网络安全监管

网络安全监管

网络安全法律体系建设

计算机犯罪的概念： 计算机犯罪 [Cybercrime] 是指利用计算机、网络或数字技术作为工具或目标，实施的非法行为

计算机犯罪的特点：多样化、复杂化、国际化

计算机犯罪的趋势 ：从无意识到有组织、从个体侵害到国家威胁、跨越计算机本身的实施能力、低龄化成为法律制约难题

网络安全立法的重点：

• 对传统的网络安全制度进行立法修正
  • 机构职责和管理制度、监测预警及应急处置机制
• 对近几年涌现的新问题进行应对
  • 关键基础设施保护、数据安全防护、云计算等新技术、新业务引发的安全问题等

网络安全法

网络安全法基本概念

• 网络： 指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统
• 网络安全： 指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力
• 网络空间安全： 网络空间及其承载的信息、活动、主体的安全，是网络安全在更广义维度的延伸，涵盖政治、经济、社会等多领域安全
• 关键信息基础设施： 指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息设施
• 网络运营者： 指网络的所有者、管理者和网络服务提供者
• 个人信息： 指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于姓名、出生日期、身份证件号码、住址、电话号码等
• 网络数据： 指通过网络收集、存储、传输、处理和产生的各种电子数据

网络安全法

第一章 总则

明确网络空间主权原则

第二章 网络安全支持与促进

• 建立和完善网络安全标准体系建设
• 统筹规划，扶持网络安全产业（产品、服务等）
• 推动社会化网络安全服务体系建设
• 鼓励开发数据安全保护和利用技术、创新网络安全管理方式
• 开展经常性网络安全宣传教育
• 支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流

第三章 网络运行安全

明确要求落实网络安全等级保护制度

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

1. 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
3. 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
4. 采取数据分类、重要数据备份和加密等措施；
5. 法律、行政法规规定的其他义务。

明确网络运营者的安全义务

明确网络产品、服务提供者的安全义务

明确一般性安全保护义务

关键信息基础设施保护

明确我国实行网络安全审查制度

中央网信办正式发布《网络产品和服务安全审查办法（试行）》

其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门（网络安全审查委员会）、审查的机构（国家统一认定网络安全审查第三方机构）和对党政机关和重点行业的审查工作提出要求

第四章 网络信息安全

重视对个人信息保护

规范信息管理

确定信息管理中相关职责

国家互联网信息办公室发布《互联网新闻信息服务管理规定》规范了：

• 互联网新闻信息服务的范围
• 互联网新闻信息服务的6项许可条件
• 互联网新闻信息服务提供者的责任义务
• 网信部门对互联网新闻信息服务的监督检查要求
• 相关法律责任

第五章 监测预警与应急处置

工作制度化、法制化

第六章 法律责任

对违反《 网络安全法》 的行为，第六章规定了民事责任、行政责任、刑事责任

网络安全其他相关法规

• 行政法相关法规
• 民法相关法规
• 刑法相关法规
  • 出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等
• 其他网络安全相关法规及条款
  • 国家安全法、保密法、电子签名法、反恐怖主义法、密码法

国家网络安全政策

• 中华人民共和国计算机信息系统安全保护条例规定了计算机系统实现安全等级保护
• GB 17859正式细化等级保护要求，划分五个级别
• 关于信息安全等级保护工作的实施意见的通知规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发
• 网络安全法明确我国实行网络安全等级保护制度

网络安全道德准则

CISP职业道德准则：

• 维护国家、社会和公众的信息安全；诚实守信、遵纪守法；努力工作，尽职尽责；发展自身，维护荣誉

信息安全标准

• 标准：为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件
• 标准类型：国际标准、国家标准、行业标准、地方标准
• 标准化：为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动
• 标准化的基本特点：
  • 标准化是一项活动
  • 标准化的对象：物、事、人
  • 标准化是一个动态的概念
  • 标准化是一个相对的概念
  • 标准化的效益只有应用后才能体现
• 标准化工作原则：简化、统一、协调、优化

主要国际标准化组织：国际标准化组织 ISO、国际电工委员会 IEC、Internet工程任务组 IETF、国际电信联盟 ITU、及国际电信联盟远、通信标准化组织 ITU-T

我国标准化组织

中国国家标准化管理委员会：是我国最高级别的国家标准机构

全国信息安全标准化技术委员会（TC260)

我国信息安全标准体系

我国标准分类

GB 强制性国家标准：一经颁布必须贯彻执行，违反则构成经济或法律方面的责任

GB/T 推荐性国家标准：自愿采用的标准，共同遵守的技术依据，严格贯彻执行

GB/Z 国家标准指导性技术文件：由于技术发展过程中或其他理由，将来可能达成一致意见指导性技术文件，实施后3年内必须进行复审

• 基础类标准：安全术语类、测评基础类、管理基础类、物理安全类、 安全模型类、安全体系架构类

• 技术与机制标准：密码技术、鉴别机制、授权机制、电子签名、公钥基础设施、通信安全技术、涉密系统通用技术要求

• 管理与服务标准涉密服务
  安全控制与服务
  网络安全管理
  行业/领域安全管理

• 测评标准 ：密码产品、通用产品、安全保密产品、通用系统、涉密信息系统、通信安全、政府安全检查、安全能力评估

等级保护标准族

• 安全等级类：主要对如何进行信息系统定级做出指导

  • GB/T22240-2008 《信息安全技术 信息系统安全保护等级保护定级指南》
  • 各类行业定级准则

• 方法指导类：对如何开展等级保护工作做了详细规定

  • GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》
  • GB/T25070-2010《信息系统等级保护安全设计技术要求》等

• 状况分析类：对如何开展等级保护测评工作做出了详细规定

  • GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》
  • GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等

• 基线要求类：分技术类、管理类和产品类等标准，分别对某些专门技术、管理和产品的进行要求

  • GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》
  • GB/T20271-2006《信息系统通用安全技术要求》
  • GB/T21052-2007《信息系统物理安全技术要求》

等级保护工作流程

定级、备案、差距分析、建设整改、验收测评、定期复查