2信息安全法的国内立法和趋势.ppt

信息安全标准与法律 李贺华 第2节信息安全法的国内立法和趋势 一 信息安全法的国内立法 1997年12月12日公安部发布 计算机信息系统安全专用产品检测和销售许可证管理办法 规定了 公安部计算机管理监察机构负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作 1997年12月30日公安部发布 计算机信息网络国际联网安全保护管理办法 规定了任何单位和个人不得利用国际互联网从事违法犯罪活动等4项禁则和从事互联网业务的单位必须履行的6项安全保护责任 2000年4月26日公安部又发布了 计算机病毒防治管理办法 2 公安部颁布的 一 立法现状 第2节信息安全法的国内立法和趋势 一 信息安全法的国内立法 1 国务院颁布的 1994年国务院颁布 计算机信息系统安全保护条例 规定了 公安部主管全国计算机信息系统安全保护工作 的职能 1995年颁布的 人民警察法 规定了公安机关的人民警察依法 履行监督管理计算机信息系统的安全保护工作 的职责 一 立法现状 第2节信息安全法的国内立法和趋势 一 信息安全法的国内立法 3 全国人大颁布的 1997年3月14日八届全国人大五次会议通过的新刑法中 将计算机犯罪纳入刑事立法体系 增加了针对计算机信息系统和利用计算机犯罪的条款 此外 全国人民代表大会常务委员会 关于维护互联网安全的决定 于2000年12月28日颁布 2000年12月28日实施 中华人民共和国电子签名法 于2004年8月28日通过 2005年4月l日施行 治安管理处罚法 于2005年8月28日通过 2006年3月1日起施行 国务院及其他相关部门近几年也制定了一些行政法规和部门规章 如 计算机信息网络国际互联网管理暂行规定 商用密码管理条例 等 所有这些法规和规章奠定了我国加强信息网络安全保护和打击网络违法犯罪活动的法律基础 一 立法现状 第2节信息安全法的国内立法和趋势 一 信息安全法的国内立法 1 理论研究滞后 缺乏总体思路 二 现有立法存在的问题 据不完全统计 截至目前 我国颁布 施行的有关信息安全管理方面的文件有70多个 由于缺乏集中统一的信息安全立法机关 监督管理体制和协调处置机制 有关信息安全的行政立法权被分配于10多个行政部门 就同一信息安全事项 涉及有权监督管理的部门多则十几个 少则凡个 由此导致信息安全立法内容普遍存在规范竞合与体系冲突等问题 且反复出现 形成低水平交叉 影响立法质量 造成立法重复 资源浪费 第2节信息安全法的国内立法和趋势 一 信息安全法的国内立法 2 对技术发展趋势估计不足 相关领域存在法律漏洞 我国的信息安全经历了举 评估两个发展阶段 正在进入网络信息安全的研究阶段 安全体系的通信保密 计算机数据保护2个阶段 目前正进入网络信息安全研究阶段 安全体系的构建和评估 安全操作系统 多级安全数据库的研究等 由于系统安全内核受控于人 国外产品不断更新升级 信息安全相关法律领域难以保证没有漏洞 也就难以得到推广应用 二 现有立法存在的问题 第2节信息安全法的国内立法和趋势 一 信息安全法的国内立法 3 行业监管与安全监管范围交叉 责任不明 二 现有立法存在的问题 主要表现在认识不统一 监管多元化 例如 网络与信息系统的安全保护管理制度和安全技术措施 是运营 使用单位依法应当承担的重要安全保护义务 也是 谁运营谁负责 原则的重要表现形式 根据现行有关文件和法规 对于网络和信息系统运营 使用单位落实和履行安全保护管理制度及安全技术措施清况的行政监督检查权 行政处罚权 分别由公安部 信息产业部 文化部等数个部门行使 若干部门对同一行政管理相对人的同一行为同时行使监督管理权 监管体制多元 行政职权交叉的情况极为严重 从而导致相关领域多头管理 利益冲突 缺乏协调 第2节信息安全法的国内立法和趋势 二 信息安全立法的基本原则 1 中立原则 2 自律原则 3 安全原则 1 技术中立2 媒介中立3 实施中立4 同等保护 4 系统化原则 5 开放性原则 6 协调性原则 第2节信息安全法的国内立法和趋势 三 信息安全立法的重心 应对与预警信息安全灾难 防范与打击信息犯罪是我国信息安全法的立法主题 欢迎提问 谢谢 本章小结与习题 2 信息安全法律法规 李贺华 第3节信息安全法的结构和主要内容 信息安全法 立法的关键是界定它本身与各种现行信息安全法律 行政法规以及部门规章之间的层级关系 清理各种与信息安全有关的现行法律 行政法规以及部门规章中相互冲突 相互重复或不合时宜的规范内容 建议从以下几个方面加以立法 其内容主要包括 l 网络信息安全应急保障关系 2 信息共享分析 预警关系 3 政府机构信息安全管理 4 通信运营机构的安全监管 5 ISP的安全监管 6 ICP 含大型商业机构 的安全监管 7 家庭用户及商业企业用户的安全责任 8 网络与信息安全技术进出口监管 9 网络与信息安全标准 指南 评估监管 10 网络与信息安全研究规划 11 网络与信息安全培训管理 12 网络与信息安全监控 一 信息安全管理 第3节信息安全法的结构和主要内容 在全社会普遍关注信息安全的清况下 有关信息安全标准 法律和法规的数量正在迅速增加 许多机构都面临遵守各种安全标准和法规的要求 这些标准主要包括信息安全国际标准和国内标准两部分 例如 1992年世界经济合作与发展组织 OECD 发表的 信息系统安全指南 以及世界范围的标准化组织ISO 国际标准化组织 和IEC 国际电工委员会 所发布的ISO IEC17799体系等 二 信息安全标准 第3节信息安全法的结构和主要内容 其具体内容主要包括 1 用户名安全令牌认证 用户名安全令牌认证是一种很重要的安全技术 部署并保护web服务非常有益 2 二进制安全性令牌认证 3 正确使用签名 4 加密数据等 以保护信息服务中的安全问题 三 信息服务中的安全问题 第3节信息安全法的结构和主要内容 其具体内容主要包括 1 数据电信基本问题 2 电子签名问题 3 电子商务基础服务问题 4 电子合同的订立与履行问题 5 有关电子提单 电子票据及其他电子单证的法律问题 6 电子商务监管与税收问题 7 电子商务纠纷的解决方式问题 四 电子商务中的信息安全问题 第3节信息安全法的结构和主要内容 其具体内容主要包括 1 为实现电子政务应进行的工作及电子政务的运营原则 包括保护国民及企业的利益 政府服务流程的改革 服务的电子处理规范 的公开 行政机关对电子政务的确认责任 政府机关保存信息护 技术开发 维护的外包等 促进政府服务及信息的公共利用 个人信息的保书的到达及发送时间 2 行政事务及其管理的电子化 电子印章的认证 行政信息共同利用 电子文书的制作 电子文保护 通过信息通信网召开会议 标准化 信息通信网的构筑及化 电子申请的受理 的削减计划等的设立 远距离工作 信息化教育等行政信息的电子提供 手续费等 3 政府服务 服务的电子业绩电子公示 五 电子政务中的信息安全问题 第3节信息安全法的结构和主要内容 其具体内容主要包括 4 政务文书业务的削减 纸文书中长期电子政务事业计划 成果评价 基金的支援 信息化组织的设立等 政和刑事法律责任的追究等 文书削减委员会的设置等 5 电子信息事业的推进 模范事业的推进 优秀系统普及 扩散 信息化促进肠 对发展电子政务过程