一,法律
該法律適用於在中國建設,運營,維護和使用網絡的所有者,管理者和網絡服務提供商(以下簡稱“運營商”)。 該法的重點包括:
(1)運營商在為用戶提供網絡訪問,域名註冊,電話網絡訪問,信息發布和即時消息傳遞等服務時,應驗證用戶的身份。
(2)個人信息和重要數據必須存儲在中國。 數據導出應接受監管機構的審查。
(三)經營者應當向公安機關和國家安全部門提供技術支持和協助。
(四)任何境外機構,組織或個人的攻擊,侵入,干擾,破壞或以其他方式損害中國關鍵信息基礎設施,造成嚴重後果的,依法追究法律責任。 公安機關和有關部門可以決定凍結該事業單位,組織或者個人的財產,或者採取其他必要的製裁措施。
2.《關於加強網絡信息保護的決定》(2012)關於加強網絡信息保護的決定
該決定首次在中國確立了收集和使用個人信息的規則,以及網絡服務提供商保護個人信息的義務。
隨後於2018年頒布的《網絡安全法》採納了該決定的大部分內容。
3.關於維護互聯網安全的決定(2000)關於維護互聯網安全的決定
該決定是中國關於網絡安全的第一條規則,重點如下:
(1)破壞或破壞計算機系統構成犯罪。
(二)顛覆國家政權,破壞民族團結和民族團結,竊取國家秘密,通過在互聯網上發布信息從事涉及邪教的活動,構成犯罪。
(3)侵犯他人在互聯網上的合法權利即構成犯罪。
二,行政法規
措施的重點包括:
(1)公安部負責保護中國計算機網絡與國際互聯網之間的連接。
(2)任何實體不得使用國際互聯網發布非法內容或危害計算機安全。
措施的重點包括:
(1)該條例旨在保護中國境內的計算機信息系統的安全。
(二)公安部是該領域的主管部門,其職權包括監督有關安全保護工作; 查處危害計算機安全的違法行為。
3.關於網絡安全保護級別的條例(徵求意見稿)(未正式頒布)(2018)(網絡安全等級保護條例)
27年2018月21日,公安部根據《網絡安全法》第二十一條,起草了《網絡安全防護等級條例》,並公佈了征求意見稿。 截至目前,該草案尚未成為正式頒布的法律。
草案的核心內容如下:
(1)根據網絡系統在國家安全,經濟建設和社會生活中的重要性,將其分為五個安全保護級別。
網絡系統的重要性從第一級逐漸增加到第五級。 (第十五條)
不同級別的網絡系統表示在該級別的網絡系統發生網絡安全事件時可能損害相關利益的程度,如下所示:
級別1:不會危及國家安全,社會秩序和公共利益;
級別2:將會危害社會秩序和公共利益,不會危害國家安全;
第3級:社會秩序和公共利益將受到嚴重威脅,或者國家安全將受到威脅;
級別4:社會秩序和公共利益將受到特別嚴重的威脅,或者國家安全將受到嚴重的威脅;
級別5:國家安全受到特別嚴重的威脅。
(2)網絡運營商應在規劃和設計階段確定網絡的安全保護級別,專家和主管部門應確認其級別。 級別確定後,網絡運營商還應向公安機關備案。 (第16、17、18條)
(3)網絡運營商應履行必要的安全義務,而3級以上的網絡運營商還應履行特殊的安全保護義務。 (第20和21條)
(4)如果網絡運營商購買的網絡產品和服務可能影響國家安全,則此類產品和服務應接受監管機構組織的國家安全審查。 (第二十八條)
(5)3級以上的網絡應在國內維護,並且不允許在國外進行遠程技術維護。 (第二十九條)
(6)網絡運營商應當向監管部門報告網絡安全監控預警信息和網絡安全事件,建立重要的數據和個人信息安全保護機制,制定和實施網絡安全應急預案。 (第30、31、32條)
三,部門法規
該辦法旨在監督關鍵信息基礎設施運營商(以下簡稱“運營商”)對網絡產品和服務的購買是否會影響國家安全。 措施的重點包括:
(1)如果運營商購買網絡產品和服務影響或可能影響國家安全,運營商應向中國網絡空間管理局下屬的網絡安全審查辦公室報告,以進行網絡安全審查。
(2)網絡產品或服務包括計算機,服務器,存儲設備,數據庫,軟件和雲服務。
(3)網絡安全審查辦公室將審查以下風險:使用此類產品或服務的設施是否會受到損害; 數據是否會洩漏; 此類產品或服務的供應渠道是否安全穩定? 此類產品或服務的提供者是否符合中國法律。
2.雲計算服務的安全評估方法(2019)雲計算服務安全評估方法
本安全評估方法旨在評估黨和政府機關以及關鍵信息基礎架構運營商購買的雲計算服務的安全性和可控性。 關鍵點如下:
(1)雲計算服務的安全評估將集中在以下方面:(i)雲平台運營商的基本信息; (ii)雲服務提供商的背景和穩定性; (ii)雲平台技術,產品和服務供應鏈的安全性; (vi)雲服務提供商的安全管理能力和安全措施; (v)遷移客戶數據的可行性和便利性; (iv)雲服務提供商的業務連續性。
(2)雲服務提供商可以在向黨政機關和關鍵信息基礎設施運營商提供雲計算服務的雲平台上申請安全評估。
3.《公安機關網絡安全監督檢查條例》(2018)公安機關互聯網安全監督檢查規定
本條例旨在明確公安機關應當如何對互聯網服務提供商和互聯網用戶履行網絡安全義務進行安全監督檢查。
措施的重點包括:
(1)公安部負責保護中國計算機網絡與國際互聯網之間的連接。
(2)任何實體不得使用國際互聯網發布非法內容或危害計算機安全。
5,《網絡安全技術措施規定》(2006)互聯網安全保護技術措施規定
本規例 旨在監督互聯網服務提供商和互聯網用戶採取網絡安全技術措施,並確保網絡安全技術措施的正常運行。 公安機關公共信息網絡安全監督部門負責監督網絡安全技術措施的實施。
IV。 政策規定
該應急預案旨在為公共互聯網安全緊急事件建立應急組織系統和工作機制。
該措施旨在加強對公共互聯網網絡安全威脅的監控和處理,消除安全風險,制止攻擊,避免危害並降低安全風險。 對公共Internet的網絡安全的威脅是指在公共Internet上存在或傳播的,可能對公眾造成傷害或已經造成傷害的網絡資源,惡意程序,安全風險或安全事件。
3.關鍵網絡設備和專有網絡安全產品目錄(第一批,2017年)網絡關鍵設備和網絡安全專用產品目錄(第一批)
該目錄列出了15種設備和產品。 《中國網絡安全法》要求保護關鍵信息基礎架構免受攻擊,入侵,干擾和破壞。 該目錄指定了屬於關鍵信息基礎架構的設備和產品類型。
4.互聯網信息安全管理系統使用和運營維護管理辦法(試行,2016)
本辦法旨在指導從事互聯網數據中心(包括互聯網資源協作服務),互聯網訪問服務,內容交付網絡和其他服務的地方監管機構和互聯網訪問企業的管理工作,以管理互聯網的使用和運營維護信息安全管理系統。
本意見旨在促進建立統一,權威的國家網絡安全標準體系和標準化機制。 關鍵點如下:
(1)建立並不斷完善網絡安全標準體系。
(2)積極參與網絡空間國際規則和國際標準規則的製定。
本意見旨在加強中國網絡安全學院的學科發展和人才培訓。
7.關於加強黨政機關網站安全管理的通知(2014)關於加強黨政機關網站安全管理的通知
本通知旨在敦促所有政府部門改善其官方網站的安全保護。
8.加強工業互聯網安全指導意見通知(2019)加強工業互聯網安全工作的指導意見的通知
本公告分為三個部分,旨在促進中國在3年底之前初步建立工業互聯網安全體系。
五,技術標準
1.網絡安全等級保護評估要求
2.網絡安全級別保護基本要求
3.網絡安全級別保護安全設計要求
傑恩·貝勒(JéanBéller)(https://unsplash.com/@jeanbeller)在Unsplash上的照片