CISP0501信息安全法律和政策

信息安全法规与政策黄思齐课程内容2信息安全法规与政策知识体知识域信息安全法律法规知识子域国家信息安全法治总体情况等级保护有关政策规范风险评估有关政策规范信息安全国家政策现行重要信息安全法规电子政务与重要信息系统信息安全政策国家信息安全保障总体方针道德规范信息安全从业人员道德规范通行道德规范CISP职业道德准则计算机使用道德规范因特网使用道德规范信息安全从业人员基本道德规范知识域：信息安全相关法律知识子域：国家信息安全法治总体情况了解信息安全法治建设的意义了解我国信息安全法律法规体系框架知识子域：现行重要信息安全法规掌握《保守国家秘密法》的主要内容理解《电子签名法》的意义和作用了解《刑法》有关信息安全犯罪的规定了解《全国人大常委会关于维护互联网安全的决定》3基本概念法律法规国家政策道德规范标准制度4法律、政策和道德的定义法律（Law）-----国家制定或认可的，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范。政策（Policy）----国家或政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。道德规范（Ethic）-----一定社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶的标准。5国家法律体系地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章部门规章国务院各部委多级立法6法律和政策的区别法律政策一旦制定，就比较稳定，长期有效，不允许经常更改是针对一定的问题制定的，一旦问题解决，或环境发生变化，政策就需要终止或修正具有统一的实行标准和很强的可操作性只是一定的规范、原则，要实施还需要将其具体化，转换成执行细则法律必须是公开的，面向社会公布的政策文件可以是公开的，也可以是“内部”的政策有党的政策、国家政策之分，有总政策、基本政策和具体政策之别。政策在成为法律之前，表现为决定、决议、纲领、宣言、通知、纪要等形式。7法律和道德的区别法律道德法律是国家意志的统一体现，有严密的逻辑体系，有不同的位阶和效力尽管道德也可以按需分类，但不具有法律那样的严谨的结构体系法律都可以文字形式表现出来道德的内容则主要存在于人们的道德意识中，表现于人们的言行上违法犯罪的后果有明确规定，是一种“硬约束”不道德行为的后果，是自我谴责和舆论压力，是一种“软约束”。职业道德是指符合职业特点要求的准则、情操、品质等，是职业义务、职业责任以及职业行为上的道德准则。8其他一些概念标准（Standard）-----原意为“标靶”（即：参照物），为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。（标准宜以科学、技术和实践经验的综合成果为基础，以促进最佳的共同效益为目的）制度（System）----要求大家共同遵守的办事规程或行动准则，是国家法律、法令、政策的具体化，是人们行动的准则和依据。（指导+约束、鞭策+激励、规范+程序）9国家信息安全保障体系信息安全技术与产业支撑平台信息安全基础设施信息安全法律法规与政策环境信息安全人才培训教育体系信息安全组织机构及管理体系信息安全标准与规范10信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。---胡锦涛11我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全国家信息化领导小组（国家网络与信息安全协调小组）工信部公安部国家安全部国家保密局国家密码管理委员会等等12我国的信息安全基础设施中国信息安全测评中心(CNITSEC)中国信息安全认证中心(ISCCC)国家计算机网络应急技术处理协调中心（CNCERT/CC）国家计算机病毒应急处理中心全国信息安全标准化技术委员会（TC260）等等13信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚等保护国家信息主权和社会公共利益是信息安全立法的首要目标14信息安全法治建设的意义信息安全不再只是个技术问题，而更多地是个商业和法律问题---安全漏洞、信息犯罪的本质？信息安全产业的逐渐形成和成熟，需要必要的规范信息安全法治建设涉及的主体：信息安全主管部门、各类IT产品和服务的安全（ITSP）、信息安全类产品和服务（ISSP）、信息及信息系统的拥有者和使用者信息安全法治建设涉及的客体：信息数据、信息系统狭义的信息安全广义的信息安全15我国信息安全法律法规体系框架地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章部门规章宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法。。。计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例。。。公安部（安全专用产品等）原信产部（互联网域名、电子认证服务管理办法等）国新办（互联网新闻信息服务）保密局（保密等）。。。16贵州省信息化条例贵州省人民政府令颁布省级信息安全工程和政府投资信息化工程立项前审查行政许可我国信息安全法治建设的发展历程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机信息系统安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-00《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）我国信息安全法治建设的初步成效法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善法律少而规章等偏多，缺乏信息安全的基本法与信息安全相关的司法和行政管理体系迅速完善法律法规的内容篇幅偏小，行为规范较简单截至2008年与信息安全直接相关的法律有65部涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域。18我国信息安全法治建设展望需要一部信息安全的基本法《国家信息安全法》（或先出台《信息安全条例》）信息安全的基本原则与基本制度信息安全的主要核心内容进一步完善各领域的信息安全专门法信息安全的监管模式和认证体系（面向信息安全各类主体和客体）信息安全常态管理（等级保护制度等）信息安全应急管理（预警、监测、通报和应急处理等）网络与信息系统全生命周期的信息安全信息内容安全特定领域的信息安全（电子政务、电子商务、行业信息化等）组织信息资产的基本法律地位个人信息保护的基本规范信息安全犯罪19《宪法》中的有关规定《宪法》第二章公民的基本权利和义务第40条公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。法律20《刑法》中的有关规定（1）《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。•违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。•违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。•提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。法律21《刑法》中的有关规定（2）《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条286条：破坏计算机信息系统罪。•违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。•违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。•故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。287条：利用计算机实施犯罪的提示性规定。•利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。22法律《刑法》中的有关规定（3）第一章危害国家安全罪111条为境外窃取、刺探、收买、非法提供国家秘密、情报罪为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的，处五年以上十年以下有期徒刑；情节特别严重的，处十年以上有期徒刑或者无期徒刑；情节较轻的，处五年以下有期徒刑、拘役、管制或者剥夺政治权利。第六章妨害社会管理秩序罪第一节扰乱公共秩序罪282条非法获取国家秘密罪；非法持有国家绝密、机密文件、资料、物品罪以窃取、刺探、收买方法，非法获取国家秘密的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利；情节严重的，处三年以上七年以下有期徒刑。非法持有属于国家绝密、机密的文件、资料或者其他物品，拒不说明来源与用途的，处三年以下有期徒刑、拘役或者管制。23《刑法》中的有关规定（3）第九章渎职罪398条故意泄露国家秘密罪；过失泄露国家秘密罪国家机关工作人员违反保守国家秘密法的规定，故意或者过失泄露国家秘密，情节严重的，处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上七年以下有期徒刑。非国家机关工作人员犯前款罪的，依照前款的规定酌情处罚。24《治安管理处罚法》中的有关规定《治安管理处罚法》第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：•（一）违反国家规定，侵入计算机信息系统，造成危害的；•（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；•（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；•（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。《治安管理处罚法》其他规定（与非法信息传播等相关）：第42、47、68条法律25《国家安全法》中的有关规定《国家安全法》第二章国家安全机关在国家安全工作中的职权第10、11条第10条国家安全机关因侦察危害国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。第11条国家安全机关为维护国家安全的需要，可以查验组织和个人的电子通信工具、器材等设备、设施。法律26《保守国家秘密法》（保密法1）演进《保守国家秘密暂行条例》（1951年）《保守国家秘密法》（1989年）《保