信息安全法律法规合规性评价表2015

1、信息安全法律法规合规性评价表 Evaluation of Compliance Sheet序号类别信息安全法律法规名称信息安全法律法规的主要要求使用条款符合对应控制措施备注1国家法规中华人民共和国计算机信息系统安全保护条例计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。第三条Y物理与环境安全管理程序2任何组织或个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。第七条Y员工信息安全规范3计算机机房应当符合国家标准和

2、国家有关规定。在计算机机房附近施工，不得危害计算机信息系统的安全第十条Y物理与环境安全管理程序4进行国际联网的计算机信息系统，由计算机信息系统的使用单位报省级以上人民政府公安机关备案。第十一条Y通信安全管理程序5运输、携带、邮寄计算机信息媒体进出境的，应当如实向海关申报。第十二条Y员工信息安全规范6计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。第十三条Y员工信息安全规范7对计算机信息系统中发生的案件，有关使用单位应当在小时内向当地县级以上人民政府公安机关报告。第十四条Y信息安全事件管理程序8中华人民共和国计算机信息网络国际联网管理暂行规定 个人、法人

3、和其他组织（以下统称用户）使用的计算机或者计算机信息网络，需要进行国际联网的，必须通过接入网络进行国际联网。前款规定的计算机或者计算机信息网络，需要接入网络的，应当征得接入单位的同意，并办理登记手续。第十条Y通信安全管理程序9 从事国际联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。第十三条Y通信安全管理程序10中华人民共和国电子签名法 符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：（一）能够有效地表现所载内容并可供随时调取查用

4、；（二）能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。第五条Y信息安全法律法规管理程序11 符合下列条件的数据电文，视为满足法律、法规规定的文件保存要求：（一）能够有效地表现所载内容并可供随时调取查用；（二）数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容；（三）能够识别数据电文的发件人、收件人以及发送、接收的时间。第六条Y通信安全管理程序12软件产品管理办法软件产品的开发、生产、销售、进出口等活动应当遵守我国有关法律、法规和标准规范

5、。任何单位和个人不得开发、生产、销售、进出口含有下列内容的软件产品： （一）侵犯他人知识产权的。 （二）含有计算机病毒的。 （三）可能危害计算机系统安全的。 （四）不符合我国软件标准规范的。 （五）含有法律、行政法规等禁止的内容的。第四条Y信息安全法律法规管理程序系统开发验收安全管理程序13在我国境内生产软件产品应当遵守我国的法律规定，符合我国技术标准、规范和本办法的规定。第十二条Y信息安全法律法规管理程序系统开发验收安全管理程序14中华人民共和国著作权法公民为完成法人或者其他组织工作任务所创作的作品是职务作品，除本条第二款的规定以外，著作权由作者享有，但法人或者其他组织有权在其业务范围内优先

6、使用。作品完成两年内，未经单位同意，作者不得许可第三人以与单位使用的相同方式使用该作品。有下列情形之一的职务作品，作者享有署名权，著作权的其他权利由法人或者其他组织享有，法人或者其他组织可以给予作者奖励：（一）主要是利用法人或者其他组织的物质技术条件创作，并由法人或者其他组织承担责任的工程设计图、产品设计图、地图、计算机软件等职务作品；（二）法律、行政法规规定或者合同约定著作权由法人或者其他组织享有的职务作品。第十六条Y信息安全法律法规管理程序15 受委托创作的作品，著作权的归属由委托人和受托人通过合同约定。合同未作明确约定或者没有订立合同的，著作权属于受托人。第十七条Y信息安全法律法规管理程

7、序16 法人或者其他组织的作品、著作权（署名权除外）由法人或者其他组织享有的职务作品，其发表权、本法第十条第一款第（五）项至第（十七）项规定的权利的保护期为五十年，截止于作品首次发表后第五十年的12月31日，但作品自创作完成后五十年内未发表的，本法不再保护。第二十一条Y信息安全法律法规管理程序17国际条约世界知识产权组织版权条约（中国加入）版权保护的范围版权保护延及表达，而不延及思想、过程、操作方法或数学概念本身。第二条Y信息安全法律法规管理程序18计算机程序计算机程序作为伯尔尼公约第二条意义下的文学作品受到保护，此种保护适用于各计算机程序，而无论其表达方式或表达形式如何。（关于第四条的议定声

8、明：按第二条的解释，依本条约第四条规定的计算机程序保护的范围，与伯尔尼公约第二条的规定一致，并与TRIPS协定的有关规定相同。） 第四条Y信息安全法律法规管理程序19数据汇编（数据库）数据或其他资料的汇编，无论采用任何形式，只要由于其内容的选择或排列构成智力创作，其本身即受到保护。这种保护不延及数据或资料本身，亦不损害汇编中的数据或资料已存在的任何版权。（关于第五条的议定声明：按第二条的解释，依本条约第五条规定的数据汇编（数据库）保护的范围，与伯尔尼公约第二条的规定一致，并与TRIPS协定的有关规定相同。）第五条Y信息安全法律法规管理程序21国家法规商用密码产品生产管理规定第七条国家密码管理局

9、指定商用密码产品生产定点单位原则上定期集中进行。指定商用密码产品生产定点单位的程序如下：（一）申请单位填写商用密码产品生产定点单位申请表，提交所在地的省、自治区、直辖市密码管理机构；（二）省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审，提出初审意见；（三）国家密码管理局对通过初审的单位进行实地考察；（四）国家密码管理局作出指定决定并告知指定结果。第七条Y信息安全法律法规管理程序22互联网安全保护技术措施规定互联网服务提供商和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。第十三条Y网络安全管理程序20国家法律中华人民共和国刑法第二百一十七条

10、以营利为目的，有下列侵犯著作权情形之一，违法所得数额较大或者有其他严重情节的，处三年以下有期徒刑或者拘役，并处或者单处罚金；违法所得数额巨大或者有其他特别严重情节的，处三年以上七年以下有期徒刑，并处罚金： （一）未经著作权人许可，复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的； （二）出版他人享有专有出版权的图书的； （三）未经录音录像制作者许可，复制发行其制作的录音录像的； （四）制作、出售假冒他人署名的美术作品的。第二百一十七条Y信息安全法律法规管理程序23有下列侵犯商业秘密行为之一，给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金；造

11、成特别严重后果的，处三年以上七年以下有期徒刑，并处罚金： （一）以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的； （二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的； （三）违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的。 明知或者应知前款所列行为，获取、使用或者披露他人的商业秘密的，以侵犯商业秘密论。 本条所称商业秘密，是指不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。 本条所称权利人，是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。第二百一十九条Y信息资产管

12、理程序24捏造并散布虚伪事实，损害他人的商业信誉、商品声誉，给他人造成重大损失或者有其他严重情节的，处二年以下有期徒刑或者拘役，并处或者单处罚金。第二百二十一条Y通信安全管理程序员工信息安全规范25国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”第二百五十三Y员工信息

13、安全规范26违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”第二百八十五条Y员工信息安全规范27违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有

14、期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第二百八十六条Y员工信息安全规范帐号管理程序28国家法律中华人民共和国国家安全法任何个人和组织都不得非法持有、使用窃听、窃照等专用间谍器材。第二十一条Y员工信息安全规范29国家法律中华人民共和国保守国家秘密法一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。任何危害国家秘密安全的行为，都必须受

15、到法律追究。第三条Y信息资产管理程序员工信息安全规范30国家法规计算机病毒防治管理办法任何单位和个人不得制作计算机病毒。第五条Y恶意软件管理程序员工信息安全规范31任何单位和个人不得有下列传播计算机病毒的行为： （一）故意输入计算机病毒，危害计算机信息系统安全； （二）向他人提供含有计算机病毒的文件、软件、媒体； （三）销售、出租、附赠含有计算机病毒的媒体； （四）其他传播计算机病毒的行为。第六条Y恶意软件管理程序员工信息安全规范32任何单位和个人不得向社会发布虚假的计算机病毒疫情。第七条Y通信安全管理程序33计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责： （一）建立本单位的

16、计算机病毒防治管理制度； （二）采取计算机病毒安全技术防治措施； （三）对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训； （四）及时检测、清除计算机信息系统中的计算机病毒，并备有检测、清除的记录； （五）使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品； （六）对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告，并保护现场。第十一条Y恶意软件管理程序34任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时，应当进行计算机病毒检测。第十二条Y恶意软件管理程序35国家法规计算机信息网络国际联网安全保护管理办

17、法任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。第四条Y信息资产管理程序员工信息安全规范36任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息： （一） 煽动抗拒、破坏宪法和法律、行政法规实施的； （二） 煽动颠覆国家政权，推翻社会主义制度的； （三） 煽动分裂国家、破坏国家统一的； （四） 煽动民族仇恨、民族歧视，破坏民族团结的； （五） 捏造或者歪曲事实，散布谣言，扰乱社会秩序的； （六） 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； （七） 公然侮辱他人或者捏造事实诽谤他人的

18、； （八） 损害国家机关信誉的； （九） 其他违反宪法和法律、行政法规的。第五条Y员工信息安全规范37任何单位和个人不得从事下列危害计算机信息网络安全的活动： （一） 未经允许，进入计算机信息网络或者使用计算机信息网络资源的； （二） 未经允许，对计算机信息网络功能进行删除、修改或者增加的； （三） 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； （四） 故意制作、传播计算机病毒等破坏性程序的； （五） 其他危害计算机信息网络安全的。第六条Y网络安全管理程序38用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通

19、信自由和通信秘密。第七条Y网络安全管理程序39互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责： （一） 负责本网络的安全保护管理工作，建立健全安全保护管理制度； （二） 落实安全保护技术措施，保障本网络的运行安全和信息安全； （三） 负责对本网络用户的安全教育和培训； （四） 对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核； （五） 建立计算机信息网络电子公告系统的用户登记和信息管理制度； （六） 发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告； （七）

20、 按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。第十条Y网络安全管理程序40用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。 第十一条Y通信安全管理程序41 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。第十二条Y通信安全管理程序42国家法规计算机软件保护条例除中华人民共和国著作权法或者本条例另有规定外，有下列侵权行为的，应当根据情况，承担停止侵害、消除影响、赔礼道歉、赔偿损失等民事责任：（一）未经软件著作权人许可，发表或者登记其软件的；（二）将他人软件作为自己的软件发表或者登记的；（三）未经合作者许可，将与他人合作开发的软件作为自己单独完成的软件发表或者登记的；（四）在他人软件上署名或者更改他人软件上的署名的；（五）未经软件著作权人许可，修改、翻译其软件的；（六）其他侵犯软件著作权的行为。第二十三条Y信息安全法律法规管理程序43中华人民共和国反不正当竞争法经营