1、国内外信息安全管理体制及法律法规,主要内容,概述国外信息安全管理体制(美国)国内信息安全管理体制,概述,建立信息安全管理体制,包括建立信息安全管理机构以及制定信息安全的法律政策是构筑国家信息安全保障体系的重要一环。信息安全保障是一套管理体制。 信息保障是美国信息安全界近年提出的一个新概念,是人们对信息安全认识的发展。在计算机出现以前,信息安全的主要内容是通信保密;有了计算机以后,我们讲计算机安全;计算机和通信融合在一起之后,我们讲网络安全。但当网络成为生活一部分的时候,只讲技术不行了,需要有一种制度上的保障,这就是信息保障。它是和质量、安全、管理、制度、可持续发展联系在一起的。如果说以前是从技
2、术的安全到系统的安全,再到管理的安全的话,信息保障则是制度型的安全。我们说必须有一个完整的规范,形成一套制度才是最安全的,信息保障就是把信息安全从技术扩展到管理,进而延伸到制度的信息安全理念。,信息安全技术支撑平台,信息安全保障体系,信息安全基础设施,信息安全法律、法规、政策、规章环境,信息安全人才培训教育体系,信息安全组织机构体系,制定、颁布一系列信息安全的法律法规、政策,甚至信息安全发展战略等等,做到有法可依,有法必依;完善信息安全组织机构管理体系,进一步强化管理机构的职能,建立高效能的、职责分工明确的行政管理和业务组织体系;强化信息安全技术防护体系,采用先进技术手段,确保网络和电信传输、
3、应用区域边界、应用环境等环节的安全,既能防外部攻击,又能做到防内部作案;加强信息基础设施建设,建立安全事件应急响应中心、数据备份和灾难恢复设施、加强密码基础设施(KMI/PKI)的建设,加强信息安全测评认证工作;确立信息安全人才教育和培训体系,培养大批高质量的信息安全专业人才,此外,加强全民信息安全素质也至关重要。,国外信息安全管理体制 以美国为例,信息安全管理体制总框架美国信息安全环境(法律和政策)美国信息安全组织机构体系的发展信息安全具体管理体系介绍,美国信息安全管理体制总框架,美国信息安全环境,美国信息安全组织机构管理体系,美国信息安全研发体系,美国信息安全应急响应体系,美国信息安全测评
4、认证管理体系,美国信息安全培训教育体系,立法环境,政策环境, ,美国信息安全环境,美国信息安全立法环境美国信息安全政策环境,美国信息安全立法环境,电子监控&隐私保护,保护联邦信息及信息系统,计算机犯罪,美国信息安全政策环境,1968年联邦监听法,1978年外国情报监控法,1986年电子隐私保护法,1994年执法通信援助法,2001年爱国者法案,1974年隐私权法,1978年金融私有权法案,1980年电子基金转让法案,1984年冒名存取和计算机诈骗及滥用法案,1988年计算机配置与隐私保护法案,1934年通讯法案,1949年联邦资产和行政管理服务法案,1965年布鲁克斯法案,1980年文牍简化法
5、案,1987年计算机安全法案,1995年文牍简化法案,1996年信息技术管理改革法案,2002年联邦信息安全管理法案(FISMA),政府信息安全改革法案(GISRA),18 U.S.C. 1029访问设备欺诈及相关行为,18 U.S.C. 1030计算机欺诈及相关行为,18 U.S.C. 1362通信线路、站点与系统,18 U.S.C. 2511禁止侦听与泄露电话、口头或电子通信,18 U.S.C. 2701禁止非法访问存贮通信,18 U.S.C. 2702内容泄漏,18 U.S.C. 2703政府信息系统访问要求,电子监控,保护联邦信息和信息系统安全明确机构责任,关键基础设施保护明确该领域机
6、构职责,12333号行政令联邦情报活动,12356行政命令国家安全信息,12958号行政命令机密性国家安全信息,13011号行政命令联邦信息技术,OMB A-130通告之附录三联邦自动化信息资源的安全,NSDD-145国家电信和自动信息系统安全政策,NSD-42国家安全电信和信息系统的安全的国家政策,12472号行政命令国家安全与应急防范电信职责分配,13010行政命令关键基础设施保护,行政命令13231信息时代的关键基础设施保护,PDD-39打击恐怖主义的总统指令,PDD-62打击恐怖主义,PDD-63保护国家关键基础设施,国家信息系统保护计划1.0版,网络安全国家战略,国土安全保护,132
7、28行政命令建立本土安全办公室和本土安全理事会,国土安全国家战略,信息安全研发,1934年通讯法案,美国信息安全立法环境,电子监控&隐私保护保护联邦信息与信息系统的安全计算机犯罪信息安全研究与开发,1、电子监控及隐私保护,1968年联邦监听法案赋予执法部门执行通信(口头、有线)监听的权力,并对该权力的执行条件施以规定 。1978年外国情报监控法案(FISA)实施电子监控,在美国境内获取外国情报信息。 1986年电子通信保密法案(ECPA)更新1968年联邦监听法案的向关内容,对无线、电子邮件以及计算机传输等通讯方式的执法监控作出规定,融入新技术和能力。 1994年执法通信援助法案(CALEA)
8、明确通信服务提供商对以执法为目的通讯截听负有给予合作的义务 。2001年爱国者法案 迎合 “9.11”恐怖袭击之后的安全需求,加强执法监控力度。,2、保护联邦信息和信息系统安全 明确联邦机构信息安全职能,1987年计算机安全法案目的:改善联邦政府计算机系统内敏感信息的安全保密,要求凡是存有敏感信息的联邦政府的计算机系统必须制定安全计划将NIST作为联邦民用机构计算机安全的领导机构,负责制定联邦计算机系统的标准1995年文牍简化法案要求由传统的文案工作形式向在线或网络形式转变,向政府提出了新的安全要求2000年政府信息安全改革法案GISRA 强调了信息保障的概念,要求联邦政府机构建立内部计算机安
9、全机制,防止计算机系统遭受攻击和侵害 2002年联邦信息安全管理法案FISMA 进一步确立管理与预算办公室(OMB)在联邦信息和信息系统安全保护中的指导地位,并进一步明确联邦各机构的信息安全职能,3、计算机犯罪,州法律美国的计算机犯罪立法最初是从州开始的。1978年,佛罗里达州率先制定了计算机犯罪法,截至目前,除佛蒙特州以外,其他所有的州都制定了专门的计算机犯罪法。联邦法律冒名存取与计算机诈骗及滥用法(1984) 1986年计算机诈骗及滥用法案 计算机滥用修正案 美国法典第18篇“犯罪与刑事诉讼”篇第1030条款“计算机欺诈及相关行为”;禁止在未经授权的情况下或带有欺诈性意图对政府计算机进行访
10、问;美国法典第18篇的1029款“访问设备欺诈及相关行为”。禁止利用伪造的访问设备,例如个人身份号码、信用卡、账号、以及各种类型的电子识别器等进行欺诈。,4、网络安全研究与开发,网络安全研发法案于2002年11月27日发布生效;授权向国家科学基金会(NSF)以及主管国家标准技术研究所(NIST)的商务部长拨款,通过设立新的项目以及对现有项目增加资金投入,支持和鼓励全美国范围内的计算机和网络安全研发活动。,美国信息安全政策环境,OMB A-130通告附录III联邦自动化信息资源的安全提出了包括在联邦自动化信息安全程序中的最基本控制,明确了信息安全的责任行政命令13010关键基础设施保护建立PCC
11、IP 第63号总统决定指令PDD-63保护国家关键基础设施(1998年)建立一个“公-私”合营的关键基础设施保护合作体制 行政命令13231信息时代的关键基础设施保护建立PCIPB(总统关键基础设施保护委员会)*信息系统保护国家计划1.0版*网络安全国家战略,信息系统保护国家计划1.0版,2000年1月发布;补充了PDD-63建立的“公-私”合作体制,为联邦政府保护国家关键网络基础设施免受攻击提供了一个总体行动框架:三个目标十个步骤,三个目标(PDRR),准备和防范:减小对美国关键信息网络进行成功攻击的可能性,建立一个面对类似攻击仍能保持有效运转的基础设施。检测和响应:实时确定和评估攻击,对攻
12、击进行控制,攻击后迅速恢复和重建。建立牢固的根基:培养专业人员、建立相关组织、完善法律法规。,十个步骤,准备和防范:步骤1:确认关键基础设施资产以及互依赖性,发 现其脆弱性检测和响应:步骤2:检测攻击和非法入侵步骤3:开发稳健的情报和执法功能,保持与法律 的一致步骤4:以实时的方式共享攻击警告和信息步骤5:建立响应、重建和恢复能力,建立牢固的根基步骤6:为支持程序15,加强研究和开发步骤7:培训和雇佣足够数量的信息安全专家步骤8:对公众进行网络安全意识培训,使其了解 提高网络安全的必要性步骤9:通过立法和拨款,支持程序18步骤10:在计划的每一步骤和部分中,要完全保护 美国公民的自由权、隐私权
13、以及私有数据,网络安全国家战略,2003年2月14日正式发布。进一步明确和协调政府、私营部门以及个人在保护网络基础设施上的职能和责任,调动全社会各个领域的力量,对网络基础设施给予全方位、多层次的保护:三个战略目标五个优先发展项目,三大战略目标,预防针对美国关键基础设施的网络袭击减少国家在网络方面的脆弱性在网络攻击发生之后降低损失并缩短恢复时间,五大优先发展项目,建立国家网络安全响应系统制定国家网络安全威胁和脆弱性减少计划确立国家网络安全意识教育和培训计划及实施项目政府网络空间保护国家安全与国际间的网络安全合作,美国信息安全组织机构体系,克林顿时期的信息安全组织机构体系布什时期的信息安全组织机构
14、框架担负信息安全及关键信息基础设施保护职能的联邦机构,克林顿时期,CIWGPCCIPPDD-63:NIPC、CIAO、NIACISAC,CIWG,1995年6月,政府成立了一个由司法部长领导的关键基础设施工作组,负责定义国家现有关键基础设施的范围,对其所面临的威胁范围及性质进行评估;同时,工作组还负责审查政府现行的威胁处理机制并制定政府有关关键基础设施威胁响应的长远计划。,PCCIP,1996年7月,政府建立了一个专门的委员会总统关键基础设施保护委员会(PCCIP),全面主持国家关键基础设施的调研工作。在PCCIP运行期间,它向总统和国会提交了若干有关网络关键基础设施保护的解决方案和研究报告,
15、涉及关键基础设施各个领域,从而为日后出台各种关于描述美国国家信息安全和关键基础设施保护的总统决定令以及行政命令奠定了先期的调研基础。,PDD-63,1998年发布;建立关键基础设施“公私”合作体制的雏形;建立三个关键基础设施保护宏观协调和支持机构:国家基础设施保护中心(NIPC),负责国家一级的威胁评估、预警、漏洞和执法调查及响应;关键基础设施保障办公室(CIAO),负责制定有关关键基础设施保护的国家战略;国家基础设施保障理事会(NIAC),负责增强公共及私营部门在保护关键基础设施方面的合作。鼓励私营部门建立一系列信息共享和分析中心(ISAC),形成收集、分析、过滤和发送信息的机制。,布什时期
16、,PCIPBDHS,PCIPB,2001年10月16日根据13231号总统行政命令建立,作为美国信息安全的核心管理协调机构,由理查德克拉克任主席。主要负责提供涉及有关关键基础设施信息系统保护的政策建议;协调和审查联邦各个机构关于关键基础设施保护的各种行动和项目;同时,PCIPB还将与各州和地方政府以及私营部门包括企业界和学术界开展合作。根据布什于2003年2月28日发布的行政命令中对13231的修改,PCIPB现已被解散,克拉克亦辞去其政府政务,PCIPB关于信息安全的政策职能移交国土安全理事会,而具体操作职能则移交至新成立的国土安全部(DHS).,DHS现美国信息安全主导部门,根据2002年
17、11月25日布什颁布的2002年国土安全部法案建立的一个新的内阁级部门。根据新的网络安全国家战略,DHS将成为负责网络安全的联邦核心机构以及联系联邦政府各部门、州和地方政府、包括私营部门、学术界在内的非政府组织以及公众间网络安全保护行动的核心部门。,DHS信息安全职责,网络安全国家战略规定DHS在网络安全方面承担的主要职责包括:制定全面而综合的国家计划,保护美国的重要资源和关键基础设施;建立危机管理系统,对关键信息系统遭到的攻击进行响应;为那些与关键信息系统应急恢复相关的私营部门和其他政府实体提供技术支持;与联邦政府其他机构进行协调,提供详尽的预警信息,并向州和地方政府以及私营部门、学术界等非
18、政府组织以及公众提供有关保护措施和应对措施等方面的建议;与其他联邦部门合作进行研究与开发工作,并为研发活动提供必要的资金支持,以鼓励技术创新,保障国土安全保护目标的实现。,DHS在信息安全方面的组织结构图,国土安全部,科学技术部门,关键基础设施保障办公室CIAO,国家通信系统NCS,国家基础设施保护中心NIPC,国家基础设施模拟与分析中心NISAC,能源保障办公室EAO,联邦计算机事件应急响应功能中心FedCIRC,联邦经济情报局SecretService,联邦应急管理局FEMA,应急防范与响应部门,信息分析与基础设施保护部门,边境与交通部门,美国信息安全管理体制结构图,行政,立法,总统,国会
19、,国土安全理事会,众议院网络安全、科学及研发小组委员会,国土安全部,CIAO,NCS,NIPC,NISAC,EAO,FedCIRC,SecretService,FEMA,政策制订,执行操作,私营部门,联邦政府机构,金融和银行机构,信息和通信行业,交通部门,电力、石油、天然气行业,应急执法服务,高等教育部门,化学工业部门,水资源部门,其他关键基础设施部门,财政部,商业部,交通部,能源部,教育部,环境保护署,国防部,司法部,国务院,中央情报局,其他联邦政府机构,OMB,OSTP,NSC,NEC,部门联络员,总统咨询委员会,NIAC,NSTAC,PITAC,NSTC,PCAST,涉及信息基础设施保护
20、的其他联邦机构及其职能,美国信息安全的具体管理体系,美国计算机应急响应管理体系美国信息安全研发管理体系美国信息安全测评认证体系美国信息安全培训教育体系,美国计算机应急响应体系,美国正通过颁布一系列法律法规、行政命令以及总统指令,制定联邦应急响应计划、组建入侵检测网络和监控系统、建立信息共享机制、成立一些专门处理计算机事件的应急响应机构(如计算机应急响应中心和小组),逐步形成了一套较为完善的计算机应急响应体系。,Internet,美国计算机应急响应体系,计算机入侵和攻击事件,计算机入侵和攻击事件,法庭令,FBI计算机犯罪中心,执法程序,计算机犯罪事件,NIPC分析预警中心,FedCIRC,FID
21、Net,能源部CIAC,航天局NASIRC,司法部CERT,JTF-CND,DODCERT,ACERT,AFCERT,NAVCIRT,联邦非军事机构,国防军事机构,情报机构,ICIRC,NSIRC,国家安全系统,州和地方政府计算机应急响应小组,关键基础设施部门应急小组信息共享分析中心ISACs,学术研究机构与大专院校计算机应急响应小组,联邦机构,私营部门,信息共享交流,CERT/CCFIRST,美国信息安全研发体系,在美国的信息安全研发体系中,上至总统、国会、总统行政办公室、联邦政府各部门,下至高等院校、联邦资助的研发中心、非营利性研发机构、国家实验室及商业企业等各类研发机构及组织都被囊括在内
22、,构成了一个自上而下多层次的信息安全研发体系。,美国信息安全研发体系,科学技术政策办公室,总统,国家安全局/国防高级研究计划局/商务部,能源部,交通部,财政部,环境保护署,联邦应急管理局,总务管理局/ 联邦应急管理局,国防部/国家科学基金会,信息和通信,电力、石油和天然气,交通,银行和金融,水资源,应急服务,政府服务,相互依赖性,学术性研发机构(包括高等院校、联邦资助的研发中心FFRDCs、国家实验室、非营利性研发机构),需求和优先发展的研发项目,关键基础设施的所有者和经营者以及私营部门研发机构,关键基础设施协调小组CICG研究开发子工作组,美国信息安全测评认证体系,20世纪70年代,美国政府
23、就意识到信息安全关系着国家安全和国家利益,随即展开了信息安全测评认证标准的研究工作。 1985年,美国防部(DoD)正式公布了可信计算机系统评估准则(TCSEC),即桔皮书,这也是国际公认的第一个计算机信息系统评估标准,当时的评估对象还仅限于政府和军队的计算机系统。 进入90年代以后,美国国家标准和技术研究所(NIST)和国家安全局(NSA)于1997年共同组建了国家信息保障联盟(NIAP),专门负责基于通用准则(CC)的信息安全评估和认证以及测评认证方法技术的研发。随后,NIAP建立起一整套评估IT产品与标准一致性的程序,即信息技术通用准则评估和认证体系(CCEVS),并负责CCEVS 的运
24、作。经过几年的运作,NIAP已建成了以6家授权的CC测试实验室为主的测试、评估、认证的完善体系。,美国信息安全测评认证体系,美国国家安全局NSA,国家标准技术研究所NIST,多个授权测试实验室,认证申请者,国家实验室认可程序,管理监督指导,评估结果,国家认证机构NIAP,美国信息安全培训教育体系,在整个信息安全管理体系中,起决定作用的是“人”,是人员的意识、素质、管理及技术能力。因而,对相关人员的知识培训及教育在信息安全保障中占据重要的地位,它是维护组织机构信息及信息资产安全的重要因素之一。 信息安全保障的复杂性决定了其培训及教育不可能仅靠政府或企业的单方面力量完成。它需要社会各方的努力与合作
25、,即“由政府及相应职能机构负责相关法律及标准的设立,并担负监督职能;联合大学及科研机构开展相关教育工作;联合企业及社会团体运作培训活动及认证机构。综合政府、学术界及企业界三方力量,确保信息安全教育及培训的持续发展。”,制定信息安全国家培训标准,规范培训教育行为,监督培训教育活动:国家安全系统委员会(CNSS)制定并使用的标准NSTISSI No.4011、No.4012、No.4013、No.4014和No.4015。对信息安全专业人员、指定权威审批机构、系统安全管理员、信息安全执行官以及系统认证师的培训教学内容等进行了明确的描述。 国家标准技术研究所(NIST)制定并使用的标准SP 800-
26、16。提出了信息安全持续性学习模型,将学习分为三个不同层次即意识、培训和教育,同时,标准还根据内容和岗位的不同,给出了三大内容领域和六个岗位构成的信息安全培训矩阵,针对每一部分、不同岗位而予以详尽说明。 整合教育资源,着眼高等教育,全面推动国家信息安全教育培训建设 :美国政府实施了国家信息安全教育培训计划(National INFOSEC Education & Training Program,NIETP),通过在政府、学术界与企业界间建立起来的合作关系,集合国家现有教育培训资源,从而提高国家的教育效率,确保所有信息安全教育培训工作都能围绕国家信息基础设施保护这个中心开展。通过市场运作,提供
27、多角度、多层级的社会性信息安全培训服务。 通过市场运作,提供多角度、多层级的社会性信息安全培训服务: 美国拥有着发达的培训市场及完善的商业认证体系;信息系统安全专家 (CISSP)、信息系统安全从业人员( SSCP)、信息系统审计人员 (CISA)。,美国信息安全培训教育体系,国家标准及指南,NSTISSI系列标准4011/4012/4013/4014,NIST标准,联邦政府机构NSA、NIST,授权培训机构,大学,社会团体,企业,认证,授权,公示,中国信息安全管理体制,中国信息安全组织机构管理体系中国信息安全法律法规,中国信息安全组织管理体系,我国信息安全管理格局已经基本形成,是一个多方“齐
28、抓共管”的体制。由信息产业部、公安部、国家安全部、国家保密局、国家密码管理委员会、总参分别执行各自的安全职能,维护国家信息安全。,这是由于信息安全保障涉及信息的安全,网络的安全,技术的安全,管理的安全,内容的安全,人的行为的安全等多个层次和方面,因此产业部门,保密部门,机要部门、安全部门,公安部门,文化部门,宣传部门都在管。不同部门实际上是在管理着信息安全的某一个方面,或者某一种属性,也就是管理各部门传统职能在网上的表现和反映。信息安全与现实生活中的其它安全问题在本质上并无区别,不同之处在于它是相对于网络空间而言的。信息化不是一个局部进程,而是全社会乃至全球的一种新的社会形态,因此它面临的安全
29、问题与现实社会面对的安全问题一样,是一个综合复杂的全局性问题。需要的是综合管理和多方协作。因而,信息安全管理的多部门现象不仅是一种观念存在,而且还会是一种发展趋势。关键是各方需要进一步加强沟通协调,尽量避免重复管理和遗漏管理死角造成的效率低下、产业抱怨和“无抓不管”。,信息产业部,作为国家电信和信息化工作的主管部门,信息产业部负责保障电信、信息网络的运行安全;国务院信息化工作领导小组办公室设在信息产业部,负责网络安全管理方面的协调工作;国家授权信息产业部成立国家计算机网络与信息安全管理中心。 注:信息产业部只从网络服务方面保障网络安全,并不负责对国家信息化进程中的安全保卫、监察和打击犯罪等执法
30、管理。,公安机关,1994年国务院147号令规定:公安部负责管理计算机信息系统安全保护工作。公安机关负责防范和打击计算机犯罪。1997年经国务院批准,公安部发布第33号部长令:公安部负责计算机网络国际联网的安全保护管理工作。1998年国务院规定公安机关负责公共信息网络安全监察。,国家安全机关,1985年中央办公厅、国务院办公厅、中央军委办公厅以中办发198548号文规定:国家安全机关负责对国内通信信道及其设备的安全保密检测。1993年,全国人大通过国家安全法,赋予国家安全机关对组织、个人使用的电子通信设备的检查权和对党政机关信息网络的安全检查任务。1997年,中共中央政法委以中政法199712
31、号文重申了国家安全机关对党政机关信息网络技术安全检查的职责。,国家保密工作部门,1988年全国人大通过中华人民共和国保守国家秘密法责成国家保密工作部门主管全国保守国家秘密的工作。1997年中共中央政法委以政法199712号文重申了国家保密工作部门对全国保密政策、制度的管理与指导职责。1998年国家保密主管部门发布计算机系统保密管理暂行规定(国保发19981号)。,国家密码主管部门,负责实施由中央统一制定的国家密码管理政策。负责密码算法的审批和商用密码产品许可证的管理。负责全国密码产品的研制、生产、销售与使用的管理。,国家信息安全基础设施,中国信息安全产品测评认证中心国家计算机网络与信息安全管理
32、中心国家计算机病毒应急处理中心中国计算机网络安全应急处理协调中心,中国信息安全法律政策环境,国家法律(宪法、法律)行政法规部门行政规章及规范性文件地方性法规,国家法律(1) (截止2002年1月),中华人民共和国宪法(摘录)中华人民共和国刑法(摘录)中华人民共和国保守国家秘密法19880905中华人民共和国标准化法19881229中华人民共和国产品质量法20000708中华人民共和国反不正当竞争法(中关村案)中华人民共和国国家安全法19930222中华人民共和国人民警察法19950228中华人民共和国刑事诉讼法,国家法律(2) (截止2002年1月),中华人民共和国行政处罚法中华人民共和国著作
33、权法中华人民共和国专利法中华人民共和国海关法(bill.gate案例)中华人民共和国商标法中华人民共和国刑事诉讼法中华人民共和国行政处罚法维护互联网安全的决定,行政法规 (1) (截止2002年1月),中华人民共和国产品质量认证管理条例19910507中华人民共和国计算机信息系统安全保护条例19940218中华人民共和国计算机信息网络国际联网管理暂行规定19970520中华人民共和国计算机信息网络国际联网管理暂行规定实施办法计算机信息网络国际联网保密管理规定商用密码管理条例,行政法规 (2),中华人民共和国电信条例 计算机软件保护条例 互联网信息服务管理办法中华人民共和国计算机信息网络国际联网
34、管理暂行办法 ,部门规章及规范性文件 (1),信息安全多头管理现状决定法出多门公安部:计算机信息系统安全产品检测和销售许可证管理办法 计算机信息网络国际联网安全保护管理办法计算机病毒防治管理办法 计算机信息系统安全专用产品分类原则,部门规章及规范性文件(2),国家保密局 :计算机信息系统国际联网保密管理规定,部门规章及规范性文件(3),国务院新闻办公室 :互联网站从事登载新闻业务管理暂行规定,部门规章及规范性文件(4),中国互联网络信息中心 : CNNIC-中文域名争议解决办法 CNNIC-中文域名注册管理办法,部门规章及规范性文件(5),新闻出版署 :电子出版物管理规定 关于实施电子出版物管
35、理暂行规定若干问题的通知,部门规章及规范性文件(6),信息产业部 :互联网电子公告服务管理规定 软件产品管理办法 电信网间互联管理暂行规定 关于互联网中文域名管理的通告 计算机信息系统集成资质管理办法 软件企业认定标准及管理办法关于互联网中文域名管理的通告 电信网间互联管理暂行规定 互联网上网服务营业场所管理办法 ,软件企业认定标准及管理办法 计算机信息网络国际联网出入口信道管理办法 通信建设市场管理办法 通信行政处罚程序暂行规定 中国公用计算机互联网国际联网管理办法 互联网上网服务营业场所管理办法 中国公众多媒体通信管理办法 中国金桥信息网公众多媒体信息服务管理办法,部门规章及规范性文件(7
36、),国家密码管理委员会办公室 :国家密码管理委员会办公室公告 ,部门规章及规范性文件(8),中华人民共和国国家科学技术委员会: 科学技术保密规定,部门规章及规范性文件(9),最高人民法院 : 关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释,部门规章及规范性文件(10),广电总局 : 关于加强通过信息网络向公众传播广播电影电视类节目管理的通告,部门规章及规范性文件(11),国务院信息办 : 中国互联网络域名注册实施细则 中国互联网络域名注册暂行管理办 法,部门规章及规
37、范性文件(12),教育部 : 教育网站和网校暂行管理办法,部门规章及规范性文件(13),证监会 : 网上证券委托暂行管理办法,地方法律法规,北京市计算机信息系统集成资质管理暂行办法 北京市人民政府令北京市政务与公共服务信息化工程建设管理办法 关于加强计算机信息系统国际联网备案管理的通告,2002年我国信息安全法律政策环境建设,针对2002年国内出现的一系列重大信息安全事件所带来的严峻的信息安全形势,国家从管理的角度就涉及网络安全、互联网内容安全、网吧治理、非法经营IP电话以及有线和卫星电视等几个方面的信息安全问题紧急出台了相应的信息安全管理政策,包括: 广电总局:有线广播电视传输覆盖网安全管理
38、办法;文化部:关于加强网络文化市场管理的通知;信息产业部:互联网上网服务营业场所管理办法、建立卫星通信网和设置使用地球站管理规定、国际通信设施建设管理规定;信息产业部、公安部关于清理整顿卫星通信网和地球站的通告;国家新闻出版总署、信息产业部互联网出版管理暂行规定。,信息安全法律法规的发展需求,电子商务迫切需要的电子签章法电子政务基础之一的信息公开法国家统一信息安全管理权威我国应确立信息安全的法律原则和基本制度,明确国家各部门以及社会各方面在信息安全保障的职责。 例如建立和完善网络信息安全的监控、网络信息安全分析与共享、网络信息安全的评估、网络信息安全的应急保障、有害信息的防治、网络信息安全技术
39、,特别是商业密码技术的管理、网络信息安全的人才培养和培训等制度。,完善信息安全法律监管体系网络斗争形势要求加强对国家信息系统保护的立法;现行网络信息安全法制建设上存在一些问题,影响了国家信息安全行政管理和执法的整体效果;为适应WTO规则的要求,我国应尽快完善网络信息安全法律监管体系。若将近些年来在信息安全应急实践中总结出的成功经验与立法结合起来,如“谁主管、谁负责”,“谁经营,谁负责”等原则;将关键基础设施所有者、运营单位以及政府管理部门之间的安全应急协调机制、信息共享交流机制,以及监管制度以法律形式固定下来,将能有效地发挥各部门、各单位的作用,形成国家信息安全保障的工作机制。,中华人民共和国
40、国家安全法,第一章 总 则(1-5条) 本法所称危害国家安全的行为,是指境外机构、组织、个人实施或者指使、资助他人实施的,或者境内组织、个人与境外机构、组织、个人相勾结实施的下列危害中华人民共和国国家安全的行为:(一)阴谋颠覆政府,分裂国家,推翻社会主义制度的;(二)参加间谍组织或者接受间谍组织及其代理人的任务的;(三)窃取、刺探、收买、非法提供国家秘密的;(四)策动、勾引、收买国家工作人员叛变的;(五)进行危害国家安全的其他破坏活动的。,中华人民共和国国家安全法,第二章 国家安全机关在国家安全工作中的职权 (6-14条) 提醒:第七条 国家安全机关的工作人员依法执行国家安全工作任务时,经出示
41、相应证件,有权查验中国公民或者境外人员的身分证明;向有关组织和人员调查、询问有关情况。,中华人民共和国国家安全法,第三章 公民和组织维护国家安全的义务和权利 (15-22条) 第二十一条 任何个人和组织都不得非法持有、使用窃听、窃照等专用间谍器材。,中华人民共和国国家安全法,第四章 法律责任 (23-32条) 第二十五条 在境外受胁迫或者受诱骗参加敌对组织,从事危害中华人民共和国国家安全的活动,及时向中华人民共和国驻外机构如实说明情况的,或者入境后直接或者通过所在组织及时向国家安全机关或者公安机关如实说明情况的,不予追究。,中华人民共和国国家安全法,第五章 附则 (33-34条),中华人民共和
42、国保守国家秘密法,第一章 总 则(1-7条)第二章 国家秘密的范围和密级(8-16条)国家秘密的密级分为“绝密”、“机密”、“秘密”三级。 第三章 保密制度(17-30条)第四章 法律责任(31-32条)第五章 附则(33-35条),商用密码管理条例 ,第一章 总则 (1-4条)第二章 科研、生产管理(5-9条)第三章 销售管理(10-13条)第四章 使用管理(14-16条)第五章 安全、保密管理(17-19条)第六章 罚则(20-25条)第七章 附则(26-27条),第一章 总则 (1-4条),为加强商用密码管理及保护信息安全制定本条例商用密码定义商用密码技术属于国家秘密国家密码管理机构主管
43、全国的商用密码管理工作,第二章 科研、生产管理(5-9条),其科研任务由国家密码管理机构指定的单位承担其科研成果由国家密码管理机构组织专家审定其产品由国家密码管理机构指定的单位生产商用密码产品定义商用密码产品须经国家密码管理机构指定的产品质量检测机构检测合格,第三章 销售管理(10-13条),商用密码产品由国家密码管理机构许可的单位销售 销售商用密码产品应向国家密码管理机构提出申请且须具备三个条件销售商用密码产品应记录购买者的用途等详细情况进出口密码相关产品须经国家密码管理机构批准,第四章 使用管理(14-16条),任何单位及个人只能使用经国家密码管理机构认可的商用密码产品境外组织或者个人在中
44、国境内使用密码产品时应报经国家密码管理机构批准商用密码产品的用户不得转让其使用的商用密码产品,第五章 安全、保密管理(17-19条),其产品的科研、生产、销售应采取安全措施宣传产品是应先报国家密码管理机构批准任何单位和个人不得非法攻击商用密码,第六章 罚则(20-25条),有三种行为之一的没收密码产品或罚款 (未经指定、未经许可、未经批准)有四种行为之一的警告、责令改正(违反安全保密规定、未采取安全措施、未经批准宣传产品、擅自转让等)有20、21(1、2、3)条款行为的撤销资格吊销许可证泄露、非法攻击商用密码等构成犯罪的追究刑事责任境外人士未经批准擅自使用此类设备警告并责令改正商用密码管理机构
45、的工作人员构成犯罪追其刑事责任,第七章 附则(26-27条),国家密码管理委员会可依本条例制定有关的管理规定本条例自发布之日(1999年10月7日)起施行,中华人民共和国电信条例,第一章 总 则(1-6条)第二章 电信市场(7-30条) 第三章 电信服务(31-44条)第四章 电信建设(45-56条)第五章 电信安全(57-66条)第六章 罚 则(67-79条)第七章 附 则(80-81条)附:电信业务分类目录,第一章 总 则(1-6条),为规范电信市场秩序,特定此条例境内从事电信活动或者与电信有关的活动须遵守信息产业主管部门及各电信管理机构实施监督管理电信监督管理遵循原则电信业务经营者应提供
46、快速合理的电信服务电信网络和信息的安全受法律保护,第二章 电信市场(7-30条),第一节 电信业务许可 (7-16条)第二节 电信网间互联 (17-22条)第三节 电信资费 (23-26条)第四节 电信资源 (27-30条),第一节 电信业务许可 (7-16条),国家对电信业务经营按电信业务分类实行许可制度电信业务分为基础电信业务和增值电信业务基础电信业务和增值电信业务的审批及许可证经营基础电信业务应具备六个条件申请经营基础电信业务流程主管部门审查经营基础电信业务的申请时考虑因素经营增值电信业务应具备四个条件申请经营增值电信业务流程电信业务经营者在变更、停止经营时如何处理取得电信业务经营许可后办理登记手续,第二节 电信网间互联 (17-22条),电信网之间应按原则实现互联互通主导的电信业务经营者应制定互联规程公用电信网之间及其与专用电信网之间订立网间互联协议网间互联双方经协商未能达成网间互联协议如何处理网间互联双方须在协议约定规定时限内实现互联互通网间互联的费用结算与分摊应执行国家有关规定,第三节 电信资费 (23-26条),
