当前位置：首页 > news >正文

【星海随笔】信息安全法律法规概述

news 来源：原创 2025/5/13 14:50:26

谁主管谁负责原则

《互联网上网服务营业场所管理条例》

第一章　总　　则
第一条　为了加强对互联网上网服务营业场所的管理，规范经营者的经营行为，维护公众和经营者的合法权益，保障互联网上网服务经营活动健康发展，促进社会主义精神文明建设，制定本条例。

第二条　本条例所称互联网上网服务营业场所，是指通过计算机等装置向公众提供互联网上网服务的网吧、电脑休闲室等营业性场所。
学校、图书馆等单位内部附设的为特定对象获取资料、信息提供上网服务的场所，应当遵守有关法律、法规，不适用本条例。

第三条　互联网上网服务营业场所经营单位应当遵守有关法律、法规的规定，加强行业自律，自觉接受政府有关部门依法实施的监督管理，为上网消费者提供良好的服务。
互联网上网服务营业场所的上网消费者，应当遵守有关法律、法规的规定，遵守社会公德，开展文明、健康的上网活动。

第四条　县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批，并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理；公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理；工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理，并依法查处无照经营活动；电信管理等其他有关部门在各自职责范围内，依照本条例和有关法律、行政法规的规定，对互联网上网服务营业场所经营单位分别实施有关监督管理。

第五条　文化行政部门、公安机关、工商行政管理部门和其他有关部门及其工作人员不得从事或者变相从事互联网上网服务经营活动，也不得参与或者变相参与互联网上网服务营业场所经营单位的经营活动。

第六条　国家鼓励公民、法人和其他组织对互联网上网服务营业场所经营单位的经营活动进行监督，并对有突出贡献的给予奖励。

第三十七条　本条例自2002年11月15日起施行。2001年4月3日信息产业部、公安部、文化部、国家工商行政管理局发布的《互联网上网服务营业场所管理办法》同时废止。

突出重点原则

《中华人民共和国计算机信息系统安全保护条例》

第一章　总　　则
　　第一条　为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行，制定本条例。
　　第二条　本条例所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
　　第三条　计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。
　　第四条　计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
　　第五条　中华人民共和国境内的计算机信息系统的安全保护，适用本条例。
　　未联网的微型计算机的安全保护办法，另行制定。
　　第六条　公安部主管全国计算机信息系统安全保护工作。
　　国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
　　第七条　任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。

预防为主

安全审计的原则

计算机信息系统可信计算机能够维护受保护的客体的访问审计跟踪记录，并能够阻止非授权用户对它的访问或破坏。

计算机信息系统可信计算机能够记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（如打开文件、程序初始化）；删除客体；由操作员、系统管理员或系统安全管理员实施的动作，以及其他与系统安全有关的事件。

对于每一件事，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体及客体的安全级别。

此外，计算机信息系统可信计算机具有审计更改可读输出记号的能力。对不能由计算机信息系统可信计算机独立分辨的审计事件，审计机制提供审计记录接口，可由授体主体调用。这些审计记录区别于计算机信息系统可信计算机独立分辨的审计记录。

风险管理的原则

事物的运动发展过程中存在着风险，它是一种潜在的危险或损害。
风险具有客观可能性、偶然性、可测性和可规避性。

信息安全工作的风险主要来自信息系统中存在的脆弱点，如漏洞和缺陷等，这种脆弱点可能存在于计算机系统和网络，或者管理过程中。脆弱点可以利用它的技术难度和级别来表征。
脆弱点也很容易受到威胁或攻击。解决此类问题的推荐办法是进行风险管理。风险管理又名危险管理，是指如何在一个肯定有风险的环境里把风险降至最低的管理过程。

对于信息系统的安全，风险管理主要做的工作如下。

1.主动寻找系统的脆弱点，识别出威胁，采取有效的防范措施，化解风险于萌芽状态。
2.当威胁出现或攻击成功时，对系统所遭受的损失及时进行评估，制定防范措施，避免风险的再次出现。
3.研究制定风险应对策略，从容应对各种可能的风险。

信息安全法律法规

信息安全的法律保护不是靠一部法律所能实现的，而是要依靠涉及信息安全技术各分支的信息安全法律法规体系来实现。因此，信息安全法律在我国法律体系中具有特殊地位，兼具安全法、网络法的双重地位，必须与网络技术和网络立法同步建设，因此，具有优先发展的地位。

必要性和紧迫性
1.没有信息安全就没有完全意义上的国家安全。
2.国家对信息资源的支配和控制能力，将决定国家的主权和命运。
3.对信息的强有力的控制是打赢未来信息战的保证。
4.信息安全保障能力是21世纪综合国力、经济竞争力和生存发展能力的重要组成部分。

信息安全法律法规的作用
1.指引作用，是指法律作为一种行为规范，提供某种行为模式。指引人们可以这样的西瓜味，必须这样行为或不得这样行为。
2.评价作用，是指法律具有判断、衡量他们行为是否合法或违法以为违法性质和程度的作用。
3.预测作用，是指当事人可以根据法律预先估计到他们相互将如何行为以及某行为在法律上的后果。
4.教育作用，是指通过法律的实施对一般人今后的行为所产生的影响。
5.强制作用，是指法律对违法行为具有制裁、惩罚的作用。

国外信息安全相关

互联网、各种网络系统、网站、信息的保密和信息安全运行。
1973年瑞士颁布的《数据法》是世界上第一部保护计算机数据的法律。

美国信息安全法律法规

国家安全局（NSA）
中央情报局（CIA）
联邦调查局（FBI）
1996年成立的【总统关键设施保护委员会】
1998年成立的【国家设施保护中信】
国家计算机安全中心
设施威胁评估中心

国家类法律法规：
《信息自由法》1967年7月颁布基础法
《爱国者法》911后颁布，拥有非常广泛的权力与相应的设施
《联邦信息安全管理法案》严格的数据审计规定，并对 ‘国家安全系统’ 的概念进行了界定。授权各部门的职责。
《美国企业改革法案》又名《公众公司会计改革与投资者保护法》旨在加强对上市公司的监管。

商业类法律法规：

美国各州有各州的法律
普通法有：

《侵权法重述》

对版权作品的保护
《数字千年版权法》

未经允许在网络下载音乐、电影、游戏、软件等非法行为。

刑事方面第1204条规定，对初犯者，处罚50万美元的罚款和5年监禁，再犯者double

民事方面，恢复原状；没收违法利润；赔偿最高2500美元。
赔偿金包括：最近3年来受损方可以证明的利润损失的3倍、受害方申请禁令和聘请律师的费用。

个人隐私信息安全法律法规：

第一、二、三、四、五修正案原则
《哈佛法律评论》1890年Samul Warren 和 Louis Brandeis 发表《论隐私权》
《隐私保护法》1980年颁布
《电子通信隐私法》1986年
《电讯法》1996年
《儿童网上隐私保护法》1999年
《加州消费者隐私法案》2018年
《加州隐私权法案》2020年

英国信息安全法律法规

《数据保护法2018》（DPA 2018）

在欧盟《通用数据保护条例》（GDPR）的法律框架下提供了个人数据的保护，并规定了数据处理的基本原则和义务

《网络与信息系统法规2018》（NIS Regulation 2018）规定安全义务范围

《计算机滥用法 1990》(Computer Misuse Act 1990) 针对非法行为

《隐私与电子通信条例 2003》(PECR 2003) Cookie使用，DPA 2018 和 GDPR 相辅相成，提供了关于电子通信的具体隐私保护规定。

《网络与信息系统法规 2018》（NIS Regulations 2018）安全事件的报告要求。

监管机构

信息专员办公室 ICO 负责监管与执行 DPA 2018 和 PECR 2003 的独立机构，拥有调查与处罚权；提供建议，处理投诉。

《调查权力法 2000》（RIPA 2000）规范政府机构的调查权力

日本信息安全法律法规

《个人信息保护法》（APPI） 2005年颁布，2015年修订
个人信息保护委员会 PPC 负责监督和管理个人信息保护事务

《网络安全基本法》2014年11月6日通过，2014年12月施行。

《电子签名及认证服务法》2000年5月31日通过，2001年4月1日生效。

我国信息安全相关法律法规

与信息安全有关的部门已有近百部

分为三个层次
1.法律层次
2.行政法规层次
3.部门规章层次

例：
《中华人民共和国电子签名法》
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》

法律类：

《中华人民共和国电子签名法》 2005年4月1日

首部真正意义上的信息化法律，专门为电子签名领域制定的法律

《中华人民共和国网络安全法》 2017年6月1日

第一部网络空间管理方面的基础性法律，旨在加强网络安全管理，维护国家和社会公共利益。

《中华人民共和国密码法》2020年1月1日施行

提出了国家对密码实行分类管理。

《中华人民共和国数据安全法》2021年9月1日施行

数据安全的首部法律，为数据安全提供监督依据，规范了数据处理活动。

《中华人民共和国个人信息保护法》2021年11月1日施行

旨在保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。

行政法规及其他类

《中华人民共和国计算机信息系统安全保护条例》1994年2月18日

《中华人民共和国计算机信息网络国际联网管理暂行规定》1996年2月1日发布

《互联网信息服务管理办法》2000年9月25日施行

《中华人民共和国电信条例》2000年9月25日施行

《计算机软件保护条例》2001年12月20日

《信息网络传播权保护条例》2006年5月8日

《关于加强国家网络安全标准化工作的若干意见》2016年8月12日发布

《关于促进移动互联网健康有序发展的意见》2017年1月发布

《关于推动资本市场服务网络强国建设的指导意见》2018年3月发布

《公安机关互联网安全监督检查规定》2018年9月15日发布

《信息安全技术大数据安全管理规定》2019年8月发布，2020年3月1日实施

《关于促进网络安全产业发展的指导意见》2019年9月27日发布，提出到2025年，培育形成一批年营收超过20亿元的网络安全产业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模超过2000亿元；加强5G、下一代互联网、工业互联网、物联网、车联网等新兴领域网络安全威胁和风险分析，大力推动相关场景下的网络安全技术产品研发。

《网络安全审查办法》2022年2月15日施行