我國信息安全立法
㈠ 簡述我國為什麼要制定信息安全法
1、服務於國家網路安全戰略和網路強國建設
《網路安全法》中明確提出了有關國家網路空間安全戰略和重要領域安全規劃等問題的法律要求,這有助於實現推進中國在國家網路安全領域明晰戰略意圖,確立清晰目標,釐清行為准則,不僅能夠提升我國保障自身網路安全的能力,還有助於推進與其他國家和行為體就網路安全問題展開有效的戰略博弈。
2、構建我國首部網路空間管轄基本法
作為國家實施網路空間管轄的第一部法律,《網路安全法》屬於國家基本法律,是網路安全法制體系的重要基礎。這部基本法規范了網路空間多元主體的責任義務,以法律的形式催生一個維護國家主權、安全和發展利益的「命運共同體」。具體包括,規定網路信息安全法的總體目標和基本原則;規范網路社會中不同主體所享有的權利義務及其地位;建立網站身份認證制度,實施後台實名;建立網路信息保密制度,保護網路主體的隱私權;建立行政機關對網路信息安全的監管程序和制度,規定對網路信息安全犯罪的懲治和打擊;以及規定具體的訴訟救濟程序等等。
3、提供維護國家網路主權的法律依據
2016年7月推出的《國家安全法》首次以法律的形式明確提出「維護國家網路空間主權」。隨之應運而生的《網路安全法》是《國家安全法》在網路安全領域的體現和延伸,為我國維護網路主權、國家安全提供了最主要的法律依據。
4、服務於國家網路安全戰略和網路強國建設
現如今,網路空間逐步成為世界主要國家展開競爭和戰略博弈的新領域。網路信息是建設網路強國的必爭之地,網路強國宏偉目標的實現離不開堅實有效的制度保障,《網路安全法》的出台意味著建設網路強國的制度保障邁出堅實的一步。
5、在網路空間領域貫徹落實依法治國精神
此次《網路安全法》破除重重障礙,撥雲見日,高舉依法治國大旗,開啟了依法治網的嶄新局面,成為依法治國頂層設計下一項共建共享的路徑實踐。依法治網成為我國網路空間治理的主線和引領,以法治謀求網治的長治久安。《網路安全法》還考慮到網路的開放性和互聯性,加強法治工作的國際合作協調,讓人類共同面臨的網路犯罪無處遁形,通過科學有效、詳細的法律進行懲罰和約束,達到正本清源的目的。
㈡ 信息安全法的我國制定信息安全法的必要性
(一)政府治理社會的基本需要
伴隨信息技術的發展,我國社會信息化程度越來越高,並且,我們的最終目標是走向信息社會。在這個急速信息化的過程中,電子政務、電子商務、家庭上網、十二金工程等信息化計劃深入推廣,網路已經滲透到人們的日常生活的方方面面,信息安全已經成為社會安全和社會秩序的新領域,受到政府的高度重視。先進的技術正在不斷地保障著信息安全,諸如電子簽名、防病毒、反黑客、防垃圾郵件、公共安全平台等措施,為我們實施信息安全戰略提供了技術上的保證。然而,風險是絕對的,安全是相對的。信息安全面臨的挑戰不但是技術上的風險,還有更重要的就是制度上的風險。法律是最終的解決方案,制定信息安全法是政府治理社會的基本需要。
(二)協調信息安全管理機關職責的需要
目前,我國並沒有專門的信息安全機關,而是由公安部、安全部、國家保密局、國家商用密碼管理辦公室等協同管理。實際上,涉及信息安全工作的國家機關還遠不止於此,幾乎所有的部委和行業主管部門都在根據自己的職責管理相關的部分。這個看似龐大的規模和隊伍,需要統一和協調。制定信息安全法,明確管理機關的責權利,是保障信息安全的重要內容。
(三)規范網路行為的需要
信息安全問題,實質是網路行為是否符合社會規范的問題。在信息網路上,黑客、病毒和垃圾郵件並稱為「三大公害」,極大地影響了我國網路運行的正常秩序。有關統計數據顯示,我國95%的與網際網路相連的網路管理中心都遭到國內外黑客的攻擊或入侵,其中銀行、金融和證券機構是攻擊重點。這些犯罪行為往往會給社會經濟和國家安全造成災難性的後果。制定統一的信息安全法,為網路信息提供規范,可以震懾犯罪,凈化網路空間。
(四)完善法律自身的需要
自1994年以來,我國先後頒布了一系列有關計算機及國際互聯網路的法規、部門規章或條例,這些信息安全立法,許多內容已明顯滯後,並且有的內容還相互沖突、抵觸。1997年修訂的《刑法》中的有關條款,也難以適應現實的諸多需要。因此,制定信息安全法,廢止過時的或者相互抵觸的行政法規,非但不會打亂現行法律體系,而且能夠減少現有信息安全法律和法規的沖突和抵觸,是社會信息化過程中,法律自身健康發展的需要。
㈢ 網路信息安全相關法律法規都有什麼
《信息安來全標准與法律法規》主要以自高等學校信息安全、公安及計算機專業學生為對象,在介紹信息安全和法律相關基礎上,重點分三部分(信息系統安全保護相關法律法規、互聯網路安全管理相關法律法規和其他有關信息安全法律法規),結合典型案例,系統講授了我國信息安全的相關法律法規,同時詳細介紹了國際國內與信息安全相關的主要標准。
㈣ 信息法律的我國信息法律的建設
(1)我國信息立法的現狀
我國在信息產權方面的立法,先後頒布實施了《商標法》、《專利法》、《著作權法》、斛算機軟體保護條例》、《計算機軟體著作權登記辦法》、《關於製作數字化製品的著作權規定》等等。同時為與國際信息市場接軌,我國先後加入了世界知識產權組織及《保護工業產權巴黎公約》、《世界版權公約》、《商標國際注冊馬鎔里協定》、《保護文學和藝術作品伯尼爾公約》、《專利合作條約》等國際性知識產權保護公約。
在信息安全與保護方面的立法上已經制定了《保守國家秘密法》、《檔案法》以及各部委制定的相關法規。如國家科技部的《科學技術保密條例》,國家保密局和新聞出版署等共同頒布的《新聞出版保密規定》,以及國務院頒布的《計算機信息系統安全保護條例》等。
在信息市場方面的立法,先後頒布實施了《技術合同法》、《反不正當競爭法》、《廣告法》。
在計算機網路的管理方面,有《計算機信息網路國際聯網管理暫行規定》、《中國互聯網路域名注冊暫行管理辦法》、《計算機信息網路國際聯網管理暫行規定實施辦法》、《關於維護互聯網安全的決定》等。
在促進產業發展方面,頒布了《中華人民共和國電信條例》、《軟體企業認定標准及管理辦法》、《軟體產品管理辦法》等。
(2)我國信息立法存在的問題
第一,信息立法還缺乏整體的體系架構,表現在:沒有統一的有關信息立法的主管部門;信息法律尚未成為法律體系中的獨立分支;對信息法學還缺少深入的理論研究;法律的制定和執行條塊分割嚴重,很多頒布的法律仍帶有鮮明的部門特色。
第二,從現有具體的法律內容上看,存在不少缺漏。如在《合同法》中,涉及電子合同的規范不到200字,已經嚴重落伍於電子商務發展的需求。在網路信息市場的法律方面基本上空白,缺乏明確的交易規則、合理的價格體系和具體可行的信息行業標准和行為規范,對網路市場中的壟斷行為和不正當競爭行為也沒有明確的界定,對信息污染也沒有一個明確的處罰標准。
第三,對民眾的信息普法工作還很薄弱。整個國民的信息守法、維權意識淡薄。
(3)我國信息立法的對策
針對我國的現狀,未來信息立法的重點是:抓緊對現有法律、法規的修訂,適應國家信息化發展的需要;抓緊制定和出台各種法規及配套的管理條例,以形成較完善的法規體系,通過法律手段營造一個公平、合理、有序的競爭環境,還要加快建立、健全相關的執法體系和監督體系。
未來信息立法的法制體系框架應主要包含以下內容:
①關於信息獲取的法律。該法律系列是用來規范機構、個人獲取信息的權利和義務,包括信息的採集、存儲、傳遞和利用。
②關於知識產權保護的法律。隨著WTO進程的深化,如何在全球知識產權規則下既要尊重他國法規又要加強自我保護是我們亟待解決的問題,因此,關於著作權、版權、商標、集成電路和新生物物種等方面的知識產權問題都需要在未來信息法律體系中予以考慮。
③關於信息安全、反信息犯罪的法律。需要整合目前零散的關於信息安全的規定、信息犯罪的界定,出台完整的信息安全和反信息犯罪的法律。
④關於電子商務的法律系列。電子商務作為未來商業模式的重要發展方向,要保證並促進其健康發展必須法制先行。在電子商務的法律系列中要包括:電子商務的交易法規、主體法規、市場秩序的法規,電子商務的知識產權法規、安全保密法規,電子商務金融法規,等等。
⑤關於共享信息資源和信息服務的法律。要規定關於作為公共財富的信息資源如何保護和獲取的問題,以及關於信息提供服務、傳遞服務、內容製作、信息咨詢服務等的管理條例或法規。
㈤ 我國的信息安全網路體系堅持什麼方針
我國的信息安全網路體系堅持積極利用、科學發展、依法管理、確保安全的16字方針,加大依法管理網路的力度,不斷健全網路安全的保障體系。
一是積極推動網路信息安全立法工作。組織制定信息安全檢查、信息安全管理、通信網路安全防護、互聯網安全接入等急需的標准,推動制定相關法律法規,做到有法可依、依法辦事。
二是加快完善信息安全審查制度框架。有計劃地開展信息安全審查試點,特別是要加強政府部門雲計算服務的信息安全管理,組織實施黨政機關互聯網安全接入工程和重點領域信息安全檢查。
三是強化信息安全基礎設施和技術手段體系化建設。進一步鞏固提升電話用戶實名登記工作,開展地下黑色產業鏈等網路安全環境的治理,特別是抓好木馬、僵屍等病毒的防範,進一步加強對釣魚網站、移動惡意程序等網路攻擊威脅的監測和處理工作,同時配合公安機關開展源頭打擊,實現標本兼治。
四是扶持和壯大網路與信息安全產業。重點支持網路與信息安全關鍵核心技術的突破,加強應用試點示範,發展信息安全產品和服務,構建全產業鏈協同發展的格局。五是推動網路空間國際交流與合作。在網路安全的技術、信息共享、跨境安全事件處置等方面加強國際合作,加強網路與信息安全的宣傳教育,組織開展網路安全宣傳周等項活動,提升全社會網路安全意識和自我保護能力。
㈥ 我國信息安全管理的現狀、問題及其對策
我國信息安全管理的現狀、問題及其對策
摘要:信息安全是國家安全的基礎和關鍵。在信息安全保障的三大要素(人員、技術、管理)中,管理要素的地位和作用越來越受到重視。理解並重視管理對信息安全的關鍵作用,對於真正實現信息安全目標來說尤其重要。本文分析了信息安全管理的現狀,並著重討論了加強信息安全管理的策略。
關鍵詞:信息安全;管理;現狀;策略
信息安全管理是隨著信息和信息安金的發展而發展的。在信息社會中,一方面信息已經成為人類的重要資產,在政治、經濟、軍事、教育、科技、生活等方面發揮著重要作用,另一方面由於計算機技術的迅猛發展而帶來的信息安全問題正變得日益突出。由於信息具有易傳播、易擴散、易損毀的特點,信息資產比傳統的實物資產更加脆弱,更容易受到損害,這樣將使組織在業務運作過程巾面臨巨大的風險。這種風險主要來源於組織管理、信息系統、信息基礎設施等方面的固有薄弱環節和漏洞, 以及大量存在於組織內外的各種威脅, 因此對信啟、系統需要加以嚴格管理和妥善保護,信息安全管理也隨之產生。
1、國內信息安全管理現狀
1.1在國家宏觀信息安全管理方面的問題
(1)法律法規問題。健全的信息安 法律法規體系是確保國家信息安全的基礎,是信息安全的第一道防線。我國已建立了法律、行政法規與部門規章及規范性文件等三個層面的有關信息安全的法律法規體系,對組織與個人的信息安全行為提出了安全要求。但是我國的法律法規體系還存在缺陷,一是現有的法律法規存在不完善的地方,如法律法規之間有內容重復交叉, 同一行為有多個行政處罰主體,有的規章與行政法規相互抵觸,處罰幅度不�6�8一致;二是法律法規建設跟不上信息技術發展的需要,這主要涉及網路規劃與建設、網路管理與經營、網路安全、數據的法律保護、電子資金劃轉的法律認證、計算機犯罪、刑事立法、計算機證據的法律效力等方面的法律法規缺乏。
(2)管理問題。管理包括三個層次的內容:組織建設、制度建設和人員意識。組織建設是指有關信息安全管理機構的建設。信息安全的管理包括安全規劃、風險管理、應急計劃、安全教育培訓、安全系統的評估、安全認證等多方面的內容,因此只靠一個機構是無法解決這些問題的。在各信息安全管理機構之問,要有明確的分工,以避免「政出多門」和「政策拉車」現象的發生。需要建立切實可行的規章制度,即進行制度建設,以保證信息安全。如對人的管理,需要解決多人負責、責仔到人的問題,任期有限的問題,職責分離的問題,最小許可權的問題等。有了組織機構和相應的制度,還需要領導的高度重視和群防群治,即強化人員的安全意識,這需要信息安全意識的教育和培訓,以及對信息安傘問題的高度重視。
(3)國家信息基礎設施建設問題。目前構成我國信息基礎設施的網路、硬體、軟體等產品幾乎完全是建立在外國的核心信息技術之上的。關於國家信息基礎設施方面存在的問題已引起國家的高度重視。如「十五」期問,國家863計劃和科技攻關的重要項目就有「信息安全與電子政務」和「金融信息化」兩個有關信息安全的研究項目;2002年1月1日開始實施的《電信業務經營許可證管理辦法》明確要求:電信產品軟體商不能在軟體上預留「後門」,外國供貨商不能遠程登錄中國電信商的操作系統,高級 管系統要用國內可靠機構開發的軟體產品。
1.2我國在微觀信息安全管理方面存在的問題主要表現
(1)缺乏信息安全意識與明確的信息安全方針。大多數組織的最高管理層對信息資產所面臨威脅的嚴重性認識不足,或者僅局限於IT方面的安全,沒有形成一個合理的信息安拿方針來指導組織的信息安全管理工作,這表現為缺乏完整的信息安全管理制度,缺乏對員工進行必要的安全法律法規和防範安全風險的教育與培訓,現有的安全規章組織未必能嚴格實施等。
(2)重視安全技術,輕視安全管理。目前組織普遍採用現代通信、計算機和網路技術來構建信息系統,以提高組織效礙暑與競爭能力,但相應的管理措施不到位,如系統的運行、維護和開發等崗位不清,職責不分,存在一人身兼數職現象。
(3)安全管理缺乏系統管理的思想。大多數組織現有的安全管理模式仍是傳統的管理方法,出現了問題才去想補救的辦法,是一種就事論事、靜態的管理,不是建立在安全風險評估基礎上的動態的持續改進管理方法。
2、國外信息安全管理現狀
國際上信息安全管理近幾年的發展主要包括以下幾個方面。
(1)制訂信息安全發展戰略和計劃。制訂發展戰略和計劃是發達國家一貫的作法。美、俄、日國家都已經或正在制訂自己的信息安全發展戰略和發展計劃,確保信息安全沿著正確的方向發展。
(2)加強信息安全立法,實現統一和規范管理。以法律的形式規定和規范信息安全工作是有效實施安全措施的最有力保證。制訂網路信息安全規則的先鋒是各大門戶網站,美國的雅虎和美國在線等網站都在實踐中形成了一套自己的信息安全管理辦法。2000年1O月5日美參議院通過了《互聯網網路完備性及關鍵設備保護法案》。2000年9月,俄羅斯實施了關於網路信息安全的法律。
(3)步入標准化與系統化管理時代。隨著2O世紀8O年代IS09000質量管理標準的出現及隨後在全世界的推廣應用,系統管理的思想在其他管理領域也被借鑒與採用,信息安全管理也同樣在2O世紀9O年代步入了標准化與系統化管理的時代。1995年英國率先推出了BS7799信息安全管理標准,該標准於2000年被國際標准化組織認可為國際標准ISO/IEC17799。現在該標准已引起許多國家與地區的重視,在一些國家已經被推廣與應用;組織貫徹實施該標准可以對信息安全風險進行全面系統的管理,從而實現組織信息安全。與此同時,其他國家以及組織也提出了很多與信息安全管理相關的標准。
3、加強信息安全管理的策略
隨著國民經濟和社會信息化進程的全面加快,信息安全管理工作面臨著越來越嚴峻的形勢和挑戰。從總體上看,當前,我國的信息安全管理工作尚處於起步階段,基礎薄弱,水平不高,存在許多亟待解決的問題,我們要以全局性的眼光,加強信息安全的組織管理工作。
(1)建立集中統一、分工協作、各司其職的信息安全管理機制。信息安傘保障的關鍵在於組織領導,要從根本上加強我國的信息安全保障工作,必須建立全國集中統一、分工協作、各司其職的信息安全管理機制。一是國家應建立能夠協調維護各種安全利益的綜合職能機構,成立有高度權威的國家信息安全委員會,作為國務院信息化領導小組的常設委員會, 以改變目前在維護國家信息安全中各部門條塊分割、職責不清、多頭管理、協調不力和政出多門的現狀;二是各個職能部門要形成一個分工明確、責任落實、相互銜接、有機配合的組織管理體系,按照「誰主管、誰負責」的原則,共同履行信息安全管理的職責;三是盡早建立省、市兩級比較完善的信息安全領導管理體系, 以便積極調動各種資源主動配合和協調信息安全保障工作,形成縱橫結合的信息安全協調與信息共享機制; 四是充分調動政府、企業和個人的積極性,實現有機聯動,形成合力,共同構築國家信息安全保障體系;五是健全和完善信息安全責任體系,要求各部門、各單位明確信息安全工作負責人,配備相應的信息安全員,把信息安全責任真正落實到人。
(2)加強信息安全法制建設,為信息安全管理提供執法依據。作為信息安全保障體系的重要部分,相關法律法規和標准體系的建設已經勢在必行。下一步,應著力建立健全信息安全法律法規體系;同時,要注重和加強信息安全執法隊伍的建設;各信息安全職能部門的執法活動必須嚴格按照法律規定的許可權和程序進行,正確行使權力和履行職責,保護企業和公民的合法權益,打擊網路違法犯罪;各有關主管部門和運營單位要積極支持執法機關工作,履行應盡的義務;社會團體、企業和個人要認真履行法律規定的信息安全責任和義務,在信息網路環境中依法開展活動。
(3)採取有效措施,積極推進信息安全等級保護工作的順利開展。實行信息安全等級保護是國家解決信息安全保護問題的基本政策。信息安全等級保護是信息系統的社會價值和經濟價值保護的客觀要求,即按信息的敏感和重要程度、系統應用性質和資嚴價值、部門重要程度,分級採取科學、合理的保護措施;對於涉及國計民生的國家關鍵信息基礎設施應分級加以重點保護;適度保護,效費合理,避免盲目和浪費。國家實行信息安全等級保護,必須從總體戰略角度考慮,把握關鍵環節,建立長效保護機制。當前,信息安全等級保護的試點工作已積累了一定的經驗,為推動信息安全等級保護工作的傘面開展,應著力做好以下幾個方面的工作:明確信息系統等級保護各方責任;制定各項信息安全等級保護管理制度;制定、完善信息安全等級保護管理規范和技術標准體系;依託社會技術力量,組建技術支撐體系;研製開發信息安全等級保護備案、檢測、評估信息系統和技術
工具;加強宣傳、培訓工作等等。
(4)努力探索,創立新形勢下的信息網路違法犯罪防範打擊體系。近年來,我國在打擊網路違法犯罪方面做了大量的工作,也取得了很火的成績,但是隨著信息技術的不斷發展,網路違法犯罪的形式更加多樣化,技術手段更加先進,這就要求我們不斷建立健全信息網路違法犯罪防範打擊體系, 以執法職能部門為主體,動員社會各方力量,運用網路技術手段在信息網路領域建立系統、完整、有機銜接的預防、控制、偵查、懲處信息網路違法犯罪的行政執法和刑事執法體系,提高對信息網路違法犯罪的防範、控制和偵查、打擊能力。重點要做好以下四方面機制建設:一是全社會防範控制機制。二是統一指揮、快速反應的偵查機制。三是有關部門、單位的支持、配合機制。四是公檢法三機關的協調、協作機制。
㈦ 我國信息安全保密法律體系具有哪些特徵
目前我國信息安全法律體系的主要特點
通過對目前我國現行信息安全相關法律法規的整理分析,我們可以初步概括出目前我國信息安全法律體系的主要特點:
1、信息安全法律法規體系初步形成
目前我國現行法律法規及規章中,與信息安全直接相關的是65部,它們涉及網路與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域,在文件形式上,有法律、有關法律問題的決定、司法解釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。
其中,全面規范信息安全的法律法規有18部,包括94年的《中華人民共和國計算機信息系統安全保護條例》等法規,也包括2003年的《廣東省計算機信息系統安全保護管理規定》,98年的《重慶市計算機信息系統安全保護條例》等地方法規;側重於互聯網安全的有7部,包括2000年《全國人民代表大會常務委員會關於維護互聯網安全的決定》等法律層面的文件,也包括97年的《計算機信息網路國際聯網安全保護管理辦法》等部門規章;側重於信息安全系統與產品的有3部,包括97年的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》等部門規章;側重於保密的有10部,既包括89年的《中華人民共和國保守國家秘密法》等法律,也包括98年的《計算機信息系統保密管理暫行規定》、2000年的《計算機信息系統國際聯網保密管理規定》、97年的《農業部計算機信息網路系統安全保密管理暫行規定》等部門規章;側重於密碼管理及應用的有5部,包括99年的《商用密碼管理條例》等法規,也包括2005年的《電子認證服務管理辦法》、《電子認證服務密碼管理辦法》等部門規章,還包括2002年的《上海市數字認證管理辦法》、2001年的《海南省數字證書認證管理試行辦法》等地方法規或規章;側重於計算機病毒與危害性程序防治的有9部,包括2000年的《計算機病毒防治管理辦法》等部門規章,也包括94年的《北京市計算機信息系統病毒預防和控制管理辦法》、2002年的《天津市預防和控制計算機病毒辦法》等地方法規或規章;側重於特定領域信息安全的有9部,包括98年的《金融機構計算機信息安全保護工作暫行規定》、2003年的《鐵路計算機信息系統安全保護辦法》、2005年的《證券期貨業信息安全保障管理暫行辦法》等部門規章,也包括2003年的《廣東省電子政務信息安全管理暫行辦法》等地方法規或規章;側重於信息安全監管的有3部,包括2004年的《上海市信息系統安全測評管理辦法》等地方法規或規章;側重於信息安全犯罪處罰的主要是我國刑法第285條、286條、287條等相關規定。
總體來看,這些信息安全法律法規或多或少所體現的我國信息安全的基本原則可以簡單歸納為國家安全、單位安全和個人安全相結合的原則,等級保護的原則,保障信息權利的原則,救濟原則,依法監管的原則,技術中立原則,權利與義務統一的原則;而基本制度可以簡單歸納為統一領導與分工負責制度,等級保護制度,技術檢測與風險評估制度,安全產品認證制度,生產銷售許可制度,信息安全通報制度,備份制度等。
2、與信息安全相關的司法和行政管理體系迅速完善
有了《中華人民共和國刑法》第217、218、285、286、287、288條、《全國人民代表大會常務委員會關於維護互聯網安全的決定》、《中華人民共和國計算機信息系統安全保護條例》、《電信條例》、《互聯網信息服務管理辦法》等法律依據,有了《最高人民法院最高人民檢察院關於辦理利用互聯網、移動通訊端、聲訊台製作、復制、出版、販賣、傳播、淫穢電子信息刑事案件具體應用法律若干問題的解釋》等司法解釋,一些危害信息安全的案例迅速得到裁判,如廣州市中級人民法院裁判的呂薛文破壞計算機信息系統案、烏魯木齊市中級人民法院裁判的何朴利用其擔任銀行計算機操作員的職務便利貪污巨額公款案等,震懾了違法犯罪分子,維護了計算機信息網路的正常秩序。
經過多年的工作,在我國信息安全行政管理方面,信息安全保障體系建設也已初見成效,與信息安全法律法規體系相配套的標准體系建設、應急處理體系建設、等級保護體系建設、電子認證體系建設、安全測評體系建設、計算機病毒疫情調查和控制體系建設以及違法和不良信息舉報制度建設等都得到較快的發展,為電子政務、電子商務及信息化做出了貢獻。
3、目前法律規定中法律少而規章等偏多,缺乏信息安全的基本法。
雖然可以說目前我國信息安全的法律體系已初步形成,但還很不成熟,在這一體系中,部門規章、地方法規及規章等佔了絕大多數,而法律、法規只佔到65部中的8部,為12%。部門規章、地方法規及規章等效力層級較低,適用范圍有限,相互之間可能產生沖突,也不能作為法院裁判的依據,直接影響了這些措施的效果。並且十分關鍵的是,目前我們還沒有一部信息安全的基本法,對於信息安全的基本法,我們理解為一部確立信息安全的基本原則、基本制度及一些核心內容的法律,而我們前面提到的很多規定都應是從這部法律的基本框架中延伸出來的,只有有了這部法律,我們的信息安全法律體系才能說是有了主幹。國外類似的法律如美國2002年的《聯邦信息安全管理法》、87年的《計算機安全法案》、俄羅斯95年的《聯邦信息、信息化和信息保護法》等。
4、相關法律規定篇幅偏小,行為規范較簡單。
我國現有信息安全相關法律規定普遍存在的問題是篇幅較小,規定得比較籠統,比如《全國人民代表大會常務委員會關於維護互聯網安全的決定》共7條,《中華人民共和國計算機信息系統安全保護條例》共31條,《中華人民共和國計算機信息網路國際聯網管理暫行規定》共17條,《計算機信息網路國際聯網安全保護管理辦法》(公安部)共25條,《互聯網信息服務管理辦法》共27條,《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》(公安部)共26條,《商用密碼管理條例》共27條,《計算機信息系統國際聯網保密管理規定》(國家保密局)共20條,《計算機病毒防治管理辦法》(公安部)為22條。
此外,總體看來,目前這些法律法規主要存在三個方面有待完善的地方:第一,這些法律法規主要內容集中在對物理環境的要求、行政管理的要求等方面,對於涉及信息安全的行為規范一般都規定的比較簡單,在具體執行上指引性還不是很強;第二,目前這些法律法規普遍在處罰措施方面規定得不夠具體,導致在信息安全領域實施處罰時法律依據的不足;第三,在一些特定的信息化應用領域,如電子商務、電子政務、網上支付等,相應的信息安全規范相對欠缺,有待於進一步發展。
5、與信息安全相關的其他法律有待完善
在建立健全信息安全法律體系的同時,與信息安全相關的其他法律法規的出台和完善也非常必要,如電信法、個人數據保護法等,這些法律法規與信息安全法律體系一起構成我國信息安全大的法律環境並且互為支撐、缺一不可。
在這里,我們還可以簡單理一下這個大信息安全法律環境的脈絡:
首先,從權利的角度看,信息安全中涉及的個人權利主要包括通信秘密、言論自由、隱私權、著作權及相關知識產權,而與通信秘密、言論自由相關的法律是憲法、國家安全法和警察法,與隱私權相關的法律是民法通則,與著作權及相關知識產權相關的法律是著作權法、合同法,此外,還可能涉及的法律有行政許可法、行政處罰法和國家賠償法;信息安全中涉及的單位的權利主要包括商業秘密、技術秘密、著作權及相關知識產權等,而與商業秘密、技術秘密相關的法律有反不正當競爭法、技術合同法,與著作權及相關知識產權相關的法律有著作權法、合同法,此外,還可能涉及的法律有行政許可法、行政處罰法和國家賠償法;再從國家的角度看,信息安全涉及國家安全、保密和金融安全等,與國家安全相關的法律是國家安全法,與保密相關的法律是保守國家秘密法,與金融安全相關的法律是銀行法。
其次,從應用的角度看,與信息安全相鄰或相交的領域包括:電信、無線電、集成電路、計算機軟體與系統集成、網路及網路信息服務、電子商務與現代物流、電子政務、信息資源公開、利用等。在這些領域我們又可以看到電信條例、無線電管理條例、集成電路布圖設計保護條例、計算機軟體保護條例、中華人民共和國計算機信息網路國際聯網管理暫行規定、互聯網信息服務管理辦法、互聯網上網服務營業場所管理條例、電子簽名法等一系列法律、法規、部門規章及地方法規、規章。
㈧ 論述我國信息安全等級保護制度
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
㈨ 信息安全法的信息安全法的特徵
信息安全立法的目的是為了維護網路空間的正常秩序,保障信息網路的安全,維護當事人的合法權益。網路的全球性、技術性、虛擬性等特徵以及信息安全立法的目的決定了我國立法的基本特徵:
(一)技術性
所謂信息安全法的技術性是指,信息安全法是立足信息技術而構建的法律規范。從信息安全法的產生講,信息安全法是從網路特點、遵循網路規律而制定的一個全新的部門法。計算機網路是當事人進行活動的技術平台,網路的特徵決定了信息安全立法必須適應網路的特點、遵循網路規律。因此,我國在進行信息安全立法時,應適應網路的特點,在研究外國及國際立法的基礎上,借鑒其先進、科學的法律制度,力求達到與國際標准統一,避免因法律制度的差異而阻礙網路的應用和發展。
(二)開放性
信息安全法的開放性是指,信息安全法在具體的法律規范的設計上,表現出一定的宏觀性。針對信息安全進行立法,對目前尚無法確定的問題,盡可能在宏觀上加以規范,這樣可以保持信息安全法具有一定的開放性,給今後的發展和適用均預留一定的空間,是立足信息技術而構建的法律規范。因此信息安全立法也必須根據目前的現實情況,並預測到未來發展的需要,堅持開放性的原則,具有充分的前瞻性和預測性,保持適當的靈活性,否則便可能出現無法可依、讓罪犯逍遙法外的被動局面。
宏觀性和可操作性並不當然矛盾,對於已經確定的情況,應構建便於操作的具體規范,從維護信息安全的角度出發,保護當事人的正當權益,制定的規范便於當事人的起訴,也便於司法機關辦案。
(三)兼容性
信息安全法的兼容性是針對傳統法而言的,是指信息安全法的制度創設表現出的與現有法律體系應協調一致的特性。計算機網路構築了一個不同於以往的網路空間,在這個空間里,比特代替了原子。人們在這個空間里進行活動,必然形成新的社會關系。面對這些新的社會關系需要法律予以調整和規范的要求,建立在物理空間中的法律顯得無能為力,因而必須建立新的制度以適應網路活動的要求。但另一方面,網路畢竟不是脫離物理空間存在的獨立世界,網路只是現實世界的自然延伸和發展,就Internet來說,它是一個真實的物理結構。雖然網路在一定程度上改變了人們的行為方式,但並沒有徹底改變現行法律所賴以存在的第五章信息安全法基礎。因此信息安全立法不能完全脫離現有法律另起爐灶,而應當針對危害信息安全的新行為做出新的規定,同時又要與現有的法律相協調,尤其是基本的法學理念和法律規范仍應予以繼承,從而更好地保護當事人的合法權益。
㈩ 近幾年來我國出台的相關計算機信息安全法律法規
二○○六年十一月二十二日
最高人民法院關於修改《最高人民法院關於審理涉及計算機網路著作權糾紛案件適用法律若干問題的解釋》的決定(二)
(2006年11月20日最高人民法院審判委員會第1406次會議通過)
根據《中華人民共和國著作權法》第五十八條及《信息網路傳播權保護條例》的規定,最高人民法院審判委員會第1406次會議決定對《最高人民法院關於審理涉及計算機網路著作權糾紛案件適用法律若干問題的解釋》作如下修改:
刪去《最高人民法院關於審理涉及計算機網路著作權糾紛案件適用法律若干問題的解釋》第三條。
根據本決定對《最高人民法院關於審理涉及計算機網路著作權糾紛案件適用法律若干問題的解釋》的條文順序作相應調整後,重新公布。
最高人民法院關於審理涉及計算機網路著作權糾紛案件適用法律若干問題的解釋
法釋〔2006〕11號
(2000年11月22日最高人民法院審判委員會第1144次會議通過根據2003年12月23日最高人民法院審判委員會第1302次會議《關於修改〈最高人民法院關於審理涉及計算機網路著作權糾紛案件適用法律若干問題的解釋〉的決定》第一次修正根據2006年11月20日最高人民法院審判委員會第1406次會議《關於修改〈最高人民法院關於審理涉及計算機網路著作權糾紛案件適用法律若干問題的解釋〉的決定(二)》第二次修正)
為了正確審理涉及計算機網路著作權糾紛案件,根據民法通則、著作權法和民事訴訟法等法律的規定,對這類案件適用法律的若干問題解釋如下:
第一條 網路著作權侵權糾紛案件由侵權行為地或者被告住所地人民法院管轄。侵權行為地包括實施被訴侵權行為的網路伺服器、計算機終端等設備所在地。對難以確定侵權行為地和被告住所地的,原告發現侵權內容的計算機終端等設備所在地可以視為侵權行為地。
第二條 受著作權法保護的作品,包括著作權法第三條規定的各類作品的數字化形式。在網路環境下無法歸於著作權法第三條列舉的作品范圍,但在文學、藝術和科學領域內具有獨創性並能以某種有形形式復制的其他智力創作成果,人民法院應當予以保護。
第三條 網路服務提供者通過網路參與他人侵犯著作權行為,或者通過網路教唆、幫助他人實施侵犯著作權行為的,人民法院應當根據民法通則第一百三十條的規定,追究其與其他行為人或者直接實施侵權行為人的共同侵權責任。
第四條 提供內容服務的網路服務提供者,明知網路用戶通過網路實施侵犯他人著作權的行為,或者經著作權人提出確有證據的警告,但仍不採取移除侵權內容等措施以消除侵權後果的,人民法院應當根據民法通則第一百三十條的規定,追究其與該網路用戶的共同侵權責任。
第五條 提供內容服務的網路服務提供者,對著作權人要求其提供侵權行為人在其網路的注冊資料以追究行為人的侵權責任,無正當理由拒絕提供的,人民法院應當根據民法通則第一百零六條的規定,追究其相應的侵權責任。
第六條網路服務提供者明知專門用於故意避開或者破壞他人著作權技術保護措施的方法、設備或者材料,而上載、傳播、提供的,人民法院應當根據當事人的訴訟請求和具體案情,依照著作權法第四十七條第(六)項的規定,追究網路服務提供者的民事侵權責任。
第七條 著作權人發現侵權信息向網路服務提供者提出警告或者索要侵權行為人網路注冊資料時,不能出示身份證明、著作權權屬證明及侵權情況證明的,視為未提出警告或者未提出索要請求。
著作權人出示上述證明後網路服務提供者仍不採取措施的,著作權人可以依照著作權法第四十九條、第五十條的規定在訴前申請人民法院作出停止有關行為和財產保全、證據保全的裁定,也可以在提起訴訟時申請人民法院先行裁定停止侵害、排除妨礙、消除影響,人民法院應予准許。
第八條 網路服務提供者經著作權人提出確有證據的警告而採取移除被控侵權內容等措施,被控侵權人要求網路服務提供者承擔違約責任的,人民法院不予支持。
著作權人指控侵權不實,被控侵權人因網路服務提供者採取措施遭受損失而請求賠償的,人民法院應當判令由提出警告的人承擔賠償責任。