CISP授课-信息安全法律、法规

信息安全法律、法规中国信息安全产品测评认证中心cnitsec信息安全法律法规学习方法初步了解概况和框架需仔细了解细节时查阅相关网站和资料（如方案设计和安全工程的输入项）需理解应用时咨询专业人士cnitsec国际法学简单对比欧美国亚洲我国cnitsec我国法律的历史和现状简介历史悠远的人治传统（非法治）2002年10月28日新闻报道：近13年发布的法律是前40年总和的三倍，律师激增法律意识提高（网上漫骂案和某黑客案）cnitsec美国信息安全法律法规近况9.11事件后，美国对于国家安全的重视日益增强，美国参众两院及联邦政府有关安全方面的立法力度较以往大大加强。自2001年下半年至今，就有近二十个与网络信息安全相关的法案、提案送交两院审议。这些法律法规的推出将为美国社会的安全保障构建坚实的法律基础。cnitsec美国信息安全法律法规近况《爱国者法案》（已通过）、《网络安全研发法案》、《国家网络安全防御小组授权法案》、《2002年联邦信息安全管理法案》、《本土安全信息共享法案》《网络安全增强法案》（2002年8月11日众议院通过）——黑客最高可判终身监禁《国家信息安全产品采购政策》（NSTISSC于2001年1月发布）规定到2002年7月1日，所有采购的商业化信息安全产品及类似产品都必须按照相关标准（含CC）进行认证或确认。cnitsec我国国家法律结构(一)从纵向的层次:即按立法机关的权限和法律的效力层次来确定的1.宪法具有最高效力2.法律3.行政法规4.行政规章5.地方性法规cnitsec国家法律结构(二)从横向的领域、部门确定1.宪法和宪法性法律2.行政法3.民商法4.经济法5.刑法6.社会法cnitsec国家法律(1)(截止2002年1月)中华人民共和国宪法（摘录）中华人民共和国刑法（摘录）中华人民共和国保守国家秘密法19880905中华人民共和国标准化法19881229中华人民共和国产品质量法20000708中华人民共和国反不正当竞争法（中关村案）中华人民共和国国家安全法19930222中华人民共和国人民警察法19950228中华人民共和国刑事诉讼法cnitsec国家法律(2)(截止2002年1月)中华人民共和国行政处罚法中华人民共和国著作权法中华人民共和国专利法中华人民共和国海关法（bill.gate案例）中华人民共和国商标法中华人民共和国刑事诉讼法中华人民共和国行政处罚法维护互联网安全的决定cnitsec行政法规(一)(截止2002年1月)《中华人民共和国产品质量认证管理条例》19910507《中华人民共和国计算机信息系统安全保护条例》19940218《中华人民共和国计算机信息网络国际联网管理暂行规定》19970520《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》《计算机信息网络国际联网保密管理规定》《商用密码管理条例》cnitsec行政法规(二)《中华人民共和国电信条例》《计算机软件保护条例》《互联网信息服务管理办法》《中华人民共和国计算机信息网络国际联网管理暂行办法》cnitsec部门规章及规范性文件1、公安部：《计算机信息系统安全产品检测和销售许可证管理办法》《计算机信息网络国际联网安全保护管理办法》《计算机病毒防治管理办法》《计算机信息系统安全专用产品分类原则》cnitsec部门规章及规范性文件2、国家保密局：《计算机信息系统国际联网保密管理规定》cnitsec部门规章及规范性文件3、国务院新闻办公室：《互联网站从事登载新闻业务管理暂行规定》cnitsec部门规章及规范性文件4、中国互联网络信息中心：《CNNIC--中文域名争议解决办法》《CNNIC--中文域名注册管理办法》cnitsec部门规章及规范性文件5、新闻出版署：《电子出版物管理规定》关于实施《电子出版物管理暂行规定》若干问题的通知cnitsec部门规章及规范性文件6、信息产业部(1)：《互联网电子公告服务管理规定》《软件产品管理办法》《电信网间互联管理暂行规定》《关于互联网中文域名管理的通告》《计算机信息系统集成资质管理办法》《软件企业认定标准及管理办法》cnitsec部门规章及规范性文件6、信息产业部(2)：关于互联网中文域名管理的通告电信网间互联管理暂行规定互联网上网服务营业场所管理办法软件企业认定标准及管理办法《计算机信息网络国际联网出入口信道管理办法》《通信建设市场管理办法》cnitsec部门规章及规范性文件6、信息产业部(3)：《通信行政处罚程序暂行规定》中国公用计算机互联网国际联网管理办法互联网上网服务营业场所管理办法中国公众多媒体通信管理办法中国金桥信息网公众多媒体信息服务管理办法cnitsec部门规章及规范性文件7、国家密码管理委员会办公室：国家密码管理委员会办公室公告cnitsec部门规章及规范性文件8、中华人民共和国国家科学技术委员会:科学技术保密规定cnitsec部门规章及规范性文件9、最高人民法院:关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释cnitsec部门规章及规范性文件10、广电总局:关于加强通过信息网络向公众传播广播电影电视类节目管理的通告cnitsec部门规章及规范性文件11、国务院信息办:中国互联网络域名注册实施细则中国互联网络域名注册暂行管理办法cnitsec部门规章及规范性文件12、教育部:教育网站和网校暂行管理办法cnitsec部门规章及规范性文件13、证监会:网上证券委托暂行管理办法cnitsec地方法律法规北京市计算机信息系统集成资质管理暂行办法北京市人民政府令北京市政务与公共服务信息化工程建设管理办法关于加强计算机信息系统国际联网备案管理的通告cnitsec《中华人民共和国国家安全法》第一章总则（1-5条）本法所称危害国家安全的行为，是指境外机构、组织、个人实施或者指使、资助他人实施的，或者境内组织、个人与境外机构、组织、个人相勾结实施的下列危害中华人民共和国国家安全的行为：（一）阴谋颠覆政府，分裂国家，推翻社会主义制度的；（二）参加间谍组织或者接受间谍组织及其代理人的任务的；（三）窃取、刺探、收买、非法提供国家秘密的；（四）策动、勾引、收买国家工作人员叛变的；（五）进行危害国家安全的其他破坏活动的。cnitsec《中华人民共和国国家安全法》第二章国家安全机关在国家安全工作中的职权（6-14条）提醒：第七条国家安全机关的工作人员依法执行国家安全工作任务时，经出示相应证件，有权查验中国公民或者境外人员的身分证明；向有关组织和人员调查、询问有关情况。cnitsec《中华人民共和国国家安全法》第三章公民和组织维护国家安全的义务和权利（15-22条）提醒（针孔摄像头）：第二十一条任何个人和组织都不得非法持有、使用窃听、窃照等专用间谍器材。cnitsec《中华人民共和国国家安全法》第四章法律责任（23-32条）提醒（某客座教授）：第二十五条在境外受胁迫或者受诱骗参加敌对组织，从事危害中华人民共和国国家安全的活动，及时向中华人民共和国驻外机构如实说明情况的，或者入境后直接或者通过所在组织及时向国家安全机关或者公安机关如实说明情况的，不予追究。cnitsec《中华人民共和国国家安全法》第五章附则（33-34条）cnitsec《中华人民共和国保守国家秘密法》第一章总则（1-7条）第二章国家秘密的范围和密级(8-16条)第三章保密制度（17-30条）第四章法律责任（31-32条）第五章附则（33-35条）cnitsec《商用密码管理条例》第一章总则（1-4条）第二章科研、生产管理（5-9条）第三章销售管理（10-13条）第四章使用管理（14-16条）第五章安全、保密管理（17-19条）第六章罚则（20-25条）第七章附则（26-27条）cnitsec第一章总则（1-4条）为加强商用密码管理及保护信息安全制定本条例商用密码定义商用密码技术属于国家秘密国家密码管理机构主管全国的商用密码管理工作cnitsec第二章科研、生产管理（5-9条）其科研任务由国家密码管理机构指定的单位承担其科研成果由国家密码管理机构组织专家审定其产品由国家密码管理机构指定的单位生产商用密码产品定义商用密码产品须经国家密码管理机构指定的产品质量检测机构检测合格cnitsec第三章销售管理（10-13条）商用密码产品由国家密码管理机构许可的单位销售销售商用密码产品应向国家密码管理机构提出申请且须具备三个条件销售商用密码产品应记录购买者的用途等详细情况进出口密码相关产品须经国家密码管理机构批准cnitsec第四章使用管理（14-16条）任何单位及个人只能使用经国家密码管理机构认可的商用密码产品境外组织或者个人在中国境内使用密码产品时应报经国家密码管理机构批准商用密码产品的用户不得转让其使用的商用密码产品cnitsec第五章安全、保密管理（17-19条）其产品的科研、生产、销售应采取安全措施宣传产品是应先报国家密码管理机构批准任何单位和个人不得非法攻击商用密码cnitsec第六章罚则（20-25条）有三种行为之一的没收密码产品或罚款（未经指定、未经许可、未经批准）有四种行为之一的警告、责令改正（违反安全保密规定、未采取安全措施、未经批准宣传产品、擅自转让等）有20、21（1、2、3）条款行为的撤销资格吊销许可证泄露、非法攻击商用密码等构成犯罪的追究刑事责任境外人士未经批准擅自使用此类设备警告并责令改正商用密码管理机构的工作人员构成犯罪追其刑事责任cnitsec第七章附则（26-27条）国家密码管理委员会可依本条例制定有关的管理规定本条例自发布之日（1999年10月7日）起施行cnitsec《互联网信息服务管理办法》为规范互联网信息服务活动使之健康发展制定本办法。国内从事互联网信息服务活动须遵守本办法互联网信息服务分经营性和非经营性两类经营性互联网信息服务实行许可制度，非经营性互联网信息服务实行备案制度从事新闻、出版、教育、药品等互联网信息服务须审批经营性互联网信息服务除应符合《中华人民共和国电信条例》规定，还应当具备三个条件从事经营性互联网信息服务应申办经营许可证（流程）从事非经营性互联网信息服务应办理备案手续（流程）cnitsec《互联网信息服务管理办法》从事互联网信息服务（电子公告）应提出专项申请或者专项备案主管部门应公布取得经营许可证的名单互联网信息服务提供者按经许可或备案项目提供服务互联网信息服务提供者应在主页标明经营许可证编号互联网信息服务提供者应向上网用户提供良好的服务互联网信息服务提供者应做好审计工作互联网信息服务提供者不得传播九类信息互联网信息服务提供者若发现有15条中的内容则删除经营性互联网信息服务提供者有境外业务须经审批主管部门应对互联网信息服务实施监督管理cnitsec《互联网信息服务管理办法》无经营许可证擅自从事经营性互联网信息服务的应予处理传播第15条内容之一并构成犯罪的依法追究刑事责任未履行第14条规定的义务的责令改正未在其主页上标明经营许可证编号的责令改正并罚款违反第16条规定的义务的责令改正互联网信息服务提供者违反其他法律依有关法规处罚电信管理机构及相关主管部门构成犯罪的追究刑事责任之前从事互联网信息服务的在本办法公布60日内补办手续本办法自公布之日（２０００年９月２０日）起施行cnitsec《计算机病毒防治管理办法》共22条为加强对计算机病毒的预防和治理，保护计算机信息系统安全制定本办法计算机病毒定义境内计算机信息系统以及未联网计算机的计算机病毒防治管理工作，适用本办法公安部公共信息网络安全监察部门主管，各级公安机关任何单位和个人不得制作计算机病毒任何单位