搜索
主要内容:•第一部分网络信息安全相关法律法规•第二部分企业信息安全责任制第一部分网络信息安全法律法规简介1)中华人民共和国宪法•第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。2)中华人民共和国刑法•(2011年2月25日最新修正版刑法)•第二百五十三条国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。2)中华人民共和国刑法•第二百六十五条以牟利为目的,盗接他人通信线路、复制他人电信码号或者明知是盗接、复制的电信设备、设施而使用的,依照本法第二百六十四条的规定定罪处罚。2)中华人民共和国刑法•第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。2)中华人民共和国刑法•第二百八十六条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。•第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。2)中华人民共和国刑法•第二百一十七条以营利为目的,有下列侵犯著作权情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金:(一)未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的;(二)出版他人享有专有出版权的图书的;(三)未经录音录像制作者许可,复制发行其制作的录音录像的;(四)制作、出售假冒他人署名美术作品的。全国人民代表大会常务委员会关于维护互联网安全的决定•(2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过),主要依据《刑法》相关条款,规定任何单位和个人在利用互联网时,都要遵纪守法,抵制各种违法犯罪行为和有害信息,有效维护我国互联网的运行安全和信息安全等。全国人民代表大会常务委员会关于加强网络信息保护的决定•(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过),以公民个人电子信息保护为切入点,以网络实名、电话实名制为核心,对用户和企业的义务与责任、政府部门的管理权限等做出规定。全国人民代表大会常务委员会关于加强网络信息保护的决定•第三条:网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。•第四条:网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。•第五条:网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。全国人民代表大会常务委员会关于加强网络信息保护的决定•第六条:网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。•第七条:任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。•第十一条:对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。全国人民代表大会常务委员会关于加强网络信息保护的决定•工信部将进一步完善配套法律制度,包括以部长令形式尽快出台《电话用户真实身份信息登记规定》、《电信和互联网用户个人信息保护规定》,并配合做好原国务院292号令《互联网信息服务管理办法》修订工作。3)中华人民共和国电信条例•第十二条国务院信息产业主管部门审查经营基础电信业务的申请时,应当考虑国家安全、电信网络安全、电信资源可持续利用、环境保护和电信市场的竞争状况等因素。3)中华人民共和国电信条例•第五十七条任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息:(一)反对宪法所确定的基本原则的;(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;(三)损害国家荣誉和利益的;(四)煽动民族仇恨民族歧视,破坏民族团结;(五)破坏国家宗教政策,宣扬邪教封建迷信;(六)散布谣言扰乱社会秩序,破坏社会稳定;(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(八)侮辱或者诽谤他人,侵害他人合法权益;(九)含有法律、行政法规禁止的其他内容的。3)中华人民共和国电信条例•第五十八条任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:(一)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;(二)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;(三)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;(四)危害电信网络安全和信息安全的其他行为。3)中华人民共和国电信条例•第五十九条任何组织或者个人不得有下列扰乱电信市场秩序的行为:(一)采取租用电信国际专线、私设转接设备或者其他方法,擅自经营国际或者香港特别行政区、澳门特别行政区和台湾地区电信业务;(二)盗接他人电信线路,复制他人电信码号,使用明知是盗接、复制的电信设施或者码号;(三)伪造、变造电话卡及其他各种电信服务有价凭证;(四)以虚假、冒用的身份证件办理入网手续并使用移动电话。3)中华人民共和国电信条例•第六十条电信业务经营者应当按照国家有关电信安全的规定,建立健全内部安全保障制度,实行安全保障责任制。•第六十一条电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。•第六十二条在公共信息服务中,电信业务经营者发现电信网络中传输的信息明显属于本条例第五十七条所列内容的,应当立即停止传输,保存有关记录,并向国家有关机关报告。3)中华人民共和国电信条例•第六十三条使用电信网络传输信息的内容及其后果由电信用户负责。电信用户使用电信网络传输的信息属于国家秘密信息的,必须依照保守国家秘密法的规定采取保密措施。•第六十六条电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查。•电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。3)中华人民共和国电信条例(罚则)•第六十七条违反本条例第五十七条、第五十八条的规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照有关法律、行政法规的规定予以处罚。•第六十八条有本条例第五十九条第(二)、(三)、(四)项所列行为之一,扰乱电信市场秩序,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足1万元的,处1万元以上10万元以下罚款。•第七十八条有本条例第五十七条、第五十八条和第五十九条所列禁止行为之一,情节严重的,由原发证机关吊销电信业务经营许可证。国务院信息产业主管部门或省、自治区、直辖市电信管理机构吊销电信业务经营许可证后,应通知企业登记机关。4)互联网信息服务管理办法•第六条从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件:(一)有业务发展计划及相关技术方案;(二)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度;(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门同意的文件。5)《通信网络安全防护管理办法》•2010年1月21日,工业和信息化部发布了《通信网络安全防护管理办法》(工业和信息化部令第11号)。•(出台背景)随着信息通信技术的迅速发展,通信网络加快向数字化、宽带化和智能化演进,通信网络面临的安全威胁日益多样化,网络攻击、信息窃取等非传统安全问题十分突出。5)《通信网络安全防护管理办法》•《办法》建立了我国通信网络单元的分级保护、符合性评测制度、安全风险评估、通信网络安全防护检查等制度,着力应对非传统安全威胁。6)其它管理规章制度•2009年12月,工信部印发了《基础电信企业信息安全责任管理办法》(工信部保【2009】713号),进一步推进了通信行业信息安全管理体系建设,促进电信业务经营者企业信息安全管理机构的建立健全,提高我国通信行业信息安全整体工作水平。•2010年4月,工信部印发了《互联网网络安全信息通报实施办法》和《木马僵尸网络监测处置机制》。•2011年12月,工信部印发了《移动互联网恶意程序监测与处置机制》。6)其它管理规章制度•2012年11月,工业和信息化部、国务院国有资产监督管理委员会联合出台了《关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》(工信部联保【2012】551号),通过将网络与信息安全责任落实情况纳入三家基础电信企业集团公司对省级公司绩效考核体系(占最终绩效考核满分分值的6%),重点考核组织保障、制度建设、安全管理、技术手段建设等落实情况,实现基础电信企业网络与信息安全考核工作制度化,确保企业网络与信息安全基础设施升级扩容与网络发展同步。6)其它管理规章制度•2012年12月,工业和信息化部办公厅印发了《2013年省级基础电信企业网络与信息安全工作考核要点与评分标准》(工信厅保【2012】247号),从信息安全管理、网络安全管理、重要通信管理等三个方面,共计10项考核要点,推动基础电信企业进一步完善网络与信息安全保障体系建设。第二部分企业信息安全责任制•企业信息安全责任:电信业务经营单位有义务维护国家安全、社会稳定和用户合法权益;应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信息安全责任制度,同步建设与企业网络、业务和用户发展相适应的信息安全保障体系和技术保障手段;应保障必要的人员和资金投入。1)市场准入环节•在市场准入环节中,我局针对申请增值电