一,法律
该法律适用于在中国建设,运营,维护和使用网络的所有者,管理者和网络服务提供商(以下简称“运营商”)。 该法的重点包括:
(1)运营商在为用户提供网络访问,域名注册,电话网络访问或信息发布和即时消息传递等服务时,应验证用户的身份。
(2)个人信息和重要数据必须存储在中国。 数据导出应接受监管机构的审查。
(三)经营者应当向公安机关和国家安全部门提供技术支持和协助。
(四)任何境外机构,组织或者个人的攻击,侵入,干扰,破坏或者以其他方式损害中国关键信息基础设施,造成严重后果的,依法追究法律责任。 公安机关和有关部门可以决定冻结该事业单位,组织或者个人的财产,或者采取其他必要的制裁措施。
2.关于加强网络信息保护的决定(2012)关于加强网络信息保护的决定
该决定首次在中国确立了收集和使用个人信息的规则,以及网络服务提供商保护个人信息的义务。
随后于2018年颁布的《网络安全法》采纳了该决定的大部分内容。
3.关于维护互联网安全的决定(2000)关于维护互联网安全的决定
该决定是中国关于网络安全的第一条规则,重点如下:
(1)破坏或破坏计算机系统构成犯罪。
(二)颠覆国家政权,破坏民族团结和民族团结,窃取国家秘密,通过在互联网上发布信息从事涉及邪教的活动,是犯罪。
(3)侵犯他人在互联网上的合法权利即构成犯罪。
二,行政法规
措施的重点包括:
(1)公安部负责保护中国计算机网络与国际互联网之间的连接。
(2)任何实体不得使用国际互联网发布非法内容或危害计算机安全。
措施的重点包括:
(1)该条例旨在保护中国境内的计算机信息系统的安全。
(二)公安部是该领域的主管部门,其职权包括监督有关安全保护工作; 查处危害计算机安全的违法行为。
3.关于网络安全保护级别的条例(征求意见稿)(未正式颁布)(2018)(网络安全等级保护条例)
27年2018月21日,公安部根据《网络安全法》第二十一条,起草了《网络安全防护等级条例》,并公布了征求意见稿。 截至目前,该草案尚未成为正式颁布的法律。
草案的核心内容如下:
(1)根据网络系统在国家安全,经济建设和社会生活中的重要性,将其分为五个安全保护级别。
网络系统的重要性从第一级逐渐增加到第五级。 (第十五条)
不同级别的网络系统表示在该级别的网络系统发生网络安全事件时可能损害相关利益的程度,如下所示:
级别1:不会危及国家安全,社会秩序和公共利益;
级别2:将会危害社会秩序和公共利益,不会危害国家安全;
第3级:社会秩序和公共利益将受到严重威胁,或者国家安全将受到威胁;
级别4:社会秩序和公共利益将受到特别严重的威胁,或者国家安全将受到严重的威胁;
级别5:国家安全受到特别严重的威胁。
(2)网络运营商应在规划和设计阶段确定网络的安全保护级别,专家和主管部门应确认其级别。 级别确定后,网络运营商还应向公安机关备案。 (第16、17、18条)
(3)网络运营商应履行必要的安全义务,而3级以上的网络运营商还应履行特殊的安全保护义务。 (第20和21条)
(4)如果网络运营商购买的网络产品和服务可能影响国家安全,则此类产品和服务应接受监管机构组织的国家安全审查。 (第二十八条)
(5)3级以上的网络应在国内维护,并且不允许在国外进行远程技术维护。 (第二十九条)
(6)网络运营商应当向监管机构报告网络安全监控预警信息和网络安全事件,建立重要的数据和个人信息安全保护机制,制定和实施网络安全应急预案。 (第30、31、32条)
三,部门法规
该办法旨在监督关键信息基础设施运营商(以下简称“运营商”)对网络产品和服务的购买是否会影响国家安全。 措施的重点包括:
(1)如果运营商购买网络产品和服务影响或可能影响国家安全,则运营商应向中国网络空间管理局下属的网络安全审查办公室报告,以进行网络安全审查。
(2)网络产品或服务包括计算机,服务器,存储设备,数据库,软件和云服务。
(3)网络安全审查办公室将审查以下风险:使用此类产品或服务的设施是否会受到损害; 数据是否会泄漏; 此类产品或服务的供应渠道是否安全稳定? 此类产品或服务的提供者是否符合中国法律。
2.云计算服务的安全评估方法(2019)云计算服务安全评估方法
此安全评估方法旨在评估由党和政府机关以及关键信息基础架构运营商购买的云计算服务的安全性和可控性。 关键点如下:
(1)云计算服务的安全评估将集中在以下方面:(i)云平台运营商的基本信息; (ii)云服务提供商的背景和稳定性; (ii)云平台技术,产品和服务供应链的安全性; (vi)云服务提供商的安全管理能力和安全措施; (v)迁移客户数据的可行性和便利性; (iv)云服务提供商的业务连续性。
(2)云服务提供商可以在为党政机关和关键信息基础设施运营商提供云计算服务的云平台上申请安全评估。
3.《公安机关网络安全监督检查条例》(2018)公安机关互联网安全监督检查规定
该条例旨在规定公安机关应如何对互联网服务提供商和互联网用户履行网络安全义务进行安全监督和检查。
措施的重点包括:
(1)公安部负责保护中国计算机网络与国际互联网之间的连接。
(2)任何实体不得使用国际互联网发布非法内容或危害计算机安全。
本规例 旨在监督互联网服务提供商和互联网用户采取网络安全技术措施,并确保网络安全技术措施的正常运行。 公安机关公共信息网络安全监督部门负责监督网络安全技术措施的实施。
IV。 政策规定
该应急预案旨在为公共互联网安全紧急事件建立应急组织系统和工作机制。
该措施旨在加强对公共互联网网络安全威胁的监控和处理,消除安全风险,制止攻击,避免危害并降低安全风险。 对公共Internet的网络安全的威胁是指在公共Internet上存在或传播的网络资源,恶意程序,安全风险或安全事件,可能会对公众造成伤害或已经造成伤害。
3.关键网络设备和专有网络安全产品目录(第一批,2017年)网络关键设备和网络安全专用产品目录(第一批)
该目录列出了15种设备和产品。 《中国网络安全法》要求保护关键信息基础架构免受攻击,入侵,干扰和破坏。 该目录指定了属于关键信息基础架构的设备和产品类型。
4.互联网信息安全管理系统使用和运营维护管理办法(试行,2016)
本办法旨在指导从事互联网数据中心(包括互联网资源协作服务),互联网访问服务,内容交付网络及其他服务的地方监管机构和互联网访问企业的管理工作,以管理互联网的使用和运营维护信息安全管理系统。
本意见旨在促进建立统一,权威的国家网络安全标准体系和标准化机制。 关键点如下:
(1)建立并不断完善网络安全标准体系。
(2)积极参与网络空间国际规则和国际标准规则的制定。
本意见旨在加强中国网络安全学院的学科发展和人才培训。
7.关于加强党政机关网站安全管理的通知(2014)关于加强党政机关网站安全管理的通知
本通知旨在敦促所有政府部门改善其官方网站的安全保护。
8.加强工业互联网安全指导意见通知(2019)加强工业互联网安全工作的指导意见的通知
本公告分为三个部分,旨在促进中国在3年底之前初步建立工业互联网安全体系。
五,技术标准
1.网络安全等级保护评估要求
2.网络安全级别保护基本要求
3.网络安全级别保护安全设计要求
杰恩·贝勒(JéanBéller)(https://unsplash.com/@jeanbeller)在Unsplash上的照片