網絡安全法律體系建設

計算機犯罪、信息安全等基本概念

計算機犯罪概念：
針對計算機信息系統(tǒng)，對國家、團體或個人造成危害的行為

計算機犯罪特點:
多樣化
復雜化
國際化

計算機犯罪的趨勢
從無意識到有組織
從個體侵害到國家威脅
跨越計算機本身的實施能力
低齡化成為法律制約難題

我國立法體系及網絡安全法

我國的立法體系

立法是網絡空間治理的基礎工作
我國采取多級立法機制

網絡安全法

網絡安全立法演變?yōu)槿蚍秶鷥鹊睦鎱f(xié)調與國家主權斗爭

出臺背景

草案到正式出臺經歷了三次審議，兩次公開征求意見和修改

基本概念

網絡空間 已成為領土、領海、領空、太空之外的“第五空間”或人類“第二類生存空間”成為國家主權延伸的新疆域

安全法主要結構

七章79條

第一章 總則

明確網絡空間主權原則

第二章 網絡安全支持與促進

建立和完善網絡安全標準體系建設
統(tǒng)籌規(guī)劃，扶持網絡安全產業(yè)（產品、服務等）
推動社會化網絡安全服務體系建設
鼓勵開發(fā)數據安全保護和利用技術、創(chuàng)新網絡安全管理方式
開展經常性網絡安全宣傳教育
支持企業(yè)和高等學校、職業(yè)學校等教育培訓機構
開展網絡安全相關教育與培訓，采取多種方式培養(yǎng)網絡安全人才，促進網絡安全人才交流

第三章 網絡運行安全

明確要求落實網絡安全等級保護制度
第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任；
（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；
（三）采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月；
（四）采取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規(guī)規(guī)定的其他義務。
明確網絡運營者的安全義務

明確網絡產品、服務提供者的安全義務

明確一般性安全保護義務

關鍵信息基礎設施保護


關鍵基礎設施運營中產生的數據必須境內存儲
2017年04月10日國家互聯網信息辦公室發(fā)布關于《個人信息和重要數據出境安全評估辦法（征求意見稿）》公開征求意見的通知。明確了
個人信息和重要數據出境的范圍
? 有50萬人以上的個人信息
? 數據量超過1000GB
? 7大重要領域數據等
數據出境評估原則
評估7個方面主要內容

明確我國實行網絡安全審查制度

2017年05月02日中央網信辦正式發(fā)布《網絡產品和服務安全審查辦法（試行）》。其中就審查的目的、需要審查的網絡產品和服務的范圍、網絡安全審查的管理部門（網絡安全審查委員會）、審查的機構（國家統(tǒng)一認定網絡安全審查第三方機構）和對黨政機關和重點行業(yè)的審查工作提出要求。并于2017年6月1日同《網絡安全法》一同實施.

第四章 網絡信息安全

重視對個人信息保護

規(guī)范信息管理

確定信息管理中相關職責

2017年05月02日國家互聯網信息辦公室正式發(fā)布《互聯網新聞信息服務管理規(guī)定》（國信辦1號令），于6月1日同《網絡安全法》一起實施。規(guī)范了：
互聯網新聞信息服務的范圍
互聯網新聞信息服務的6項許可條件
互聯網新聞信息服務提供者的責任義務
網信部門對互聯網新聞信息服務的監(jiān)督檢查要求
相關法律責任

同日國家互聯網信息辦公室一并發(fā)布**《互聯網信息內容管理行政執(zhí)法程序規(guī)定》 （國信辦2號令）**，于6月1日同《網絡安全法》一起實施。規(guī)范了：
互聯網信息內容管理部門行政執(zhí)法依據
管轄范圍
立案流程
調查取證過程
聽證及約談機制
處罰決定及執(zhí)行辦法等

第五章 監(jiān)測預警與應急處置

工作制度化、法制化

第六章 法律責任

對違反《 網絡安全法》 的行為，第六章規(guī)定了民事責任、行政責任、刑事責任

行政法相關法規(guī)

民法相關法規(guī)

刑法相關法規(guī)
出售或者提供公民個人信息罪、非法侵入計算機信息系統(tǒng)罪、網絡服務瀆職罪等

其他網絡安全相關法規(guī)及條款
國家安全法
保密法
電子簽名法
反恐怖主義法
密碼法

國家網絡安全政策

網絡空間安全國家戰(zhàn)略

全文:http://www.cac.gov.cn/2016-12/27/c_1120195926.htm?from=singlemessage

網絡安全法相關保護

《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定了計算機系統(tǒng)實現安全等級保護
GB 17859正式細化等級保護要求，劃分五個級別
《關于信息安全等級保護工作的實施意見的通知》規(guī)定等級保護指導思想、原則和要求。定級從信息和信息系統(tǒng)的業(yè)務重要性及遭受破壞后的影響出發(fā)
網絡安全法明確我國實行網絡安全等級保護制度

網絡安全道德與準則

道德的約束

道德的概念
一定社會或階級用以調整人們之間利益關系的行為準則，也是評價人們行為善惡的標準

道德和法律
道德沒有嚴謹的結構體系，法律是國家意志統(tǒng)一體系，有嚴密的邏輯

道德約束
道德約束是建立在完善的法律基礎上
懲戒性條款的管理制度是組織內部建立職業(yè)道德約束的有效手段之一
培訓與教育是不可或缺的增強員工道德意識的途徑

職業(yè)道德準則

職業(yè)道德的概念
廣義的職業(yè)道德是指從業(yè)人員在職業(yè)活動中應該遵循的行為準則，涵蓋了從業(yè)人員與服務對象、職業(yè)與職工、職業(yè)與職業(yè)之間的關系。狹義的職業(yè)道德是指在一定職業(yè)活動中應遵循的、體現一定職業(yè)特征的、調整一定職業(yè)關系的職業(yè)行為準則和規(guī)范。

著名的計算機職業(yè)倫理守則
美國計算機學會職業(yè)倫理守則、英國計算機學會倫理守則、計算機倫理十誡

CISP職業(yè)道德準則
維護國家、社會和公眾的信息安全
誠實守信、遵紀守法
努力工作，盡職盡責
發(fā)展自身，維護榮譽

網絡安全標準

標準與標準化

標準

為了在一定范圍內獲得最佳秩序，經協(xié)商一致制定并由公認機構批準，共同使用的和重復使用的一種規(guī)范性文件

標準類型
國際標準
國家標準
行業(yè)標準
地方標準

標準化

為了在一定范圍內獲得最佳秩序，對現實問題或潛在問題制定共同使用和重復使用的條款的活動

標準化的基本特點
標準化是一項活動
標準化的對象：物、事、人
標準化是一個動態(tài)的概念
標準化是一個相對的概念
標準化的效益只有應用后才能體現
標準化工作原則：簡化、統(tǒng)一、協(xié)調、優(yōu)化

標準化組織

主要國際標準化組織
國際標準化組織（ISO）
國際電工委員會（IEC）
Internet工程任務組（IETF）
國際電信聯盟（ITU）及國際電信聯盟遠程通
信標準化組織（ITU-T）

國家標準化組織（美國）
美國國家標準化協(xié)會（ANSI）
美國國家標準技術研究院（NIST）

我國標準化組織

中國國家標準化管理委員會
是我國最高級別的國家標準機構

全國信息安全標準化技術委員會（TC260)
1984年，成立數據加密技術分委員，后來改為信息技術安全分技術委員會, 2002年4月，為加強信息安全標準的協(xié)調工作，國家標準委決定成立全國信息安全標準化技術委員會（信安標委，TC260），由國家標準委直接領導，對口ISO/IEC JTC1 SC27
國家標準化管理委員會高新函[2004]1號文決定：自2004年1月起，各有關部門在申報信息安全國家標準計劃項目時，必須經信息安全標委會提出工作意見，協(xié)調一致后由信息安全標委會組織申報；在國家標準制定過程中，標準工作組或主要起草單位要與信息安全標委會積極合作，并由信息安全標委會完成國家標準送審
、報批工作

標準機構與標準體系

全國信息安全標準化技術委員會

我國分類標準

GB 強制性國家標準
一經頒布必須貫徹執(zhí)行，違反則構成經濟或法律方面的責任

GB/T 推薦性國家標準
自愿采用的標準，共同遵守的技術依據，嚴格貫徹執(zhí)行

GB/Z 國家標準指導性技術文件
由于技術發(fā)展過程中或其他理由，將來可能達成一致意見指導性技術文件
實施后3年內必須進行復審

國家網絡安全標準體系

基礎類標準
安全術語類
測評基礎類
管理基礎類
物理安全類
安全模型類
安全體系架構類

技術與機制標準
密碼技術
鑒別機制
授權機制
電子簽名
公鑰基礎設施
通信安全技術
涉密系統(tǒng)通用技術要求

管理與服務標準
涉密服務
安全控制與服務
網絡安全管理
行業(yè)/領域安全管理

測評標準
密碼產品
通用產品
安全保密產品
通用系統(tǒng)
涉密信息系統(tǒng)
通信安全
政府安全檢查
安全能力評估

信息安全等級保護標準體系

安全等級類：主要對如何進行信息系統(tǒng)定級做出指導
GB/T22240-2008 《信息安全技術 信息系統(tǒng)安全保護等級保護定級指南》
各類行業(yè)定級準則

方法指導類：對如何開展等級保護工作做了詳細規(guī)定
GB/T25058-2010《信息安全技術 信息系統(tǒng)安全等級保護實施指南》
GB/T25070-2010《信息系統(tǒng)等級保護安全設計技術要求》等

狀況分析類：對如何開展等級保護測評工作做出了詳細規(guī)定
GB/T28448-2012《信息安全技術 信息系統(tǒng)安全等級保護測評要求》
GB/T28449-2012《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》等

基線要求類：分技術類、管理類和產品類等標準，分別對某些專門技術、管理和產品的進行要求
例如：GB/T22239-2008 《信息安全技術 信息系統(tǒng)安全等級保護基本要求》、GB/T20271-2006《信息系統(tǒng)通用安全技術要求》、GB/T21052-2007《信息系統(tǒng)物理安全技術要求》

等級保護工作流程

定級
備案
差距分析
建設整改
驗收測評
定期復查

定級與備案

差距分析

目的：發(fā)現系統(tǒng)當前安全狀況與《等級保護基本要求》之間差距，指導下一步整改工作

流程：差距分析流程與等級保護測評一致

報告：在完成差距分析后一般形成《等級保護差距分析報告》，格式一般參考《等級保護測評報告》，為下一階段開展等級保護安全建設整改工作提出建設整改需求。

建設整改

依據：GB/T25070-2010《信息系統(tǒng)等級保護安全設計技術要求》

流程：依據《等級保護差距分析報告》中提出的安全建設整改需求，設計《等級保護安全建設整改方案》，并根據單位實際的資金、技術、人員配備情況分階段地開展等級保護建設整改工作。

報告：建設整改前，需要編制《等級保護安全建設整改方案》，提出建設整改目標和步驟。在完成整改后，由建設單位開展驗收工作，驗證是否達到方案要求

等級保護要求體系

等級保護擴展要求

云計算安全要求
移動互聯網安全
物聯網安全
工業(yè)控制系統(tǒng)安全