2026-02-06 02:02:24 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档解析《网络安全法》第二十三条第一款合规要求，重点阐述制定内部安全管理制度与操作规程的法律意义。指出制度需正式发布且涵盖管理规则，操作规程需具备可执行步骤与留痕，二者分别解决管什么和怎么做的问题。核心建议是避免纸面合规与抄袭，构建自上而下的监管体系，确保制度落地执行并与业务实际关联，以满足法律合规要求并降低合规风险。 综合评分： 88 文章分类： 政策法规,安全建设,安全运营

cover_image

《网络安全法》第二十三条第（一）项合规分解

原创

何威风何威风

河南等级保护测评

2026年2月5日 00:00 河南

| | | — | | 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； |

首先，我们看一下《网络安全法》第二十三条的这句话看似只有一句，但实际上至少包含3个并列的、各自可独立处罚的法定义务。

一、制定内部安全管理制度和操作规程 法理上要求，有制度、有流程、内部正式发布文件。在实际操作中，一些比较正规的单位，能够在这方面做到流程性合规；但是，同样在实操层面，很多单位的制度都是“电子版”的，在工作群里传来传去，就是没有正式发布传输。

二、确定网络安全负责人法理上，要求责任单位要有明确的责任主体（人）

三、落实网络安全保护责任

法理上，网络安全管理制度不是“挂在墙上”，而是能证明真实的“在执行”。在实际操作中，️很多单位“有制度、有负责人”，但没落实，这是监督检查中最常见的违法点。

#

「制定内部安全管理制度和操作规程」合规事项分解

（一）制度是“制定”，不是抄、不是挂名

法律上的“制定”意味着：以单位名义正式发布、有版本号/发布日期/生效日期、有适用范围、有批准人（主要负责人或授权人）

在实际操作中，有些单位甚至拿临时文档、培训、PPT、厂商白皮书等来应付，这些在法理上都不算法律上的“制度”。

（二）“内部安全管理制度”——指“管理性制度”

这是管理规则层面的制度，不是技术说明书。结合《网络安全法》、等级保护，可以考虑五个层面的管理制度，五个层面再细分不同控制点，再细分到要求项。总体方针政策可以作为制度体系“母文件”，解释目标、原则、适用范围、职责分工。再是组织与责任类的强化。这块为了回应“谁负责”“出了事找谁”的问题，另外是人员与行为管理类，防的是“人祸”，还有系统与资产管理类制度是防“系统没人管”，运行与维护管理类确保系统在“持续被管理”，结合《数据安全法》《个人信息保护法》，制定数据与个人信息保护类制度。考虑安全事件和应急处置，制定事件与应急类制度，这里与《网络安全法》应急处置要求衔接，最后就是检查与改进类，确保不被“一次性合规”误导。

一点提示：没有要求你“100%全有”，但如果明显缺失关键类别，就容易被认定为“未制定内部安全管理制度”。

（三）“操作规程”——指“可执行流程”

这是制度的“落地”的支撑，一般体现为：操作步骤、操作人、操作频率、留痕要求。

典型操作规程包括但不限于：

·《账号开通、变更、注销操作规程》

·《系统上线与变更操作规程》

·《日志审计操作规程》

·《漏洞处置操作规程》

·《应急事件处置操作规程》

某种意义上来说，只有制度没有操作规程，就是一个死框架，并不能为网络安全的持续运营带来益处。而很多单位，对于操作规程是没太多的概念的，或者制定的操作规程还是“抄”来的，并不与自己的网络环境匹配，满脑子想的是应付检查，一旦以压实责任的态度检查，问题就层出不穷了。而且，操作规程还是应急处置的有力支撑，没有操作规程这些材料，将完全依靠人的能力，整个单位成熟度非常低下。

管理制度与操作规程之间的一点辨析

*结语：制度是为何管，管什么，操作规程是如何做，而且操作规程配套着记录，让整个制度体系从顶层方针到中层管理基层实施，形成一套自上而下的监管体系，自下而上的负责体系。*

很多人认为管理制度是虚的，所谓虚实皆由其是否可以有效执行。抄的管理制度，自然是虚的。一则不与网络安全实际搭边，二则不与业务实际关联，网络安全与信息化各走各的线，做不到一体之两翼，成为一个畸形建设轨迹。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评何威风何威风《《网络安全法》第二十三条第（一）项合规分解》