文档1【内部使用】1/11信息安全法律法规合规性评价表EvaluationofComplianceSheet序号类别信息安全法律法规名称信息安全法律法规的主要要求使用条款符合对应控制措施备注1国家法规中华人民共和国计算机信息系统安全保护条例计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。第三条Y《物理与环境安全管理程序》2任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。第七条Y《员工信息安全规范》3计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工,不得危害计算机信息系统的安全第十条Y《物理与环境安全管理程序》4进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。第十一条Y《通信安全管理程序》5运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。第十二条Y《员工信息安全规范》6计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。第十三条Y《员工信息安全规范》7对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。第十四条Y《信息安全事件管理程序》8中华人民共和国计算机信息网络国际联网管理暂行规定个人、法人和其他组织(以下统称用户)使用的计算机或者计算机信息网络,需要进行国际联网的,必须通过接入网络进行国际联网。前款规定的计算机或者计算机信息网络,需要接入网络的,应当征得接入单位的同意,并办理登记手续。第十条Y《通信安全管理程序》文档1【内部使用】2/119从事国际联网业务的单位和个人,应当遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。第十三条Y《通信安全管理程序》10中华人民共和国电子签名法符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。第五条Y《信息安全法律法规管理程序》11符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。第六条Y《通信安全管理程序》12软件产品管理办法软件产品的开发、生产、销售、进出口等活动应当遵守我国有关法律、法规和标准规范。任何单位和个人不得开发、生产、销售、进出口含有下列内容的软件产品:(一)侵犯他人知识产权的。(二)含有计算机病毒的。(三)可能危害计算机系统安全的。(四)不符合我国软件标准规范的。(五)含有法律、行政法规等禁止的内容的。第四条Y《信息安全法律法规管理程序》《系统开发验收安全管理程序》13在我国境内生产软件产品应当遵守我国的法律规定,符合我国技术标准、规范和本办法的规定。第十二条Y《信息安全法律法规管理程序》《系统开发验收安全管理文档1【内部使用】3/11程序》14中华人民共和国著作权法公民为完成法人或者其他组织工作任务所创作的作品是职务作品,除本条第二款的规定以外,著作权由作者享有,但法人或者其他组织有权在其业务范围内优先使用。作品完成两年内,未经单位同意,作者不得许可第三人以与单位使用的相同方式使用该作品。有下列情形之一的职务作品,作者享有署名权,著作权的其他权利由法人或者其他组织享有,法人或者其他组织可以给予作者奖励:(一)主要是利用法人或者其他组织的物质技术条件创作,并由法人或者其他组织承担责任的工程设计图、产品设计图、地图、计算机软件等职务作品;(二)法律、行政法规规定或者合同约定著作权由法人或者其他组织享有的职务作品。第十六条Y《信息安全法律法规管理程序》15受委托创作的作品,著作权的归属由委托人和受托人通过合同约定。合同未作明确约定或者没有订立合同的,著作权属于受托人。第十七条Y《信息安全法律法规管理程序》16法人或者其他组织的作品、著作权(署名权除外)由法人或者其他组织享有的职务作品,其发表权、本法第十条第一款第(五)项至第(十七)项规定的权利的保护期为五十年,截止于作品首次发表后第五十年的12月31日,但作品自创作完成后五十年内未发表的,本法不再保护。第二十一条Y《信息安全法律法规管理程序》17国际条约世界知识产权组织版权条约(中国加入)版权保护的范围版权保护延及表达,而不延及思想、过程、操作方法或数学概念本身。第二条Y《信息安全法律法规管理程序》文档1【内部使用】4/1118计算机程序计算机程序作为《伯尔尼公约》第二条意义下的文学作品受到保护,此种保护适用于各计算机程序,而无论其表达方式或表达形式如何。③(③关于第四条的议定声明:按第二条的解释,依本条约第四条规定的计算机程序保护的范围,与《伯尔尼公约》第二条的规定一致,并与TRIPS协定的有关规定相同。)第四条Y《信息安全法律法规管理程序》19数据汇编(数据库)数据或其他资料的汇编,无论采用任何形式,只要由于其内容的选择或排列构成智力创作,其本身即受到保护。这种保护不延及数据或资料本身,亦不损害汇编中的数据或资料已存在的任何版权。④(④关于第五条的议定声明:按第二条的解释,依本条约第五条规定的数据汇编(数据库)保护的范围,与《伯尔尼公约》第二条的规定一致,并与TRIPS协定的有关规定相同。)第五条Y《信息安全法律法规管理程序》21国家法规商用密码产品生产管理规定第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。指定商用密码产品生产定点单位的程序如下:(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构;(二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见;(三)国家密码管理局对通过初审的单位进行实地考察;(四)国家密码管理局作出指定决定并告知指定结果。第七条Y《信息安全法律法规管理程序》22互联网安全保护技术措施规定互联网服务提供商和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。第十三条Y《网络安全管理程序》文档1【内部使用】5/1120国家法律中华人民共和国刑法第二百一十七条以营利为目的,有下列侵犯著作权情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金:(一)未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的;(二)出版他人享有专有出版权的图书的;(三)未经录音录像制作者许可,复制发行其制作的录音录像的;(四)制作、出售假冒他人署名的美术作品的。第二百一十七条Y《信息安全法律法规管理程序》23有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金:(一)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的;(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;(三)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论。本条所称商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。第二百一十九条Y《信息资产管理程序》24捏造并散布虚伪事实,损害他人的商业信誉、商品声誉,给他人造成重大损失或者有其他严重情节的,处二年以下有期徒刑或者拘役,并处或者单处罚金。第二百二十一条Y《通信安全管理程序》《员工信息安全规范》文档1【内部使用】6/1125国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”第二百五十三Y《员工信息安全规范》26违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”第二百八十五条Y《员工信息安全规范》27违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。第二百八十六条Y《员工信息安全规范》《帐号管理程序》28国家法律中华人民共和国国家安全法任何个人和组织都不得非法持有、使用窃听、窃照等专用间谍器材。第二十一条Y《员工信息安全规范》文档1【内部使用】7/1129国家法律中华人民共和国保守国家秘密法一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。任何危害国家秘密安全的行为,都必须受到法律追究。第三条Y《信息资产管理程序》《员工信息安全规范》30国家法规计算机病毒防治管理办法任何单位和个人不得制作计算机病毒。第五条Y《恶意软件管理程序》《员工信息安全规范》31任何单位和个人不得有下列传播计算机病毒的行为:(一)故意输入计算机病毒,危害计算机信息系统安全;(二)向他人提供含有计算机病毒的文件、软件、媒体;(三)销售、出租、附赠含有计算机病毒的媒体;(四)其他传播计算机病毒的行为。第六条Y《恶意软件管理程序》《员工信息安全规范》32任何单位和个人不得向社会发布虚假的计算机病毒疫情。第七条Y《通信安全管理程序》33计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责:(一)建立本单位的计算机病毒防治管理制度;(二)采取计算机病毒安全技术防治措施;(三)对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训;(四)及时检测、清除计算机信息系统中的计算机病毒,并备有检测、清除的记录;(五)使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;(六)对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。第十一条Y《恶意软件管理程序》34任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时,应当进行计算机病毒检测。第十二条Y《恶意软件管理程序》文档1【内部使用】8/1135国家法规计算机信息网络国际联网安全保护管理办法任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的