信息安全法律法规.ppt

1、信息安全法律法规,中国信息安全产品测评认证中心 系统工程实验室,系统工程实验室刘作康 2020/8/7,内容,国际法律法规概要 国内法律法规概要 我国信息安全法律法规简介 国家WLAN管理政策,系统工程实验室刘作康 2020/8/7,国际法律法规,美国信息安全法律法规 欧洲信息安全法律法规 亚洲信息安全法律法规 各国的密码政策,系统工程实验室刘作康 2020/8/7,美国信息安全法律法规,信息大国,信息技术国际领先 信息安全立法活动较早 安全管理部门 NSA/CIA/FBI 总统关键设施保护委员会 国家设施保护中心 国家计算机中心 设施威胁评估中心 制定的信息安全有关法律 信息自由法 个人隐私

2、法 反腐败行经法 伪造访问设备和计算机欺骗滥用法 电子通讯隐私法 计算机欺骗滥用法 计算机安全法 电讯法 等,系统工程实验室刘作康 2020/8/7,欧洲信息安全法律法规,德国 信息和通信服务规范法 电讯服务数据保护法 1996成立了联邦信息技术安全局 法国 1996对一部有关通讯自由的法律进行补充并提出了 英国 1996颁布了,系统工程实验室刘作康 2020/8/7,亚洲信息安全法律法规,新加坡 SBA1996宣布对互联网络实行管制并实施分类许可证制度 日本 通产省编制出一套准则:防止越权访问计算机网络,系统工程实验室刘作康 2020/8/7,各国的密码政策,多边出口控制协调委员会(COCO

3、M) 控制敏感技术的出口和处理 包括计算机/快速DSP芯片/密码/激光/等 17个成员国 主要目标 防止密码技术出口到他们认为的某些”危险”国家 1994解散 1995年,28个国家建立COCOM的后续组织:常规武器和双重用途物品及技术出口控制wassenaar协议 控制武器和双重用途物品的出口 密码技术是一种双重用途的物品 经济合作和发展组织（OECD)，29个会员国 1996年提出了关于密码技术政策的一些指导方针,系统工程实验室刘作康 2020/8/7,各国的密码政策,美国 进口不限，出口受限 法国 从EU/EEA范围内的进口不限制 从EU/EEA范围外进口和出口受限 加拿大 按照wass

4、enaar协议限制出口，但对美国不限制 德国 按EU规定和wassenaar协议限制出口 日本 wassenaar协议 出口受限，许可证 俄罗斯 国企开发、实现、运行加密技术受限，需要许可证 进口和出口受限 韩国 进口受限，加密政策未公开 中国 进口、出口受限，开发、实现加密技术受限 新加坡 出口不限，进口需许可,系统工程实验室刘作康 2020/8/7,国内的信息安全法律法规概要,国家法律 人大讨论通过,国家主席发布 行政法规 国务院令,国务院总理发布 部门规章 各级部门/行业批准发布 地方法规 地方政府批准发布,系统工程实验室刘作康 2020/8/7,信息安全相关国家法律,中华人民共和国宪法

5、【1982-12-04】（1999年3月15日修正） 中华人民共和国刑法【1979-07-01】（1999年12月25日修正） 中华人民共和国专利法【1985-04-01】（1992-09-04修正） 中华人民共和国保守国家秘密法【1988-09-05】 中华人民共和国标准化法【1989-04-01】 中华人民共和国著作权法【1991-06-01】（2001-10-27修正） 中华人民共和国国家安全法【1993-02-22】 中华人民共和国产品质量法【1993-02-22】（2000-07-08修正） 中华人民共和国反不正当竞争法【1993-09-02】 中华人民共和国科学技术进步法【1993

6、-10-01】 中华人民共和国立法法【2000-07-01】 中华人民共和国维护互联网安全的决定【2000-12-28】 中华人民共和国政府采购法【2003-01-01】 中华人民共和国行政许可法【2004-07-01】,系统工程实验室刘作康 2020/8/7,信息安全相关行政法规,中华人民共和国计算机信息系统安全保护条例【1994-02-18】-国务院第147号令 中华人民共和国计算机信息网络国际联网管理暂行规定【1997-05-20】 （97修正）-国务院第195号令 商用密码管理条例（1999年10月7日）-国务院令第273号令 中华人民共和国电信条例【2000-09-25】-国务院第2

7、91号令 互联网信息服务管理办法【2000-09-25】-国务院第292号令 计算机软件保护条例【2001-12-20】-国务院第339号令 互联网上网服务营业场所管理条例【2002-09-29】-国务院第号令 中华人民共和国认证认可条例【 2003-11-1】,系统工程实验室刘作康 2020/8/7,信息安全相关部门规章,科学技术保密规定【1995-01-06】国家保密局/国家科学技术委员会 计算机信息系统安全专用产品检测和销售许可证管理办法【1997-12-12】公安部 计算机信息网络国际联网安全保护管理办法【1997-12-30】-公安部 计算机信息系统保密管理暂行规定【1998-02-

8、26】-国家保密局 计算机信息系统集成资质管理办法【1999-12-07】信息产业部 计算机信息系统国际联网保密管理规定【2000-01-01】-国家保密局 网上证券委托暂行管理办法【2000-03-30】证券监督管理委员会 计算机病毒防治管理办法【2000-04-26】 公安部 互联网电子公告服务管理规定【2000-11-07】信息产业部 互联网站从事登载新闻业务管理暂行规定【2000-11-17】国务院新闻办公室/信息产业部 关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释【2000-11-22】（2004-01-07修正）高法 关于选择我国计算机网络安全服务试点单位的公告【20

9、01-04-26】-国家信息化工作领导小组、计算机网络与信息安全管理工作办公室 公用电信网间互联管理规定【2001-04-29】 信息产业部 电网和电厂计算机监控系统及调度数据网络安全防护规定【2002-05-08】-经济贸易委员会 互联网出版管理暂行规定【2002-08-01】新闻出版总署和信息产业部 互联网等信息网络传播视听节目管理办法【2003-02-10】国家广播电影电视总局 互联网文化管理暂行规定【2003-07-01】文化部,系统工程实验室刘作康 2020/8/7,信息安全相关地方法规,四川省计算机信息系统安全保护管理办法【1996-03-28】 成都市计算机信息系统安全保护办法【

10、1996-12-25】 黑龙江省计算机信息系统安全管理规定【1997-08-05】 北京市计算机信息系统病毒预防和控制管理办法(修正)【1997-12-31】 山东省计算机信息系统安全管理办法【1998-04-20】 辽宁省计算机信息系统安全管理条例【1998-05-29】 宁夏回族自治区计算机信息系统保密工作管理规定【1998-07-11】 深圳经济特区计算机信息系统公共安全管理规定【1998-07-17】 河南省计算机信息系统安全保护暂行办法【1999-11-22】 北京市政务与公共服务信息化工程建设管理办法【2000-12-28】 北京市党政机关计算机网络与信息安全管理办法【2001-1

11、1-15】 重庆市计算机信息系统安全保护条例(修正)【2001-12-07】 淮南市计算机信息系统安全管理办法【2001-12-25】 重庆市电信条例【2002-03-27】 北京市关于发布北京市信息安全服务单位资质等级评定条件（试行）的通知【2002-09-18】 江西省电信条例【2003-03-31】 广东省计算机信息系统安全保护管理规定【2003-04-08】,系统工程实验室刘作康 2020/8/7,我国信息安全法律法规简介,刑法 保守国家秘密法 国家安全法 关于维护互联网安全的决定 政府采购法 计算机信息系统安全保护条例 商用密码管理条例 电信条例 认证认可条例 27号文 科学技术保密

12、规定 计算机信息系统安全专用产品检测和销售许可证管理办法 计算机信息系统国际联网保密管理规定 北京市有关信息系统建设的管理规定,系统工程实验室刘作康 2020/8/7,刑法,第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定

13、处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,系统工程实验室刘作康 2020/8/7,保守国家秘密法,第三条一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。 第九条国家秘密的密级分为“绝密”、“机密”、“秘密”三级。“绝密”是最重要的国家秘密，泄露会使国家的安全和利益遭受特别严重的损害；“机密”是重要的国家秘密，泄露会使国家的安全和利益遭受严重的损害；“秘密”是一般的国家秘密，泄露会使

14、国家的安全和利益遭受损害。 第二十四条 不准在私人交往和通信中泄露国家秘密。携带属于国家秘密的文件、资料和其他物品外出不得违反有关保密规定。不准在公共场所谈论国家秘密。 第二十五条在有线、无线通信中传递国家秘密的，必须采取保密措施。不准使用明码或者未经中央有关机关审查批准的密码传递国家秘密。不准通过普通邮政传递属于国家秘密的文件、资料和其他物品。 第三十一条违反本法规定，故意或者过失泄露国家秘密，情节严重的，依照刑法第一百八十六条的规定追究刑事责任。违反本法规定，泄露国家秘密，不够刑事处罚的，可以酌情给予行政处分。,系统工程实验室刘作康 2020/8/7,国家安全法,第一条 为了维护国家安全，

15、保卫中华人民共和国人民民主专政的政权和社会主义制度，保障改革开放和社会主义现代化建设的顺利进行，根据宪法，制定本法。 第二条 国家安全机关是本法规定的国家安全工作的主管机关。国家安全机关按照国家规定的职权划分，各司其职，密切配合，维护国家安全。 第三条 中华人民共和国公民有维护国家的安全、荣誉和利益的义务，不得有危害国家的安全、荣誉和利益的行为。一切国家机关和武装力量、各政党和各社会团体及各企业事业组织，都有维护国家安全的义务。国家安全机关在国家安全工作中必须依靠人民的支持，动员、组织人民防范、制止危害国家安全的行为。 第十九条 任何公民和组织都应当保守所知悉的国家安全工作的国家秘密。 第二十

16、条 任何个人和组织都不得非法持有属于国家秘密的文件、资料和其他物品。,系统工程实验室刘作康 2020/8/7,关于维护互联网安全的决定,为了兴利除弊，促进我国互联网的健康发展，维护国家安全和社会公共利益，保护个人、法人和其他组织的合法权益，对以下方面产生的违法犯罪行为作出了法律上的规定： 保障互联网的运行安全 维护国家安全和社会稳定 维护社会主义市场经济秩序和社会管理秩序 保护个人、法人和其他组织的人身、财产等合法权利,系统工程实验室刘作康 2020/8/7,政府采购法,共九章内容： 第一章总则、第二章政府采购当事人、第三章政府采购方式、第四章政府采购程序、第五章政府采购合同、第六章质疑与投诉

17、、第七章监督检查、第八章法律责任、第九章附则 第一条为了规范政府采购行为，提高政府采购资金的使用效益，维护国家利益和社会公共利益，保护政府采购当事人的合法权益，促进廉政建设，制定本法。 第二条在中华人民共和国境内进行的政府采购适用本法。 本法所称政府采购，是指各级国家机关、事业单位和团体组织，使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。 第三条政府采购应当遵循公开透明原则、公平竞争原则、公正原则和诚实信用原则。 第四条政府采购工程进行招标投标的，适用招标投标法。 政府采购法也包含了对信息安全产品、工程、服务的采购 例如：金财工程、金税工程,系统工

18、程实验室刘作康 2020/8/7,计算机信息系统安全保护条例,共5章内容： 第一章总则、第二章安全保护制度、第三章安全监督、第四章法律责任、第五章附则 第一条为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行，制定本条例。 第三条计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行 。 第五条中华人民共和国境内的计算机信息系统的安全保护，适用本条例。未联网的微型计算机的安全保护办法，另行制定。 第八条计算机信息系统的建设和应用，应当遵守法

19、律、行政法规和国家其他有关规定。 第十七条公安机关对计算机信息系统安全保护工作行使下列监督职权： （3个方面）,系统工程实验室刘作康 2020/8/7,商用密码管理条例,共7章 第一章 总则、第二章 科研、生产管理、第三章 销售管理、第四章使用管理、第五章安全、保密管理、第六章 罚则、第七章 附则 第一条 为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定本条例。 第二条 本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第三条 商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专

20、控管理。 第四条 国家密码管理委员会及其办公室（以下简称国家密码管理机构）主管全国的商用密码管理工作。 第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或者个人不得生产商用密码产品。 第十条 商用密码产品由国家密码管理机构许可的单位销售。未经许可，任何单位或者个人不得销售商用密码产品。 第十三条 进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。 第十七条 商用密码产品的科研、生产，应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品，应当采取相应的安全措施。 第二十三条 泄露商用

21、密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家的安全和利益的活动，情节严重，构成犯罪的，依法追究刑事责任。,系统工程实验室刘作康 2020/8/7,电信条例,共7章内容： 第一章总则、第二章电信市场 、第三章电信服务 、第四章电信建设 、第五章电信安全 、第六章罚则 、第七章附则 第一条为了规范电信市场秩序，维护电信用户和电信业务经营者的合法权益，保障电信网络和信息的安全，促进电信业的健康发展，制定本条例。 第六条电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。 第五十七条任何组织或者个人不得利用电信网络制作、复

22、制、发布、传播含有下列内容的信息： （9项） 第五十八条任何组织或者个人不得有下列危害电信网络安全和信息安全的行为： （4项） 第六十条电信业务经营者应当按照国家有关电信安全的规定，建立健全内部安全保障制度，实行安全保障责任制。 第六十一条电信业务经营者在电信网络的设计、建设和运行中，应当做到与国家安全和电信网络安全的需求同步规划，同步建设，同步运行。,系统工程实验室刘作康 2020/8/7,认证认可条例,共7章内容： 第一章 总 则，第二章 认证机构，第三章 认 证，第四章 认 可，第五章 监督管理，第六章 法律责任，第七章附则 第一条 为了规范认证认可活动，提高产品、服务的质量和管理水平，

23、促进经济和社会的发展，制定本条例。 第二条 本条例所称认证，是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。 本条例所称认可，是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。 第六条 认证认可活动应当遵循客观独立、公开公正、诚实信用的原则。 第八条 从事认证认可活动的机构及其人员，对其所知悉的国家秘密和商业秘密负有保密义务。 第十四条 认证机构不得与行政机关存在利益关系。 认证机构不得接受任何可能对认证活动的客观公正产生影响的资助；不得从事任何可能对认证活动的客观公正产生

24、影响的产品开发、营销等活动。 认证机构不得与认证委托人存在资产、管理方面的利益关系。 第十七条 国家根据经济和社会发展的需要，推行产品、服务、管理体系认证。 第十八条 认证机构应当按照认证基本规范、认证规则从事认证活动。 第二十七条 认证机构应当对其认证的产品、服务、管理体系实施有效的跟踪调查，认证的产品、服务、管理体系不能持续符合认证要求的，认证机构应当暂停其使用直至撤销认证证书，并予公布。,系统工程实验室刘作康 2020/8/7,27号文,2003年7月22日，国家信息化领导小组第三次会议 中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝 主持 关于加强信息安全保障工作的意见（

25、中办、国办发2003年27号文） 意见中提出，加强信息安全保障工作，必须遵循以下原则： 立足国情，以我为主，坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，从发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,系统工程实验室刘作康 2020/8/7,27号文（续）,对下一时期的信息安全保障工作提出了九项要求： 加强对信息安全工作的领导，建立健全信息安全责任制 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信

26、息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 针对规范和加强中国信息安全产品测评认证工作，意见中专门提出“推进信息安全的认证认可工作，规范和加强信息安全产品测评认证工作” 意见中指出，“使用国家财政资金建设的信息化项目，要遵照 中华人民共和国政府采购法的规定采用国产软件、设备和服务”。,系统工程实验室刘作康 2020/8/7,科学技术保密规定,共五章内容： 第一章 总 则、第二章 国家科学技术秘密的范围和密级、第三章 国家科学技术秘密密级的确定、变更及其解密、第四章 国家科学技术秘密保密管理、第五章 附

27、 则 第七条 关系国家的安全和利益，一旦泄露会造成下列后果之一的科学技术，应当列入国家科学技术秘密范围： （一）削弱国家的防御和治安能力；（二）影响我国技术在国际上的先进程度；（三）失去我国技术的独有性；（四）影响技术的国际竞争能力；（五）损害国家声誉、权益和对外关系。 第八条 国家科学技术秘密的密级： 绝密：（三种情况） 机密：（三种情况） 秘密：（两种情况） 第十三条 国家科学技术秘密事项，有下列情形之一的，应当及时变更密级： （两种情况） 第十四条 国家科学技术秘密事项，有下列情形之一的，应当及时解密：（五种情况）,系统工程实验室刘作康 2020/8/7,计算机信息系统安全专用产品检测和

28、销售许可证管理办法,共六章内容： 第一章总则 第二章检测机构的申请与批准 第三章安全专用产品的检测 第四章销售许可证的审批与颁发 第五章罚则 第六章附则 第一条为了加强计算机信息系统安全专用产品（以下简称安全专用产品）的管理，保证安全专用产品的安全功能，维护计算机信息系统的安全，根据中华人民共和国计算机信息系统安全保护条例第十六条的规定，制定本办法。 第三条中华人民共和国境内的安全专用产品进入市场销售，实行销售许可证制度。 第五条公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构（以下简称检测机构）的审批工作。 第二十二条安全专用产品中含有有害数据危害计算机信息

29、系统安全的，依据中华人民共和国计算机信息系统安全保护条例第二十三条的规定处罚；构成犯罪的，依法追究刑事责任。,系统工程实验室刘作康 2020/8/7,计算机信息系统国际联网保密管理规定,第一条为了加强计算机信息系统国际联网的保密管理，确保国家秘密的安全，根据中华人民共和国保守国家秘密法和国家有关法规的规定，制定本规定。 第六条涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。 第七条涉及国家秘密的信息，包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息，不得在国际联网的计算机信息系统中存储、处理、传递。 第八条上网信息的保

30、密管理坚持“谁上网谁负责”的原则。 。 第十条。任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。 第十四条各级保密工作部门，应当加强计算机信息系统国际联网的保密检查，依法查处各种泄密行为。 第十六条互联单位、接入单位和用户，发现国家秘密泄露或可能泄露情况时，应当立即向保密工作部门或机构报告。,系统工程实验室刘作康 2020/8/7,北京市有关信息系统建设的管理规定,北京市政务与公共服务信息化工程建设管理办法【2000-12-28】 第十三条在进行信息化工程建设时，应当同时进行安全系统的方案设计和建设。安全系统的方案设计和建设应当能够满足信息系统安全运行的需要，并保证有相应的投入。信息化工程的设计方案、使用的产品、验收以及相关服务，应当执行信息系统安全的相关标准。重大项目应当通过信息系统安全测评认证，未经测评认证的，不得投入运行 北京市党政机关计算机网络与信息安全管理办法【2001-11-15】 第四条本市各级党政机关应当建立计算机网络与信息安全管理工作领导小组。领导小组可以在本单位保密委员会（领导小组）的基础上，充实有关的领导和技术人员，开展各项工作 第六条本市各级党政机关计算机信息系统的规划