信息安全法律法规

北京神州新知点教育咨询有限公司
信息安全保障培训资料
课程：信息安全法律法规
北京神州新支点教育咨询有限公司
2006 年 7 月

北京神州新知点教育咨询有限公司

信息安全法律法规
目录
1
法律基础和背景
信息安全法律法规
2
国外信息安全法律法规
3 中国信息安全法律法规
1

法律基础和背景—法律系统
在如何处理证据、起诉的权利和司法的角色上，世界上有很多不同类型的法律系统：
判例法（Common Law）：美国、英国、澳大利亚和加拿大伊斯兰和其他宗教法律大陆法系（Civil Law）。法国、德国和魁北克
中国信息安全法律法规 ——法律基础知识
从纵向的层次: 即按立法机关的权限和法律的效力层次来确定的
1.宪法具有最高效力 2.法律 3.行政法规 4.行政规章 5.地方性法规
从横向的领域、部门确定
1.宪法和宪法性法律 2.行政法 3.民商法 4.经济法 5.刑法 6.社会法
2

法律基础和背景—计算机相关的法律类型主要的法律类型
民法（Civil Law）刑法（Criminal Law）行政法规（Administrative/Regulatory Law）
其他相关法律类型
知识产权法（Intellectual Property Law）：专利、版权、商业机密、商标等信息隐私和隐私法（Privacy Laws）
法律基础和背景—道德
道德：并不触犯法律，但它不一定是正确的。相关的道德规范
注册信息安全员（CISM）职业道德规范计算机道德协会（Computer Ethics Institute）：计算机道德十戒互联网体系结构委员会（IAB）：道德和互联网（RFC 1087）经贸合作开发组织（OECD）：GASSP通用可接受系统安全原则
3

美国信息安全相关法律—法律基础
美国使用判例法（Common Law）系在美国的判例法系统中，政府的三类机构可以制定法律。
立法部门（legislative branch）：制定成文法（Statutory Law ）行政管理部门（administrative branch）：制定行政法（administrative laws）司法部门（judicial branch）：制定法庭裁决的判例法（common laws）。
美国信息安全法律法规近况
9.11事件后，美国对于国家安全的重视日益增强，美国参众两院及联邦政府有关安全方面的立法力度较以往大大加强。自 2001年下半年至今，就有近二十个与网络信息安全相关的法案、提案送交两院审议。这些法律法规的推出将为美国社会的安全保障构建坚实的法律基础。
4

美国信息安全相关的法律法规
美国信息安全法律法规近况
《爱国者法案》（已通过）、《网络安全研发法案》、《国家网络安全防御小组授权法案》、《2002年联邦信息安全管理法案》、《本土安全信息共享法案》《网络安全增强法案》（ 2002年8月11日众议院通过）——黑客最高可判终身监禁《国家信息安全产品采购政策》（NSTISSC于 2001 年1 月发布）规定到2002年7月1日，所有采购的商业化信息安全产品及类似产品都必须按照相关标准（含CC）进行认证或确认。
5

建设信息安全法律法规的意义
信息安全保障体系的建设中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚等
信息安全立法的法治作用和目标
保护国家信息主权和社会公共利益
信息安全立法的首要目标。
规范信息主体的信息活动
信息安全立法规范作用的直接体现。
保护信息主体的信息权利协调和解决信息社会产生的矛盾，打击、惩治信息空间的违法行为。
6

我国现行法律法规概况
18部全面规范信息安全的法律法规
包括94年的《中华人民共和国计算机信息系统安全保护条例》等法规
7部侧重于互联网安全的文件或部门规章
包括2000年《全国人民代表大会常务委员会关于维护互联网安全的决定》等法律层面的文件包括97年的《计算机信息网络国际联网安全保护管理办法》等部门规章
3部侧重于信息安全系统与产品的部门规章
包括97年的《计算机信息系统安全专用产品检测和销售许可证管理办法》等部门规章
我国现行法律法规概况（续）
10部侧重于保密的法律和部门规章
包括89年的《中华人民共和国保守国家秘密法》等法律包括2000年的《计算机信息系统国际联网保密管理规定》等部门规章
5部侧重于密码管理及应用的法规和部门规章
包括99年的《商用密码管理条例》等法规包括2005年的《电子认证服务管理办法》、《电子认证服务密码管理办法》等部门规章包括2002年的《上海市数字认证管理办法》、 2001年的《海南省数字证书认证管理试行办法》等地方法规或规章
7

我国现行法律法规概况（续）
9部侧重于计算机病毒与危害性程序防治的规章和部门法规
包括2000年的《计算机病毒防治管理办法》等部门规章包括94年的《北京市计算机信息系统病毒预防和控制管理办法》、2002年的《天津市预防和控制计算机病毒办法》等地方法规或规章
9部侧重于特定领域信息安全的部门规章和法规
包括98年的《金融机构计算机信息安全保护工作暂行规定》、2003年的《铁路计算机信息系统安全保护办法》、 2005年的《证券期货业信息安全保障管理暂行办法》等部门规章包括2003年的《广东省电子政务信息安全管理暂行办法》等地方法规或规章
我国现行法律法规概况（续）
3部侧重于信息安全监管的地方法规或规章
包括2004年的《上海市信息系统安全测评管理办法》等地方法规或规章
9部侧重于特定领域信息安全的部门规章和法规
侧重于信息安全犯罪处罚的主要是我国刑法第 285条、286条、287条等相关规定
8

国家法律(1)(截止2002年1月)
中华人民共和国宪法（摘录）中华人民共和国刑法（摘录）中华人民共和国保守国家秘密法 19880905 中华人民共和国标准化法19881229 中华人民共和国产品质量法20000708 中华人民共和国反不正当竞争法中华人民共和国国家安全法19930222 中华人民共和国人民警察法19950228 中华人民共和国刑事诉讼法
国家法律(2) (截止2002年1月)
中华人民共和国行政处罚法中华人民共和国著作权法中华人民共和国专利法中华人民共和国海关法中华人民共和国商标法中华人民共和国刑事诉讼法中华人民共和国行政处罚法维护互联网安全的决定
9

行政法规 (一)
(截止2002年1月)
《中华人民共和国产品质量认证管理条例》 19910507 《中华人民共和国计算机信息系统安全保护条例》 19940218 《中华人民共和国计算机信息网络国际联网管理暂行规定》19970520 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》《计算机信息网络国际联网保密管理规定》《商用密码管理条例》
行政法规 (二)
《中华人民共和国电信条例》《计算机软件保护条例》《互联网信息服务管理办法》《中华人民共和国计算机信息网络国际联网管理暂行办法》
10

危害信息安全的相关案例
伴随着计算机信息系统不断深入社会生活的各个领域，针对计算机信息系统的犯罪也逐渐增多，成为社会不安定的一种因素。依法惩治这类犯罪活动，已成为刑法的一项重要任务。吕薛文破坏计算机信息系统案
《中华人民共和国刑法》第二百八十六条第一款规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。” 第二款规定：“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。”
何朴利用其担任银行计算机操作员的职务便利贪污巨额公款案
我国信息安全组织机构管理体系
我国信息安全管理格局已经基本形成，是一个多方“齐抓共管”的体制。由国信办网络与信息安全组、信息产业部、公安部、国家安全部、国家保密局、国家密码管理委员会、总参……分别执行各自的安全职能，维护国家信息安全。
11

我国信息安全组织机构管理体系
国信办网络与信息安全组
国家信息安全组织与协调机构
信息产业部
作为国家电信和信息化工作的主管部门，信息产业部负责保障电信、信息网络的运行安全；国务院信息化工作领导小组办公室设在信息产业部，负责网络安全管理方面的协调工作；国家授权信息产业部成立国家计算机网络与信息安全管理中心。
注：信息产业部只从网络服务方面保障网络安全，并不负责对国家信息化进程中的安全保卫、监察和打击犯罪等执法管理。
12

信息产业部最新颁布的信息安全相关法律法规互联网电子邮件服务管理办法关于进一步加强移动通信网络不良信息传播治理的通知
净化移动网络信息服务环境加强对移动通信网络不良信息传播的治理促进移动信息服务业务的持续健康有序发展
互联网新闻信息服务管理规定（国务院新闻办公室、信息产业部联合制定）
公安机关
1994年国务院147号令规定：公安部负责管理计算机信息系统安全保护工作。公安机关负责防范和打击计算机犯罪。 1997年经国务院批准，公安部发布第33号部长令：公安部负责计算机网络国际联网的安全保护管理工作。 1998年国务院规定公安机关负责公共信息网络安全监察。
13

国家安全机关
1985年中央办公厅、国务院办公厅、中央军委办公厅以中办发〖1985〗48号文规定：国家安全机关负责对国内通信信道及其设备的安全保密检测。 1993年，全国人大通过《国家安全法》，赋予国家安全机关对组织、个人使用的电子通信设备的检查权和对党政机关信息网络的安全检查任务。 1997年，中共中央政法委以中政法〖1997〗12 号文重申了国家安全机关对党政机关信息网络技术安全检查的职责。
国家保密工作部门
1988年全国人大通过《中华人民共和国保守国家秘密法》责成国家保密工作部门主管全国保守国家秘密的工作。 1997年中共中央政法委以政法〖1997〗 12号文重申了国家保密工作部门对全国保密政策、制度的管理与指导职责。 1998年国家保密主管部门发布《计算机系统保密管理暂行规定》（国保发〖1998〗1号）。
14

国家密码主管部门
负责实施由中央统一制定的国家密码管理政策。负责密码算法的审批和商用密码产品许可证的管理。负责全国密码产品的研制、生产、销售与使用的管理。
部门规章及规范性文件
信息安全多头管理现状决定法出多门 1、公安部：
《计算机信息系统安全产品检测和销售许可证管理办法》《计算机信息网络国际联网安全保护管理办法》《计算机病毒防治管理办法》《计算机信息系统安全专用产品分类原则》
2、国家保密局：
《计算机信息系统国际联网保密管理规定》
3、国务院新闻办公室：
《互联网新闻信息服务管理规定》（与信息产业部联合制定）
4、中国互联网络信息中心：
《 CNNIC--中文域名争议解决办法》《 CNNIC--中文域名注册管理办法》
5、新闻出版署：
《电子出版物管理规定》关于实施《电子出版物管理暂行规定》若干问题的通知
15

部门规章及规范性文件
6、信息产业部：
电子信息产品污染控制管理办法互联网电子邮件服务管理办法关于进一步加强移动通信网络不良信息传播治理的通知公用电信网间通信质量监督管理办法《互联网电子公告服务管理规定》《软件产品管理办法》《电信网间互联管理暂行规定》《关于互联网中文域名管理的通告》《计算机信息系统集成资质管理办法》《软件企业认定标准及管理办法》关于互联网中文域名管理的通告电信网间互联管理暂行规定互联网上网服务营业场所管理办法《计算机信息网络国际联网出入口信道管理办法》《通信建设市场管理办法》《通信行政处罚程序暂行规定》中国公用计算机互联网国际联网管理办法互联网上网服务营业场所管理办法
部门规章及规范性文件
7、国家密码管理委员会办公室：
国家密码管理委员会办公室公告
8、中华人民共和国国家科学技术委员会:
科学技术保密规定
9、最高人民法院 :
关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释
10、广电总局 :
关于加强通过信息网络向公众传播广播电影电视类节目管理的通告
11、国务院信息办 :
中国互联网络域名注册实施细则中国互联网络域名注册暂行管理办法
12、教育部 :
教育网站和网校暂行管理办法
13、证监会 :
网上证券委托暂行管理办法
16

地方法律法规
北京市公共服务网络与信息系统安全管理规定北京市计算机信息系统集成资质管理暂行办法北京市人民政府令北京市政务与公共服务信息化工程建设管理办法关于加强计算机信息系统国际联网备案管理的通告
信息安全法律法规的发展过程
91年劳动部就出台了《全国劳动管理信息计算机系统病毒防治规定》 94年以后，我国信息安全法律法规体系进入了初步建设的阶段，一大批相关法律法规先后出台 2000年12月28日出台了《全国人民代表大会常务委员会关于维护互联网安全的决定》——信息安全法律体系建设的新阶段 2003年7月22日，国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号），则标志这我国信息安全法律体系的建设进入一个更高的阶段。
17

信息安全法律法规新发展
电子商务迫切需要的《电子签章法》电子政务基础之一的《信息公开法》国家统一信息安全管理权威的努力互联网电子邮件服务管理办法关于进一步加强移动通信网络不良信息传播治理的通知
国家政策
加强信息安全保障工作的总体要求是：
坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。
加强信息安全保障工作的主要原则是：
立足国情，以我为主，坚持管理和技术并重；正确处理安全与发展关系；以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。
18