網(wǎng)絡(luò)安全法律體系建設(shè)

計(jì)算機(jī)犯罪、信息安全等基本概念

計(jì)算機(jī)犯罪概念：
針對(duì)計(jì)算機(jī)信息系統(tǒng)，對(duì)國(guó)家、團(tuán)體或個(gè)人造成危害的行為

計(jì)算機(jī)犯罪特點(diǎn):
多樣化
復(fù)雜化
國(guó)際化

計(jì)算機(jī)犯罪的趨勢(shì)
從無(wú)意識(shí)到有組織
從個(gè)體侵害到國(guó)家威脅
跨越計(jì)算機(jī)本身的實(shí)施能力
低齡化成為法律制約難題

我國(guó)立法體系及網(wǎng)絡(luò)安全法

我國(guó)的立法體系

立法是網(wǎng)絡(luò)空間治理的基礎(chǔ)工作
我國(guó)采取多級(jí)立法機(jī)制

網(wǎng)絡(luò)安全法

網(wǎng)絡(luò)安全立法演變?yōu)槿蚍秶鷥?nèi)的利益協(xié)調(diào)與國(guó)家主權(quán)斗爭(zhēng)

出臺(tái)背景

草案到正式出臺(tái)經(jīng)歷了三次審議，兩次公開(kāi)征求意見(jiàn)和修改

基本概念

網(wǎng)絡(luò)空間 已成為領(lǐng)土、領(lǐng)海、領(lǐng)空、太空之外的“第五空間”或人類“第二類生存空間”成為國(guó)家主權(quán)延伸的新疆域

安全法主要結(jié)構(gòu)

七章79條

第一章 總則

明確網(wǎng)絡(luò)空間主權(quán)原則

第二章 網(wǎng)絡(luò)安全支持與促進(jìn)

建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)
統(tǒng)籌規(guī)劃，扶持網(wǎng)絡(luò)安全產(chǎn)業(yè)（產(chǎn)品、服務(wù)等）
推動(dòng)社會(huì)化網(wǎng)絡(luò)安全服務(wù)體系建設(shè)
鼓勵(lì)開(kāi)發(fā)數(shù)據(jù)安全保護(hù)和利用技術(shù)、創(chuàng)新網(wǎng)絡(luò)安全管理方式
開(kāi)展經(jīng)常性網(wǎng)絡(luò)安全宣傳教育
支持企業(yè)和高等學(xué)校、職業(yè)學(xué)校等教育培訓(xùn)機(jī)構(gòu)
開(kāi)展網(wǎng)絡(luò)安全相關(guān)教育與培訓(xùn)，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，促進(jìn)網(wǎng)絡(luò)安全人才交流

第三章 網(wǎng)絡(luò)運(yùn)行安全

明確要求落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度
第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：
（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；
（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；
（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；
（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；
（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。
明確網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)

明確網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者的安全義務(wù)

明確一般性安全保護(hù)義務(wù)

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)


關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)中產(chǎn)生的數(shù)據(jù)必須境內(nèi)存儲(chǔ)
2017年04月10日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的通知。明確了
個(gè)人信息和重要數(shù)據(jù)出境的范圍
? 有50萬(wàn)人以上的個(gè)人信息
? 數(shù)據(jù)量超過(guò)1000GB
? 7大重要領(lǐng)域數(shù)據(jù)等
數(shù)據(jù)出境評(píng)估原則
評(píng)估7個(gè)方面主要內(nèi)容

明確我國(guó)實(shí)行網(wǎng)絡(luò)安全審查制度

2017年05月02日中央網(wǎng)信辦正式發(fā)布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》。其中就審查的目的、需要審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的范圍、網(wǎng)絡(luò)安全審查的管理部門（網(wǎng)絡(luò)安全審查委員會(huì)）、審查的機(jī)構(gòu)（國(guó)家統(tǒng)一認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)）和對(duì)黨政機(jī)關(guān)和重點(diǎn)行業(yè)的審查工作提出要求。并于2017年6月1日同《網(wǎng)絡(luò)安全法》一同實(shí)施.

第四章 網(wǎng)絡(luò)信息安全

重視對(duì)個(gè)人信息保護(hù)

規(guī)范信息管理

確定信息管理中相關(guān)職責(zé)

2017年05月02日國(guó)家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》（國(guó)信辦1號(hào)令），于6月1日同《網(wǎng)絡(luò)安全法》一起實(shí)施。規(guī)范了：
互聯(lián)網(wǎng)新聞信息服務(wù)的范圍
互聯(lián)網(wǎng)新聞信息服務(wù)的6項(xiàng)許可條件
互聯(lián)網(wǎng)新聞信息服務(wù)提供者的責(zé)任義務(wù)
網(wǎng)信部門對(duì)互聯(lián)網(wǎng)新聞信息服務(wù)的監(jiān)督檢查要求
相關(guān)法律責(zé)任

同日國(guó)家互聯(lián)網(wǎng)信息辦公室一并發(fā)布**《互聯(lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定》 （國(guó)信辦2號(hào)令）**，于6月1日同《網(wǎng)絡(luò)安全法》一起實(shí)施。規(guī)范了：
互聯(lián)網(wǎng)信息內(nèi)容管理部門行政執(zhí)法依據(jù)
管轄范圍
立案流程
調(diào)查取證過(guò)程
聽(tīng)證及約談機(jī)制
處罰決定及執(zhí)行辦法等

第五章 監(jiān)測(cè)預(yù)警與應(yīng)急處置

工作制度化、法制化

第六章 法律責(zé)任

對(duì)違反《 網(wǎng)絡(luò)安全法》 的行為，第六章規(guī)定了民事責(zé)任、行政責(zé)任、刑事責(zé)任

行政法相關(guān)法規(guī)

民法相關(guān)法規(guī)

刑法相關(guān)法規(guī)
出售或者提供公民個(gè)人信息罪、非法侵入計(jì)算機(jī)信息系統(tǒng)罪、網(wǎng)絡(luò)服務(wù)瀆職罪等

其他網(wǎng)絡(luò)安全相關(guān)法規(guī)及條款
國(guó)家安全法
保密法
電子簽名法
反恐怖主義法
密碼法

國(guó)家網(wǎng)絡(luò)安全政策

網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略

全文:http://www.cac.gov.cn/2016-12/27/c_1120195926.htm?from=singlemessage

網(wǎng)絡(luò)安全法相關(guān)保護(hù)

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定了計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)安全等級(jí)保護(hù)
GB 17859正式細(xì)化等級(jí)保護(hù)要求，劃分五個(gè)級(jí)別
《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)的通知》規(guī)定等級(jí)保護(hù)指導(dǎo)思想、原則和要求。定級(jí)從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)
網(wǎng)絡(luò)安全法明確我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度

網(wǎng)絡(luò)安全道德與準(zhǔn)則

道德的約束

道德的概念
一定社會(huì)或階級(jí)用以調(diào)整人們之間利益關(guān)系的行為準(zhǔn)則，也是評(píng)價(jià)人們行為善惡的標(biāo)準(zhǔn)

道德和法律
道德沒(méi)有嚴(yán)謹(jǐn)?shù)慕Y(jié)構(gòu)體系，法律是國(guó)家意志統(tǒng)一體系，有嚴(yán)密的邏輯

道德約束
道德約束是建立在完善的法律基礎(chǔ)上
懲戒性條款的管理制度是組織內(nèi)部建立職業(yè)道德約束的有效手段之一
培訓(xùn)與教育是不可或缺的增強(qiáng)員工道德意識(shí)的途徑

職業(yè)道德準(zhǔn)則

職業(yè)道德的概念
廣義的職業(yè)道德是指從業(yè)人員在職業(yè)活動(dòng)中應(yīng)該遵循的行為準(zhǔn)則，涵蓋了從業(yè)人員與服務(wù)對(duì)象、職業(yè)與職工、職業(yè)與職業(yè)之間的關(guān)系。狹義的職業(yè)道德是指在一定職業(yè)活動(dòng)中應(yīng)遵循的、體現(xiàn)一定職業(yè)特征的、調(diào)整一定職業(yè)關(guān)系的職業(yè)行為準(zhǔn)則和規(guī)范。

著名的計(jì)算機(jī)職業(yè)倫理守則
美國(guó)計(jì)算機(jī)學(xué)會(huì)職業(yè)倫理守則、英國(guó)計(jì)算機(jī)學(xué)會(huì)倫理守則、計(jì)算機(jī)倫理十誡

CISP職業(yè)道德準(zhǔn)則
維護(hù)國(guó)家、社會(huì)和公眾的信息安全
誠(chéng)實(shí)守信、遵紀(jì)守法
努力工作，盡職盡責(zé)
發(fā)展自身，維護(hù)榮譽(yù)

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

標(biāo)準(zhǔn)與標(biāo)準(zhǔn)化

標(biāo)準(zhǔn)

為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件

標(biāo)準(zhǔn)類型
國(guó)際標(biāo)準(zhǔn)
國(guó)家標(biāo)準(zhǔn)
行業(yè)標(biāo)準(zhǔn)
地方標(biāo)準(zhǔn)

標(biāo)準(zhǔn)化

為了在一定范圍內(nèi)獲得最佳秩序，對(duì)現(xiàn)實(shí)問(wèn)題或潛在問(wèn)題制定共同使用和重復(fù)使用的條款的活動(dòng)

標(biāo)準(zhǔn)化的基本特點(diǎn)
標(biāo)準(zhǔn)化是一項(xiàng)活動(dòng)
標(biāo)準(zhǔn)化的對(duì)象：物、事、人
標(biāo)準(zhǔn)化是一個(gè)動(dòng)態(tài)的概念
標(biāo)準(zhǔn)化是一個(gè)相對(duì)的概念
標(biāo)準(zhǔn)化的效益只有應(yīng)用后才能體現(xiàn)
標(biāo)準(zhǔn)化工作原則：簡(jiǎn)化、統(tǒng)一、協(xié)調(diào)、優(yōu)化

標(biāo)準(zhǔn)化組織

主要國(guó)際標(biāo)準(zhǔn)化組織
國(guó)際標(biāo)準(zhǔn)化組織（ISO）
國(guó)際電工委員會(huì)（IEC）
Internet工程任務(wù)組（IETF）
國(guó)際電信聯(lián)盟（ITU）及國(guó)際電信聯(lián)盟遠(yuǎn)程通
信標(biāo)準(zhǔn)化組織（ITU-T）

國(guó)家標(biāo)準(zhǔn)化組織（美國(guó)）
美國(guó)國(guó)家標(biāo)準(zhǔn)化協(xié)會(huì)（ANSI）
美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）

我國(guó)標(biāo)準(zhǔn)化組織

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)
是我國(guó)最高級(jí)別的國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260)
1984年，成立數(shù)據(jù)加密技術(shù)分委員，后來(lái)改為信息技術(shù)安全分技術(shù)委員會(huì), 2002年4月，為加強(qiáng)信息安全標(biāo)準(zhǔn)的協(xié)調(diào)工作，國(guó)家標(biāo)準(zhǔn)委決定成立全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（信安標(biāo)委，TC260），由國(guó)家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)，對(duì)口ISO/IEC JTC1 SC27
國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)高新函[2004]1號(hào)文決定：自2004年1月起，各有關(guān)部門在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)信息安全標(biāo)委會(huì)提出工作意見(jiàn)，協(xié)調(diào)一致后由信息安全標(biāo)委會(huì)組織申報(bào)；在國(guó)家標(biāo)準(zhǔn)制定過(guò)程中，標(biāo)準(zhǔn)工作組或主要起草單位要與信息安全標(biāo)委會(huì)積極合作，并由信息安全標(biāo)委會(huì)完成國(guó)家標(biāo)準(zhǔn)送審
、報(bào)批工作

標(biāo)準(zhǔn)機(jī)構(gòu)與標(biāo)準(zhǔn)體系

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

我國(guó)分類標(biāo)準(zhǔn)

GB 強(qiáng)制性國(guó)家標(biāo)準(zhǔn)
一經(jīng)頒布必須貫徹執(zhí)行，違反則構(gòu)成經(jīng)濟(jì)或法律方面的責(zé)任

GB/T 推薦性國(guó)家標(biāo)準(zhǔn)
自愿采用的標(biāo)準(zhǔn)，共同遵守的技術(shù)依據(jù)，嚴(yán)格貫徹執(zhí)行

GB/Z 國(guó)家標(biāo)準(zhǔn)指導(dǎo)性技術(shù)文件
由于技術(shù)發(fā)展過(guò)程中或其他理由，將來(lái)可能達(dá)成一致意見(jiàn)指導(dǎo)性技術(shù)文件
實(shí)施后3年內(nèi)必須進(jìn)行復(fù)審

國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系

基礎(chǔ)類標(biāo)準(zhǔn)
安全術(shù)語(yǔ)類
測(cè)評(píng)基礎(chǔ)類
管理基礎(chǔ)類
物理安全類
安全模型類
安全體系架構(gòu)類

技術(shù)與機(jī)制標(biāo)準(zhǔn)
密碼技術(shù)
鑒別機(jī)制
授權(quán)機(jī)制
電子簽名
公鑰基礎(chǔ)設(shè)施
通信安全技術(shù)
涉密系統(tǒng)通用技術(shù)要求

管理與服務(wù)標(biāo)準(zhǔn)
涉密服務(wù)
安全控制與服務(wù)
網(wǎng)絡(luò)安全管理
行業(yè)/領(lǐng)域安全管理

測(cè)評(píng)標(biāo)準(zhǔn)
密碼產(chǎn)品
通用產(chǎn)品
安全保密產(chǎn)品
通用系統(tǒng)
涉密信息系統(tǒng)
通信安全
政府安全檢查
安全能力評(píng)估

信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系

安全等級(jí)類：主要對(duì)如何進(jìn)行信息系統(tǒng)定級(jí)做出指導(dǎo)
GB/T22240-2008 《信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)保護(hù)定級(jí)指南》
各類行業(yè)定級(jí)準(zhǔn)則

方法指導(dǎo)類：對(duì)如何開(kāi)展等級(jí)保護(hù)工作做了詳細(xì)規(guī)定
GB/T25058-2010《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》
GB/T25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等

狀況分析類：對(duì)如何開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作做出了詳細(xì)規(guī)定
GB/T28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》
GB/T28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等

基線要求類：分技術(shù)類、管理類和產(chǎn)品類等標(biāo)準(zhǔn)，分別對(duì)某些專門技術(shù)、管理和產(chǎn)品的進(jìn)行要求
例如：GB/T22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》、GB/T21052-2007《信息系統(tǒng)物理安全技術(shù)要求》

等級(jí)保護(hù)工作流程

定級(jí)
備案
差距分析
建設(shè)整改
驗(yàn)收測(cè)評(píng)
定期復(fù)查

定級(jí)與備案

差距分析

目的：發(fā)現(xiàn)系統(tǒng)當(dāng)前安全狀況與《等級(jí)保護(hù)基本要求》之間差距，指導(dǎo)下一步整改工作

流程：差距分析流程與等級(jí)保護(hù)測(cè)評(píng)一致

報(bào)告：在完成差距分析后一般形成《等級(jí)保護(hù)差距分析報(bào)告》，格式一般參考《等級(jí)保護(hù)測(cè)評(píng)報(bào)告》，為下一階段開(kāi)展等級(jí)保護(hù)安全建設(shè)整改工作提出建設(shè)整改需求。

建設(shè)整改

依據(jù)：GB/T25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》

流程：依據(jù)《等級(jí)保護(hù)差距分析報(bào)告》中提出的安全建設(shè)整改需求，設(shè)計(jì)《等級(jí)保護(hù)安全建設(shè)整改方案》，并根據(jù)單位實(shí)際的資金、技術(shù)、人員配備情況分階段地開(kāi)展等級(jí)保護(hù)建設(shè)整改工作。

報(bào)告：建設(shè)整改前，需要編制《等級(jí)保護(hù)安全建設(shè)整改方案》，提出建設(shè)整改目標(biāo)和步驟。在完成整改后，由建設(shè)單位開(kāi)展驗(yàn)收工作，驗(yàn)證是否達(dá)到方案要求

等級(jí)保護(hù)要求體系

等級(jí)保護(hù)擴(kuò)展要求

云計(jì)算安全要求
移動(dòng)互聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全
工業(yè)控制系統(tǒng)安全