我国信息安全立法
㈠ 简述我国为什么要制定信息安全法
1、服务于国家网络安全战略和网络强国建设
《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求,这有助于实现推进中国在国家网络安全领域明晰战略意图,确立清晰目标,厘清行为准则,不仅能够提升我国保障自身网络安全的能力,还有助于推进与其他国家和行为体就网络安全问题展开有效的战略博弈。
2、构建我国首部网络空间管辖基本法
作为国家实施网络空间管辖的第一部法律,《网络安全法》属于国家基本法律,是网络安全法制体系的重要基础。这部基本法规范了网络空间多元主体的责任义务,以法律的形式催生一个维护国家主权、安全和发展利益的“命运共同体”。具体包括,规定网络信息安全法的总体目标和基本原则;规范网络社会中不同主体所享有的权利义务及其地位;建立网站身份认证制度,实施后台实名;建立网络信息保密制度,保护网络主体的隐私权;建立行政机关对网络信息安全的监管程序和制度,规定对网络信息安全犯罪的惩治和打击;以及规定具体的诉讼救济程序等等。
3、提供维护国家网络主权的法律依据
2016年7月推出的《国家安全法》首次以法律的形式明确提出“维护国家网络空间主权”。随之应运而生的《网络安全法》是《国家安全法》在网络安全领域的体现和延伸,为我国维护网络主权、国家安全提供了最主要的法律依据。
4、服务于国家网络安全战略和网络强国建设
现如今,网络空间逐步成为世界主要国家展开竞争和战略博弈的新领域。网络信息是建设网络强国的必争之地,网络强国宏伟目标的实现离不开坚实有效的制度保障,《网络安全法》的出台意味着建设网络强国的制度保障迈出坚实的一步。
5、在网络空间领域贯彻落实依法治国精神
此次《网络安全法》破除重重障碍,拨云见日,高举依法治国大旗,开启了依法治网的崭新局面,成为依法治国顶层设计下一项共建共享的路径实践。依法治网成为我国网络空间治理的主线和引领,以法治谋求网治的长治久安。《网络安全法》还考虑到网络的开放性和互联性,加强法治工作的国际合作协调,让人类共同面临的网络犯罪无处遁形,通过科学有效、详细的法律进行惩罚和约束,达到正本清源的目的。
㈡ 信息安全法的我国制定信息安全法的必要性
(一)政府治理社会的基本需要
伴随信息技术的发展,我国社会信息化程度越来越高,并且,我们的最终目标是走向信息社会。在这个急速信息化的过程中,电子政务、电子商务、家庭上网、十二金工程等信息化计划深入推广,网络已经渗透到人们的日常生活的方方面面,信息安全已经成为社会安全和社会秩序的新领域,受到政府的高度重视。先进的技术正在不断地保障着信息安全,诸如电子签名、防病毒、反黑客、防垃圾邮件、公共安全平台等措施,为我们实施信息安全战略提供了技术上的保证。然而,风险是绝对的,安全是相对的。信息安全面临的挑战不但是技术上的风险,还有更重要的就是制度上的风险。法律是最终的解决方案,制定信息安全法是政府治理社会的基本需要。
(二)协调信息安全管理机关职责的需要
目前,我国并没有专门的信息安全机关,而是由公安部、安全部、国家保密局、国家商用密码管理办公室等协同管理。实际上,涉及信息安全工作的国家机关还远不止于此,几乎所有的部委和行业主管部门都在根据自己的职责管理相关的部分。这个看似庞大的规模和队伍,需要统一和协调。制定信息安全法,明确管理机关的责权利,是保障信息安全的重要内容。
(三)规范网络行为的需要
信息安全问题,实质是网络行为是否符合社会规范的问题。在信息网络上,黑客、病毒和垃圾邮件并称为“三大公害”,极大地影响了我国网络运行的正常秩序。有关统计数据显示,我国95%的与因特网相连的网络管理中心都遭到国内外黑客的攻击或入侵,其中银行、金融和证券机构是攻击重点。这些犯罪行为往往会给社会经济和国家安全造成灾难性的后果。制定统一的信息安全法,为网络信息提供规范,可以震慑犯罪,净化网络空间。
(四)完善法律自身的需要
自1994年以来,我国先后颁布了一系列有关计算机及国际互联网络的法规、部门规章或条例,这些信息安全立法,许多内容已明显滞后,并且有的内容还相互冲突、抵触。1997年修订的《刑法》中的有关条款,也难以适应现实的诸多需要。因此,制定信息安全法,废止过时的或者相互抵触的行政法规,非但不会打乱现行法律体系,而且能够减少现有信息安全法律和法规的冲突和抵触,是社会信息化过程中,法律自身健康发展的需要。
㈢ 网络信息安全相关法律法规都有什么
《信息安来全标准与法律法规》主要以自高等学校信息安全、公安及计算机专业学生为对象,在介绍信息安全和法律相关基础上,重点分三部分(信息系统安全保护相关法律法规、互联网络安全管理相关法律法规和其他有关信息安全法律法规),结合典型案例,系统讲授了我国信息安全的相关法律法规,同时详细介绍了国际国内与信息安全相关的主要标准。
㈣ 信息法律的我国信息法律的建设
(1)我国信息立法的现状
我国在信息产权方面的立法,先后颁布实施了《商标法》、《专利法》、《著作权法》、斛算机软件保护条例》、《计算机软件著作权登记办法》、《关于制作数字化制品的著作权规定》等等。同时为与国际信息市场接轨,我国先后加入了世界知识产权组织及《保护工业产权巴黎公约》、《世界版权公约》、《商标国际注册马镕里协定》、《保护文学和艺术作品伯尼尔公约》、《专利合作条约》等国际性知识产权保护公约。
在信息安全与保护方面的立法上已经制定了《保守国家秘密法》、《档案法》以及各部委制定的相关法规。如国家科技部的《科学技术保密条例》,国家保密局和新闻出版署等共同颁布的《新闻出版保密规定》,以及国务院颁布的《计算机信息系统安全保护条例》等。
在信息市场方面的立法,先后颁布实施了《技术合同法》、《反不正当竞争法》、《广告法》。
在计算机网络的管理方面,有《计算机信息网络国际联网管理暂行规定》、《中国互联网络域名注册暂行管理办法》、《计算机信息网络国际联网管理暂行规定实施办法》、《关于维护互联网安全的决定》等。
在促进产业发展方面,颁布了《中华人民共和国电信条例》、《软件企业认定标准及管理办法》、《软件产品管理办法》等。
(2)我国信息立法存在的问题
第一,信息立法还缺乏整体的体系架构,表现在:没有统一的有关信息立法的主管部门;信息法律尚未成为法律体系中的独立分支;对信息法学还缺少深入的理论研究;法律的制定和执行条块分割严重,很多颁布的法律仍带有鲜明的部门特色。
第二,从现有具体的法律内容上看,存在不少缺漏。如在《合同法》中,涉及电子合同的规范不到200字,已经严重落伍于电子商务发展的需求。在网络信息市场的法律方面基本上空白,缺乏明确的交易规则、合理的价格体系和具体可行的信息行业标准和行为规范,对网络市场中的垄断行为和不正当竞争行为也没有明确的界定,对信息污染也没有一个明确的处罚标准。
第三,对民众的信息普法工作还很薄弱。整个国民的信息守法、维权意识淡薄。
(3)我国信息立法的对策
针对我国的现状,未来信息立法的重点是:抓紧对现有法律、法规的修订,适应国家信息化发展的需要;抓紧制定和出台各种法规及配套的管理条例,以形成较完善的法规体系,通过法律手段营造一个公平、合理、有序的竞争环境,还要加快建立、健全相关的执法体系和监督体系。
未来信息立法的法制体系框架应主要包含以下内容:
①关于信息获取的法律。该法律系列是用来规范机构、个人获取信息的权利和义务,包括信息的采集、存储、传递和利用。
②关于知识产权保护的法律。随着WTO进程的深化,如何在全球知识产权规则下既要尊重他国法规又要加强自我保护是我们亟待解决的问题,因此,关于著作权、版权、商标、集成电路和新生物物种等方面的知识产权问题都需要在未来信息法律体系中予以考虑。
③关于信息安全、反信息犯罪的法律。需要整合目前零散的关于信息安全的规定、信息犯罪的界定,出台完整的信息安全和反信息犯罪的法律。
④关于电子商务的法律系列。电子商务作为未来商业模式的重要发展方向,要保证并促进其健康发展必须法制先行。在电子商务的法律系列中要包括:电子商务的交易法规、主体法规、市场秩序的法规,电子商务的知识产权法规、安全保密法规,电子商务金融法规,等等。
⑤关于共享信息资源和信息服务的法律。要规定关于作为公共财富的信息资源如何保护和获取的问题,以及关于信息提供服务、传递服务、内容制作、信息咨询服务等的管理条例或法规。
㈤ 我国的信息安全网络体系坚持什么方针
我国的信息安全网络体系坚持积极利用、科学发展、依法管理、确保安全的16字方针,加大依法管理网络的力度,不断健全网络安全的保障体系。
一是积极推动网络信息安全立法工作。组织制定信息安全检查、信息安全管理、通信网络安全防护、互联网安全接入等急需的标准,推动制定相关法律法规,做到有法可依、依法办事。
二是加快完善信息安全审查制度框架。有计划地开展信息安全审查试点,特别是要加强政府部门云计算服务的信息安全管理,组织实施党政机关互联网安全接入工程和重点领域信息安全检查。
三是强化信息安全基础设施和技术手段体系化建设。进一步巩固提升电话用户实名登记工作,开展地下黑色产业链等网络安全环境的治理,特别是抓好木马、僵尸等病毒的防范,进一步加强对钓鱼网站、移动恶意程序等网络攻击威胁的监测和处理工作,同时配合公安机关开展源头打击,实现标本兼治。
四是扶持和壮大网络与信息安全产业。重点支持网络与信息安全关键核心技术的突破,加强应用试点示范,发展信息安全产品和服务,构建全产业链协同发展的格局。五是推动网络空间国际交流与合作。在网络安全的技术、信息共享、跨境安全事件处置等方面加强国际合作,加强网络与信息安全的宣传教育,组织开展网络安全宣传周等项活动,提升全社会网络安全意识和自我保护能力。
㈥ 我国信息安全管理的现状、问题及其对策
我国信息安全管理的现状、问题及其对策
摘要:信息安全是国家安全的基础和关键。在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。本文分析了信息安全管理的现状,并着重讨论了加强信息安全管理的策略。
关键词:信息安全;管理;现状;策略
信息安全管理是随着信息和信息安金的发展而发展的。在信息社会中,一方面信息已经成为人类的重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,这样将使组织在业务运作过程巾面临巨大的风险。这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞, 以及大量存在于组织内外的各种威胁, 因此对信启、系统需要加以严格管理和妥善保护,信息安全管理也随之产生。
1、国内信息安全管理现状
1.1在国家宏观信息安全管理方面的问题
(1)法律法规问题。健全的信息安 法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线。我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系,对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷,一是现有的法律法规存在不完善的地方,如法律法规之间有内容重复交叉, 同一行为有多个行政处罚主体,有的规章与行政法规相互抵触,处罚幅度不�6�8一致;二是法律法规建设跟不上信息技术发展的需要,这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法律法规缺乏。
(2)管理问题。管理包括三个层次的内容:组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之问,要有明确的分工,以避免“政出多门”和“政策拉车”现象的发生。需要建立切实可行的规章制度,即进行制度建设,以保证信息安全。如对人的管理,需要解决多人负责、责仔到人的问题,任期有限的问题,职责分离的问题,最小权限的问题等。有了组织机构和相应的制度,还需要领导的高度重视和群防群治,即强化人员的安全意识,这需要信息安全意识的教育和培训,以及对信息安伞问题的高度重视。
(3)国家信息基础设施建设问题。目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。关于国家信息基础设施方面存在的问题已引起国家的高度重视。如“十五”期问,国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目;2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求:电信产品软件商不能在软件上预留“后门”,外国供货商不能远程登录中国电信商的操作系统,高级 管系统要用国内可靠机构开发的软件产品。
1.2我国在微观信息安全管理方面存在的问题主要表现
(1)缺乏信息安全意识与明确的信息安全方针。大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足,或者仅局限于IT方面的安全,没有形成一个合理的信息安拿方针来指导组织的信息安全管理工作,这表现为缺乏完整的信息安全管理制度,缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训,现有的安全规章组织未必能严格实施等。
(2)重视安全技术,轻视安全管理。目前组织普遍采用现代通信、计算机和网络技术来构建信息系统,以提高组织效碍暑与竞争能力,但相应的管理措施不到位,如系统的运行、维护和开发等岗位不清,职责不分,存在一人身兼数职现象。
(3)安全管理缺乏系统管理的思想。大多数组织现有的安全管理模式仍是传统的管理方法,出现了问题才去想补救的办法,是一种就事论事、静态的管理,不是建立在安全风险评估基础上的动态的持续改进管理方法。
2、国外信息安全管理现状
国际上信息安全管理近几年的发展主要包括以下几个方面。
(1)制订信息安全发展战略和计划。制订发展战略和计划是发达国家一贯的作法。美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。
(2)加强信息安全立法,实现统一和规范管理。以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站,美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1O月5日美参议院通过了《互联网网络完备性及关键设备保护法案》。2000年9月,俄罗斯实施了关于网络信息安全的法律。
(3)步入标准化与系统化管理时代。随着2O世纪8O年代IS09000质量管理标准的出现及随后在全世界的推广应用,系统管理的思想在其他管理领域也被借鉴与采用,信息安全管理也同样在2O世纪9O年代步入了标准化与系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准,该标准于2000年被国际标准化组织认可为国际标准ISO/IEC17799。现在该标准已引起许多国家与地区的重视,在一些国家已经被推广与应用;组织贯彻实施该标准可以对信息安全风险进行全面系统的管理,从而实现组织信息安全。与此同时,其他国家以及组织也提出了很多与信息安全管理相关的标准。
3、加强信息安全管理的策略
随着国民经济和社会信息化进程的全面加快,信息安全管理工作面临着越来越严峻的形势和挑战。从总体上看,当前,我国的信息安全管理工作尚处于起步阶段,基础薄弱,水平不高,存在许多亟待解决的问题,我们要以全局性的眼光,加强信息安全的组织管理工作。
(1)建立集中统一、分工协作、各司其职的信息安全管理机制。信息安伞保障的关键在于组织领导,要从根本上加强我国的信息安全保障工作,必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。一是国家应建立能够协调维护各种安全利益的综合职能机构,成立有高度权威的国家信息安全委员会,作为国务院信息化领导小组的常设委员会, 以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状;二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,按照“谁主管、谁负责”的原则,共同履行信息安全管理的职责;三是尽早建立省、市两级比较完善的信息安全领导管理体系, 以便积极调动各种资源主动配合和协调信息安全保障工作,形成纵横结合的信息安全协调与信息共享机制; 四是充分调动政府、企业和个人的积极性,实现有机联动,形成合力,共同构筑国家信息安全保障体系;五是健全和完善信息安全责任体系,要求各部门、各单位明确信息安全工作负责人,配备相应的信息安全员,把信息安全责任真正落实到人。
(2)加强信息安全法制建设,为信息安全管理提供执法依据。作为信息安全保障体系的重要部分,相关法律法规和标准体系的建设已经势在必行。下一步,应着力建立健全信息安全法律法规体系;同时,要注重和加强信息安全执法队伍的建设;各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行,正确行使权力和履行职责,保护企业和公民的合法权益,打击网络违法犯罪;各有关主管部门和运营单位要积极支持执法机关工作,履行应尽的义务;社会团体、企业和个人要认真履行法律规定的信息安全责任和义务,在信息网络环境中依法开展活动。
(3)采取有效措施,积极推进信息安全等级保护工作的顺利开展。实行信息安全等级保护是国家解决信息安全保护问题的基本政策。信息安全等级保护是信息系统的社会价值和经济价值保护的客观要求,即按信息的敏感和重要程度、系统应用性质和资严价值、部门重要程度,分级采取科学、合理的保护措施;对于涉及国计民生的国家关键信息基础设施应分级加以重点保护;适度保护,效费合理,避免盲目和浪费。国家实行信息安全等级保护,必须从总体战略角度考虑,把握关键环节,建立长效保护机制。当前,信息安全等级保护的试点工作已积累了一定的经验,为推动信息安全等级保护工作的伞面开展,应着力做好以下几个方面的工作:明确信息系统等级保护各方责任;制定各项信息安全等级保护管理制度;制定、完善信息安全等级保护管理规范和技术标准体系;依托社会技术力量,组建技术支撑体系;研制开发信息安全等级保护备案、检测、评估信息系统和技术
工具;加强宣传、培训工作等等。
(4)努力探索,创立新形势下的信息网络违法犯罪防范打击体系。近年来,我国在打击网络违法犯罪方面做了大量的工作,也取得了很火的成绩,但是随着信息技术的不断发展,网络违法犯罪的形式更加多样化,技术手段更加先进,这就要求我们不断建立健全信息网络违法犯罪防范打击体系, 以执法职能部门为主体,动员社会各方力量,运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪的行政执法和刑事执法体系,提高对信息网络违法犯罪的防范、控制和侦查、打击能力。重点要做好以下四方面机制建设:一是全社会防范控制机制。二是统一指挥、快速反应的侦查机制。三是有关部门、单位的支持、配合机制。四是公检法三机关的协调、协作机制。
㈦ 我国信息安全保密法律体系具有哪些特征
目前我国信息安全法律体系的主要特点
通过对目前我国现行信息安全相关法律法规的整理分析,我们可以初步概括出目前我国信息安全法律体系的主要特点:
1、信息安全法律法规体系初步形成
目前我国现行法律法规及规章中,与信息安全直接相关的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,在文件形式上,有法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。
其中,全面规范信息安全的法律法规有18部,包括94年的《中华人民共和国计算机信息系统安全保护条例》等法规,也包括2003年的《广东省计算机信息系统安全保护管理规定》,98年的《重庆市计算机信息系统安全保护条例》等地方法规;侧重于互联网安全的有7部,包括2000年《全国人民代表大会常务委员会关于维护互联网安全的决定》等法律层面的文件,也包括97年的《计算机信息网络国际联网安全保护管理办法》等部门规章;侧重于信息安全系统与产品的有3部,包括97年的《计算机信息系统安全专用产品检测和销售许可证管理办法》等部门规章;侧重于保密的有10部,既包括89年的《中华人民共和国保守国家秘密法》等法律,也包括98年的《计算机信息系统保密管理暂行规定》、2000年的《计算机信息系统国际联网保密管理规定》、97年的《农业部计算机信息网络系统安全保密管理暂行规定》等部门规章;侧重于密码管理及应用的有5部,包括99年的《商用密码管理条例》等法规,也包括2005年的《电子认证服务管理办法》、《电子认证服务密码管理办法》等部门规章,还包括2002年的《上海市数字认证管理办法》、2001年的《海南省数字证书认证管理试行办法》等地方法规或规章;侧重于计算机病毒与危害性程序防治的有9部,包括2000年的《计算机病毒防治管理办法》等部门规章,也包括94年的《北京市计算机信息系统病毒预防和控制管理办法》、2002年的《天津市预防和控制计算机病毒办法》等地方法规或规章;侧重于特定领域信息安全的有9部,包括98年的《金融机构计算机信息安全保护工作暂行规定》、2003年的《铁路计算机信息系统安全保护办法》、2005年的《证券期货业信息安全保障管理暂行办法》等部门规章,也包括2003年的《广东省电子政务信息安全管理暂行办法》等地方法规或规章;侧重于信息安全监管的有3部,包括2004年的《上海市信息系统安全测评管理办法》等地方法规或规章;侧重于信息安全犯罪处罚的主要是我国刑法第285条、286条、287条等相关规定。
总体来看,这些信息安全法律法规或多或少所体现的我国信息安全的基本原则可以简单归纳为国家安全、单位安全和个人安全相结合的原则,等级保护的原则,保障信息权利的原则,救济原则,依法监管的原则,技术中立原则,权利与义务统一的原则;而基本制度可以简单归纳为统一领导与分工负责制度,等级保护制度,技术检测与风险评估制度,安全产品认证制度,生产销售许可制度,信息安全通报制度,备份制度等。
2、与信息安全相关的司法和行政管理体系迅速完善
有了《中华人民共和国刑法》第217、218、285、286、287、288条、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《电信条例》、《互联网信息服务管理办法》等法律依据,有了《最高人民法院最高人民检察院关于办理利用互联网、移动通讯端、声讯台制作、复制、出版、贩卖、传播、淫秽电子信息刑事案件具体应用法律若干问题的解释》等司法解释,一些危害信息安全的案例迅速得到裁判,如广州市中级人民法院裁判的吕薛文破坏计算机信息系统案、乌鲁木齐市中级人民法院裁判的何朴利用其担任银行计算机操作员的职务便利贪污巨额公款案等,震慑了违法犯罪分子,维护了计算机信息网络的正常秩序。
经过多年的工作,在我国信息安全行政管理方面,信息安全保障体系建设也已初见成效,与信息安全法律法规体系相配套的标准体系建设、应急处理体系建设、等级保护体系建设、电子认证体系建设、安全测评体系建设、计算机病毒疫情调查和控制体系建设以及违法和不良信息举报制度建设等都得到较快的发展,为电子政务、电子商务及信息化做出了贡献。
3、目前法律规定中法律少而规章等偏多,缺乏信息安全的基本法。
虽然可以说目前我国信息安全的法律体系已初步形成,但还很不成熟,在这一体系中,部门规章、地方法规及规章等占了绝大多数,而法律、法规只占到65部中的8部,为12%。部门规章、地方法规及规章等效力层级较低,适用范围有限,相互之间可能产生冲突,也不能作为法院裁判的依据,直接影响了这些措施的效果。并且十分关键的是,目前我们还没有一部信息安全的基本法,对于信息安全的基本法,我们理解为一部确立信息安全的基本原则、基本制度及一些核心内容的法律,而我们前面提到的很多规定都应是从这部法律的基本框架中延伸出来的,只有有了这部法律,我们的信息安全法律体系才能说是有了主干。国外类似的法律如美国2002年的《联邦信息安全管理法》、87年的《计算机安全法案》、俄罗斯95年的《联邦信息、信息化和信息保护法》等。
4、相关法律规定篇幅偏小,行为规范较简单。
我国现有信息安全相关法律规定普遍存在的问题是篇幅较小,规定得比较笼统,比如《全国人民代表大会常务委员会关于维护互联网安全的决定》共7条,《中华人民共和国计算机信息系统安全保护条例》共31条,《中华人民共和国计算机信息网络国际联网管理暂行规定》共17条,《计算机信息网络国际联网安全保护管理办法》(公安部)共25条,《互联网信息服务管理办法》共27条,《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部)共26条,《商用密码管理条例》共27条,《计算机信息系统国际联网保密管理规定》(国家保密局)共20条,《计算机病毒防治管理办法》(公安部)为22条。
此外,总体看来,目前这些法律法规主要存在三个方面有待完善的地方:第一,这些法律法规主要内容集中在对物理环境的要求、行政管理的要求等方面,对于涉及信息安全的行为规范一般都规定的比较简单,在具体执行上指引性还不是很强;第二,目前这些法律法规普遍在处罚措施方面规定得不够具体,导致在信息安全领域实施处罚时法律依据的不足;第三,在一些特定的信息化应用领域,如电子商务、电子政务、网上支付等,相应的信息安全规范相对欠缺,有待于进一步发展。
5、与信息安全相关的其他法律有待完善
在建立健全信息安全法律体系的同时,与信息安全相关的其他法律法规的出台和完善也非常必要,如电信法、个人数据保护法等,这些法律法规与信息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。
在这里,我们还可以简单理一下这个大信息安全法律环境的脉络:
首先,从权利的角度看,信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权,而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法,与隐私权相关的法律是民法通则,与著作权及相关知识产权相关的法律是著作权法、合同法,此外,还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法;信息安全中涉及的单位的权利主要包括商业秘密、技术秘密、著作权及相关知识产权等,而与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法,与著作权及相关知识产权相关的法律有著作权法、合同法,此外,还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法;再从国家的角度看,信息安全涉及国家安全、保密和金融安全等,与国家安全相关的法律是国家安全法,与保密相关的法律是保守国家秘密法,与金融安全相关的法律是银行法。
其次,从应用的角度看,与信息安全相邻或相交的领域包括:电信、无线电、集成电路、计算机软件与系统集成、网络及网络信息服务、电子商务与现代物流、电子政务、信息资源公开、利用等。在这些领域我们又可以看到电信条例、无线电管理条例、集成电路布图设计保护条例、计算机软件保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、互联网信息服务管理办法、互联网上网服务营业场所管理条例、电子签名法等一系列法律、法规、部门规章及地方法规、规章。
㈧ 论述我国信息安全等级保护制度
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
网络安全等级保护备案办理流程:
一步:定级;(定级是等级保护的首要环节)
二步:备案;(备案是等级保护的核心)
三步:建设整改;(建设整改是等级保护工作落实的关键)
四步:等级测评;(等级测评是评价安全保护状况的方法)
五步:监督检查。(监督检查是保护能力不断提高的保障)
证书案例
㈨ 信息安全法的信息安全法的特征
信息安全立法的目的是为了维护网络空间的正常秩序,保障信息网络的安全,维护当事人的合法权益。网络的全球性、技术性、虚拟性等特征以及信息安全立法的目的决定了我国立法的基本特征:
(一)技术性
所谓信息安全法的技术性是指,信息安全法是立足信息技术而构建的法律规范。从信息安全法的产生讲,信息安全法是从网络特点、遵循网络规律而制定的一个全新的部门法。计算机网络是当事人进行活动的技术平台,网络的特征决定了信息安全立法必须适应网络的特点、遵循网络规律。因此,我国在进行信息安全立法时,应适应网络的特点,在研究外国及国际立法的基础上,借鉴其先进、科学的法律制度,力求达到与国际标准统一,避免因法律制度的差异而阻碍网络的应用和发展。
(二)开放性
信息安全法的开放性是指,信息安全法在具体的法律规范的设计上,表现出一定的宏观性。针对信息安全进行立法,对目前尚无法确定的问题,尽可能在宏观上加以规范,这样可以保持信息安全法具有一定的开放性,给今后的发展和适用均预留一定的空间,是立足信息技术而构建的法律规范。因此信息安全立法也必须根据目前的现实情况,并预测到未来发展的需要,坚持开放性的原则,具有充分的前瞻性和预测性,保持适当的灵活性,否则便可能出现无法可依、让罪犯逍遥法外的被动局面。
宏观性和可操作性并不当然矛盾,对于已经确定的情况,应构建便于操作的具体规范,从维护信息安全的角度出发,保护当事人的正当权益,制定的规范便于当事人的起诉,也便于司法机关办案。
(三)兼容性
信息安全法的兼容性是针对传统法而言的,是指信息安全法的制度创设表现出的与现有法律体系应协调一致的特性。计算机网络构筑了一个不同于以往的网络空间,在这个空间里,比特代替了原子。人们在这个空间里进行活动,必然形成新的社会关系。面对这些新的社会关系需要法律予以调整和规范的要求,建立在物理空间中的法律显得无能为力,因而必须建立新的制度以适应网络活动的要求。但另一方面,网络毕竟不是脱离物理空间存在的独立世界,网络只是现实世界的自然延伸和发展,就Internet来说,它是一个真实的物理结构。虽然网络在一定程度上改变了人们的行为方式,但并没有彻底改变现行法律所赖以存在的第五章信息安全法基础。因此信息安全立法不能完全脱离现有法律另起炉灶,而应当针对危害信息安全的新行为做出新的规定,同时又要与现有的法律相协调,尤其是基本的法学理念和法律规范仍应予以继承,从而更好地保护当事人的合法权益。
㈩ 近几年来我国出台的相关计算机信息安全法律法规
二○○六年十一月二十二日
最高人民法院关于修改《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》的决定(二)
(2006年11月20日最高人民法院审判委员会第1406次会议通过)
根据《中华人民共和国著作权法》第五十八条及《信息网络传播权保护条例》的规定,最高人民法院审判委员会第1406次会议决定对《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》作如下修改:
删去《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第三条。
根据本决定对《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》的条文顺序作相应调整后,重新公布。
最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释
法释〔2006〕11号
(2000年11月22日最高人民法院审判委员会第1144次会议通过根据2003年12月23日最高人民法院审判委员会第1302次会议《关于修改〈最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释〉的决定》第一次修正根据2006年11月20日最高人民法院审判委员会第1406次会议《关于修改〈最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释〉的决定(二)》第二次修正)
为了正确审理涉及计算机网络著作权纠纷案件,根据民法通则、著作权法和民事诉讼法等法律的规定,对这类案件适用法律的若干问题解释如下:
第一条 网络著作权侵权纠纷案件由侵权行为地或者被告住所地人民法院管辖。侵权行为地包括实施被诉侵权行为的网络服务器、计算机终端等设备所在地。对难以确定侵权行为地和被告住所地的,原告发现侵权内容的计算机终端等设备所在地可以视为侵权行为地。
第二条 受著作权法保护的作品,包括著作权法第三条规定的各类作品的数字化形式。在网络环境下无法归于著作权法第三条列举的作品范围,但在文学、艺术和科学领域内具有独创性并能以某种有形形式复制的其他智力创作成果,人民法院应当予以保护。
第三条 网络服务提供者通过网络参与他人侵犯著作权行为,或者通过网络教唆、帮助他人实施侵犯著作权行为的,人民法院应当根据民法通则第一百三十条的规定,追究其与其他行为人或者直接实施侵权行为人的共同侵权责任。
第四条 提供内容服务的网络服务提供者,明知网络用户通过网络实施侵犯他人著作权的行为,或者经著作权人提出确有证据的警告,但仍不采取移除侵权内容等措施以消除侵权后果的,人民法院应当根据民法通则第一百三十条的规定,追究其与该网络用户的共同侵权责任。
第五条 提供内容服务的网络服务提供者,对著作权人要求其提供侵权行为人在其网络的注册资料以追究行为人的侵权责任,无正当理由拒绝提供的,人民法院应当根据民法通则第一百零六条的规定,追究其相应的侵权责任。
第六条网络服务提供者明知专门用于故意避开或者破坏他人著作权技术保护措施的方法、设备或者材料,而上载、传播、提供的,人民法院应当根据当事人的诉讼请求和具体案情,依照著作权法第四十七条第(六)项的规定,追究网络服务提供者的民事侵权责任。
第七条 著作权人发现侵权信息向网络服务提供者提出警告或者索要侵权行为人网络注册资料时,不能出示身份证明、著作权权属证明及侵权情况证明的,视为未提出警告或者未提出索要请求。
著作权人出示上述证明后网络服务提供者仍不采取措施的,著作权人可以依照著作权法第四十九条、第五十条的规定在诉前申请人民法院作出停止有关行为和财产保全、证据保全的裁定,也可以在提起诉讼时申请人民法院先行裁定停止侵害、排除妨碍、消除影响,人民法院应予准许。
第八条 网络服务提供者经著作权人提出确有证据的警告而采取移除被控侵权内容等措施,被控侵权人要求网络服务提供者承担违约责任的,人民法院不予支持。
著作权人指控侵权不实,被控侵权人因网络服务提供者采取措施遭受损失而请求赔偿的,人民法院应当判令由提出警告的人承担赔偿责任。