及其常委会（法律）→国务院（行政法规）→地方人大（地方性法规）→部门规章，效力依次递减。
• 分类重点：考试中需区分“法律”（如《网络安全法》）与“行政法规”（如《关键信息基础设施安全保护条例》）的差异，前者效力高于后者，且适用于全国范围。

3. 《网络安全法》：核心考点，必须吃透

《网络安全法》是我国网络安全领域的“基本法”，需理解出台背景、核心概念及关键制度，这是本知识域的高频考点：

• 出台背景：应对网络安全威胁、保障网络空间主权、维护国家安全与公共利益。
• 核心概念：明确“网络”（指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统）、“网络安全”（指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力）的定义，考试中可能直接考查概念辨析。
• 关键制度（必须掌握）：
  • 网络运行安全制度：要求网络运营者落实安全保护责任，比如制定内部安全管理制度、采取技术措施防范攻击。
  • 关键基础设施保护制度：对公共通信和信息服务、能源、交通等关键基础设施，实行重点保护，要求运营者履行额外安全义务（如定期安全评估）。
  • 等级保护制度：明确“国家实行网络安全等级保护制度”，网络运营者需按照等级保护要求开展安全建设和整改（与后续“等级保护标准族”直接关联）。
  • 网络安全审查制度：对影响或可能影响国家安全的网络产品和服务，实行国家安全审查。

4. 关联法规：掌握“重点条款”

需了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中与网络安全相关的核心条款，考试中常以“多选题”考查法规与安全场景的对应：

• 《国家安全法》：将网络与信息安全纳入国家安全范畴，要求维护国家网络空间主权、安全和发展利益。
• 《保密法》：针对国家秘密的保护，明确涉密信息系统的安全要求（如分级保护、禁止连接互联网）。
• 《密码法》：规定密码分为核心密码、普通密码和商用密码，商用密码用于保护不属于国家秘密的信息，网络运营者需按照要求使用密码保护关键信息。

二、网络安全国家政策：把握安全工作的“方向指引”

政策是法律的延伸，明确了国家层面的安全战略与具体要求，考试中侧重考查“战略内容”与“等保政策”。

1. 国家网络空间安全战略：了解“目标与任务”

需了解《国家网络空间安全战略》中的“七大机遇”“六大挑战”“四项原则”及“九大任务”，考试中多以“了解类”选择题出现：

• 四项基本原则：尊重网络主权、维护和平安全、促进开放合作、构建良好秩序。
• 九大任务（核心关注）：维护网络空间主权、保护关键信息基础设施、加强网络安全保障、提升网络空间防护能力等（需与《网络安全法》的关键制度对应理解）。

2. 国家网络安全等保政策：核心关联“等级保护标准族”

需了解我国网络安全等级保护相关政策，尤其是等级保护2.0的变化，这是衔接“标准体系”的关键考点：

• 等保1.0 vs 2.0：1.0侧重“信息系统”保护，2.0扩展到“网络基础设施、云计算、大数据、物联网”等新场景，强调“主动防御、动态防护”。
• 政策要求：网络运营者需按照“定级→备案→测评→整改→持续改进”的流程落实等保工作，未落实等保要求将面临法律责任（关联《网络安全法》第二十一条）。

三、网络安全道德与标准：规范从业行为与技术落地

道德是“软约束”，标准是“硬依据”，考试中侧重考查“职业道德准则”与“等级保护标准族”。

1. 网络安全道德准则：明确“从业底线”

需理解道德与法律的差异，以及《CISP职业道德准则》的核心要求：

• 道德vs法律：法律是“必须遵守的底线”（具有强制性），道德是“应当遵循的准则”（靠自觉与行业约束）。
• 《CISP职业道德准则》要求（必须掌握）：
  • 维护国家利益与社会公共利益，不危害国家安全、公共利益，不侵犯他人合法权益。
  • 恪守职业道德，不泄露工作中获取的敏感信息（如客户数据、漏洞信息）。
  • 遵守法律法规与行业规范，不从事违法违规的网络活动（如黑客攻击、数据贩卖）。
    考试中可能以“案例题”考查对职业道德的判断（如“是否可以泄露客户漏洞信息”）。

2. 信息安全标准：聚焦“国内标准与等保标准族”

需了解信息安全标准的基础概念、我国标准体系构成，重点掌握等级保护标准族，这是技术落地的核心依据：

• 标准基础：国际标准化组织（如ISO/IEC）、我国标准化组织（如全国信息安全标准化技术委员会TC260），我国标准分为“国家标准（GB）、行业标准、地方标准、企业标准”。
• 我国信息安全标准体系：包含基础类、应用类、管理类标准，其中“等级保护标准族”是应用最广的核心标准。
• 等级保护标准族（考试重点）：
  • 核心标准：GB/T 22239《信息安全技术 网络安全等级保护基本要求》（等保2.0核心，规定不同等级的安全要求）、GB/T 28448《信息安全技术 网络安全等级保护测评要求》（规定测评流程与方法）。
  • 实施流程：需掌握“定级”（确定系统等级，分1-5级，5级最高）、“备案”（向公安机关备案，2级及以上需备案）的工作要求，这是CISO岗位的重点考查内容（侧重管理流程）。

四、备考要点：按认证类型精准突破

不同认证对本知识域的考查侧重差异显著，需针对性规划复习重点：

• CISE（8%）：侧重“技术相关的法规/标准细节”，如《网络安全法》中技术防护要求、等级保护标准的安全技术要求。
• CISO（10%）：侧重“管理相关的法规/政策落地”，如等保备案流程、《CISP职业道德准则》、关键基础设施保护的管理责任。
• CISM（25%）：侧重“法规/政策/标准的综合应用”，如结合案例判断企业是否符合《网络安全法》要求、如何将等保政策融入企业安全管理体系。

答题技巧：遇到“法规条款”类题目，优先关联《网络安全法》核心制度；遇到“流程类”题目（如等保），按“定级→备案→测评→整改”逻辑判断；遇到“道德类”题目，以“不违法、不损害公共利益、不泄露敏感信息”为核心原则。

附：网络安全监管知识域脑图