一、网络安全法律体系建设
1、计算机犯罪
计算机犯罪的特点:多样化、复杂化、国际化、不对称性
计算机犯罪的趋势:从无意识到有组织、从个体侵害到国家威胁、跨越计算机本身的实施能力、低龄化成为法律制约的难题
2、我国立法体系
立法是网络空间治理的基础工作
网络安全立法演变为全球范围内的利益协调与国家主权斗争
《网络安全法》从草案发布到正式出台,共经历了三次审议,两次公开征求意见和修改。
网络安全法出台背景:落实国家总体安全观的重要举措、维护网络安全的客观需要、维护人民群众切身利益的迫切需要
《网络安全法》基本概念:网络空间已成为领土、领海、领空、太空之外的"第五空间"或人类"第二类生存空间"成为国家主权延伸的新疆域
网络安全法主要结构
第一章 总则
明确网络空间主权原则
作为我国网络安全治理的基本法,《网络安全法》在总则部分确立了网络主权原则,明确了网络安全管理体制及职责分工,及域外的使用效力。
第二章 网络安全支持与促进
建立和完善网络安全标准体系建设
统筹规划,扶持网络安全产业(产品、服务等)
推动社会化网络安全服务体系建设
鼓励开发数据安全保护和利用技术、创新网络安全管理方式
开展经常性网络安全宣传教育
支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流
第三章 网络运行安全
第1节 一般规定
《网络安全法》第二十一条 国家实行网络安全等级保护制度。
明确网络运营者的安全义务
内部安全管理:制定内部安全管理制度和操作规程,确定网络安全负责人
安全技术措施:采取防范网络安全行为的技术措施;采取检测、记录网络运行状态、网络安全事件的技术措施,留存相关的网络日志不少于六个月
数据安全管理:采取数据分类、重要数据备份和加密等措施,防止网络数据泄露或者被窃听、篡改
网络身份管理:办理网络接入、域名注册服务,或固定电话、移动电话等入网手续,或为用户提供信息发布、即时通讯等服务,应要求用户提供真实身份信息
应急预案机制:制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并向有关主管部门报告
安全协助义务:为公安机关、国家安全机关依法维护国家安全和侦察犯罪的活动提供技术支持和协助
明确网络产品、服务提供者的安全义务
强制标准义务:网络产品、服务应当符合相关国家标准的强制需求,不得设置恶意程序;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供
告知补救义务:网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户,向有关主管部门报告
安全维护义务:网络产品、服务提供者应为产品、服务持续提供安全维护,在规定或者当事人约定的期限内不得终止
个人信息保护:网络产品、服务具有收集用户信息功能,网络产品、服务提供者应向用户明示并取得同意;涉及用户个人信息的,还应遵守相关法律,行政法规中有关个人信息保护的规定
明确一般性安全保护义务
安全信息发布:开展网络安全认证、检测、风险评估等工作,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家相关规定
禁止危害行为:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动
信息使用规则:网信部门和有关部门在履行网路安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途
第2节 关键信息基础设施保护
关键信息基础设施运营者安全保护义务
人员安全管理:设置专门安全管理机构和安全管理负责人;对负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、培训和考核
数据境内留存:在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,需经国家安全评估;对重要系统和数据库进行容灾备份
应急预案机制:制定安全事件 应急预案,并定期进行演练
安全采购措施:采购网络产品和服务可能影响国家安全的,应当通过国家安全审查。应与网络产品和服务提供者签订安全保密协议
风险评估机制:自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险今年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门
第四章 网络信息安全
重视对个人信息保护
规范信息管理
确定信息管理中相关职责
第五章 监测预警与应急处置
工作制度化、法制化
国家网信部门:统筹网络安全信息收集、分析和通报,统一发布网络安全检测预警信息;制定网络安全事件应急预案,定期组织演练
负责关键基础设施安全保护工作部门:建立健全本行业、本领域的网络安全检测预警和信息通报制度,按照规定报送预警信息;制定本行业、本领域的安全事件应急预案,定期组织演练
省级以上人民政府有关部门:网络安全事件发生的风险增大时,采取信息报送、网络安全风险信息评估、向社会预警等措施;按照规定程序及权限对网络运营者法定代表人进行约谈
网络运营者:采取技术措施和其他必要措施,消除安全隐患,防止危害扩大
第六章 法律规则
对违反《网络安全法》的行为,规定了民事责任、行政责任、刑事责任
其他网络安全相关法律及条款
国家安全法、保密法、电子签名法、反恐怖主义法、密码法
国家秘密保密期限(除另有规定外)
秘密级不超过10年
机密级不超过20年
绝密级不超过30年
二、国家网络安全政策
1、国家网络空间安全战略
七种新机遇:信息传递新渠道、生产生活新空间、经济发展新引擎、文化繁荣新载体、社会治理新平台、交流合作新纽带、国家主权新疆域
发展战略目标:和平、安全、开放、合作、有序
四项原则:
尊重维护网络空间主权
和平利用网络空间
依法治理网络空间
统筹网络安全与发展
国家网络空间九大任务:
捍卫网络空间主权
维护国家安全
保护关键信息基础设施
网络文化建设
打击网络恐怖和违法犯罪
网络治理体系
网络安全基础
网络空间防护
网络空间国际合作
2、国家网络安全等保政策
《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护
GB 17859正式细化等级保护要求,划分五个级别
《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭到破坏后的影响出发
网络安全法明确我国实行网络安全等级保护制度
3、中共办公厅2003年第27号文
该文标志着我国信息安全保障工作有了总体纲领
1、信息安全的总体方针和要求
坚持积极防御、综合防范的方针
全面提高信息安全防护能力
重点保障基础信息网络和重要信息系统安全
创建安全健康的网络环境,保障和促进信息化发展,保护公共利益,维护国家安全
2、主要原则
立足国情,以我为主,坚持技术和管理并重
正确处理安全发展关系,以安全保发展,发展中求安全
统筹规划,突出重点,强化工作
明确国家、企业、个人职责和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系
3、主要任务
实行信息安全等级保护
加强密码技术为基础的信息保护和网络信任体系建设
建设和完善信息安全监控体系
重视信息安全应急处理工作
加强信息安全技术研究开发,推进信息安全产业发展
加强信息安全法制建设和标准化建设
加快信息安全人才培养,增强全名信息安全意识
保证信息安全资金
加强安全保障工作领导,建立健全信息安全管理责任制
三、网络安全道德准则
1、道德约束
道德约束是建立在完善的法律基础上
惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
培训与教育是不可或缺的增强员工道德意识的途径
2、职业道德准则
CISP职业道德准则
维护国家、社会和公众的信息安全
诚实守信、遵纪守法
努力工作、尽职尽责
发展自身、维护荣誉
四、网络安全标准
标准:为了在一定范围内获得最佳标准,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件
标准类型:
国际标准(ISO、IEC)
国家标准(GB、GB/T、GB/Z)
行业标准(YD通信、JR、GA)
地方标准
标准化:为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动
标准化工作原则:简化、统一、协调、优化
我国标准分类
GB强制性国家标准:一经颁布必须贯彻执行,违反则构成经济或法律方面的责任
GB/T 推荐性国家标准:
自愿采用的标准,共同遵守的技术依据,严格贯彻执行
实施后5年进行复审(但也有例外,如个人安全信息规范GB/T 35273)
GB/Z 国家标准指导性技术文件:
由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件
实施后3年内必须进行复审