《(2020年){合同法律法规}信息安全法规与政策讲义》由会员分享,可在线阅读,更多相关《(2020年){合同法律法规}信息安全法规与政策讲义(94页珍藏版)》请在金锄头文库上搜索。
1、信息安全法规与政策,黄思齐,课程内容,2,信息安全法规与政策,知识体,知识域,信息安全 法律法规,知识子域,信息安全 国家政策,道德规范,信息安全从业 人员道德规范,通行道德规范,知识域:信息安全相关法律,知识子域: 国家信息安全法治总体情况 了解信息安全法治建设的意义 了解我国信息安全法律法规体系框架 知识子域: 现行重要信息安全法规 掌握保守国家秘密法的主要内容 理解电子签名法的意义和作用 了解刑法有关信息安全犯罪的规定 了解全国人大常委会关于维护互联网安全的决定,3,基本概念,法律法规 国家政策 道德规范 标准 制度,4,法律、政策和道德的定义,法律(Law)-国家制定或认可的,由国家强
2、制力保证实施的,以规定当事人权利和义务为内容的具有普遍约束力的社会规范。 政策(Policy)-国家或政党组织等,以权威形式标准化地规定在一定的时期内,应该达到的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。 道德规范(Ethic)-一定社会或阶级用以调整人们之间利益关系的行为准则,也是评价人们行为善恶的标准。,5,国家法律体系,国务院各部委,多级立法,6,法律和政策的区别,政策有党的政策、国家政策之分,有总政策、基本政策和具体政策之别。 政策在成为法律之前,表现为决定、决议、纲领、宣言、通知、纪要等形式。,7,法律和道德的区别,职业道德是指符合职业特点要求的
3、准则、情操、品质等, 是职业义务、职业责任以及职业行为上的道德准则。,8,其他一些概念,标准(Standard)-原意为“标靶”(即:参照物),为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。(标准宜以科学、技术和实践经验的综合成果为基础,以促进最佳的共同效益为目的) 制度(System)-要求大家共同遵守的办事规程或行动准则,是国家法律、法令、政策的具体化,是人们行动的准则和依据。(指导+约束、鞭策+激励、规范+程序),9,国家信息安全保障体系,信息安全技术与产业支撑平台,信息安全基础设施,信息安全法律法规与政策环境,信 息 安 全 人 才
4、 培 训 教 育 体 系,信息安全组织机构及管理体系,信 息 安 全 标 准 与 规 范,10,信息安全在国家安全中的地位,党和国家长期以来一直十分重视安全保密工作,并从敏感性、特殊性和战略性的高度,至始至终置于党的绝对领导之下。 党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素,信息安全是个大问题。必须把安全问题放到至关重要的位置上,认真加以考虑和解决。 -胡锦涛,11,我国的信息安全管理体制,目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,各相关主管部门分别执行各自的安全职能,共同维护国家的信息安全 国家信息化领导小组(国家网络与信息安全协调小
5、组) 工信部 公安部 国家安全部 国家保密局 国家密码管理委员会 等等,12,我国的信息安全基础设施,中国信息安全测评中心(CNITSEC) 中国信息安全认证中心(ISCCC) 国家计算机网络应急技术处理协调中心(CNCERT/CC) 国家计算机病毒应急处理中心 全国信息安全标准化技术委员会(TC260) 等等,13,信息安全法治建设的意义,信息安全法律环境是信息安全保障体系中的必要环节 明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务 明确违反信息安全的行为,并对其行为进行相应的处罚等,保护国家信息主权和社会公共利益是 信息安全立法的首
6、要目标,14,信息安全法治建设的意义,信息安全不再只是个技术问题,而更多地是个商业和法律问题-安全漏洞、信息犯罪的本质? 信息安全产业的逐渐形成和成熟,需要必要的规范 信息安全法治建设涉及的主体:信息安全主管部门、各类IT产品和服务的安全(ITSP)、信息安全类产品和服务(ISSP)、信息及信息系统的拥有者和使用者 信息安全法治建设涉及的客体:信息数据、信息系统,狭义的信息安全 广义的信息安全,15,我国信息安全法律法规体系框架,宪法、刑法(部分条款) 国家安全法(部分条款) 保守国家秘密法 电子签名法。,计算机信息系统安全保护条例 互联网信息服务管理办法 商用密码管理条例。,公安部(安全专用
7、产品等) 原信产部(互联网域名、电子认证服务管理办法等) 国新办(互联网新闻信息服务) 保密局(保密等)。,16,贵州省信息化条例,贵州省人民政府令颁布省级信息安全工程和政府投资信息化工程立项前审查行政许可,我国信息安全法治建设的发展历程,通信保密安全,计算机系统 安全,网络信息系统安全,1994年,2000年,2003年,保守国家秘密法(1989) (2010年修订) 中央关于加强密码工作的决定 计算机信息系统安全保护条例(草案)-86,计算机信息系统 安全保护条例(1994) 计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97 计算机信息
8、系统保密管理暂行规定-98 商用密码管理条例-99,关于维护互联网安全 的决定(2000) 互联网信息服务管理办法 计算机病毒防治管理办法 计算机信息系统国际联网保密管理规定 -00,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号),我国信息安全法治建设的初步成效,法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善 法律少而规章等偏多,缺乏信息安全的基本法 与信息安全相关的司法和行政管理体系迅速完善 法律法规的内容篇幅偏小,行为规范较简单,截至2008年与信息安全直接相关的法律有65部 涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、
9、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域。,18,我国信息安全法治建设展望,需要一部信息安全的基本法国家信息安全法 (或先出台信息安全条例) 信息安全的基本原则与基本制度 信息安全的主要核心内容 进一步完善各领域的信息安全专门法 信息安全的监管模式和认证体系(面向信息安全各类主体和客体) 信息安全常态管理(等级保护制度等) 信息安全应急管理(预警、监测、通报和应急处理等) 网络与信息系统全生命周期的信息安全 信息内容安全 特定领域的信息安全(电子政务、电子商务、行业信息化等) 组织信息资产的基本法律地位 个人信息保护的基本规范 信息安全犯罪,19,宪法中
10、的有关规定,宪法 第二章 公民的基本权利和义务 第40条 公民的通信自由和通信秘密受法律的保护。 除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。,法律,20,刑法中的有关规定(1),刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有
11、期徒刑或者拘役。 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。,法律,21,刑法中的有关规定(2),刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 286条:破坏计算机信息系
12、统罪。 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 287条:利用计算机实施犯罪的提示性规定。 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。,22,法律,刑法中的有关规定(3),第一章危害国
13、家安全罪 111条 为境外窃取、刺探、收买、非法提供国家秘密、情报罪 为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利。 第六章妨害社会管理秩序罪 第一节扰乱公共秩序罪 282条 非法获取国家秘密罪;非法持有国家绝密、机密文件、资料、物品罪 以窃取、刺探、收买方法,非法获取国家秘密的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上七年以下有期徒刑。 非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用
14、途的,处三年以下有期徒刑、拘役或者管制。,23,刑法中的有关规定(3),第九章渎职罪 398条 故意泄露国家秘密罪;过失泄露国家秘密罪 国家机关工作人员违反保守国家秘密法的规定,故意或者过失泄露国家秘密,情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。非国家机关工作人员犯前款罪的,依照前款的规定酌情处罚。,24,治安管理处罚法中的有关规定,治安管理处罚法 第三章 违反治安管理的行为和处罚 第一节 扰乱公共秩序的行为和处罚 第29条 有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留: (一)违反国家规定,侵入计算机信息系统,造成危害的; (
15、二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的; (三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的; (四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。 治安管理处罚法 其他规定(与非法信息传播等相关):第42、47、68条,法律,25,国家安全法中的有关规定,国家安全法 第二章 国家安全机关在国家安全工作中的职权 第10、11条 第10条 国家安全机关因侦察危害国家安全行为的需要,根据国家有关规定,经过严格的批准手续,可以采取技术侦察措施。 第11条 国家安全机关为维护国家
16、安全的需要,可以查验组织和个人的电子通信工具、器材等设备、设施。,法律,26,保守国家秘密法(保密法 1),演进 保守国家秘密暂行条例(1951年) 保守国家秘密法(1989年) 保守国家秘密法(2010年修订,4月29日修订,10月1日施行) 主旨(总则) 目的:保守国家秘密,维护国家安全和利益。 国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。 国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。 国家保密行政管理部门主管全国的保密工作。 国家机关和涉及国家秘密的单位(以下简称机关、单位)管理本机关和本单位的保密工作。 保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。,法律,27,保守国家秘密法(保密法 2),国家秘密的范围 国家事务、国防武装、外交外事、政党秘密 国民经济和社会发展、科学技术 维护国家安全的活动、经保密主管部门确定的事项等 国家秘密的密级
