Noriu/CISP
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

2024年9月11日 12:06:19

Browse Source
This commit is contained in:
Noriu 2024-09-11 12:06:17 +08:00
parent 1dc1b10aa5
commit 9a059c893b
1 changed files with 150 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

152
02_第二章 网络安全监管/2.1 网络安全法律体系建设.md
View File

@ -55,7 +55,7 @@
- 数据安全防护(跨境数据流动、数据泄露处置等)
- 云计算等新技术、新业务引发的安全问题等
<span style="color:red;font-size:24px;">网络安全立法演变为全球范围内的利益协调与国家主权斗争</span>
> <span style="color:red;font-size:24px;">网络安全立法演变为全球范围内的利益协调与国家主权斗争</span>
### 三、《网络安全法》
@ -109,16 +109,164 @@
![image 2024-09-10 164619](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image%202024-09-10%20164619.png)
- **第二章 网络安全支持与促进**
- 建立和完善<span style="color:red;">网络安全标准体系</span>建设==等保2.0==
- 统筹规划,扶持<span style="color:red;">网络安全产业</span>(产品、服务等)
- 推动<span style="color:red;">社会化网络安全服务体系</span>建设
- 鼓励开发<span style="color:red;">数据安全保护和利用</span>技术、创新<span style="color:red;">网络安全管理</span>方式
- 开展<span style="color:red;">经常性网络安全宣传</span>教育
- 支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取<span style="color:red;">多种方式培养网络安全人才</span>,促进网络安全人才交流==(解决人才不足问题)==
- **第三章 网络运行安全**
- *==明确要求落实网络安全等级保护制度==*
<span style="color:red;">第二十一条</span> 国家实行<span style="color:red;">网络安全等级保护制度</span>。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定<span style="color:red;">留存相关的网络日志不少于六个月</span>
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
- *明确网络运营者的安全义务*
- <span style="color:red;">内部安全管理:</span>制定内部安全管理制度和操作规程,确定网络安全负责人;
- <span style="color:red;">安全技术措施:</span>采取防范网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存相关的网络日志不少于六个月;
- <span style="color:red;">数据安全管理:</span>采取数据分类、重要数据备份和加密等措施,防止网络数据泄露或者被窃取、篡改;
- <span style="color:red;">网络身份管理:</span>办理网络接入、域名注册服务,或固定电话、移动电话等入网手续,或为用户提供信息发布、即时通讯等服务,应要求用户提供真实身份信息;
- <span style="color:red;">应急预案机制:</span>制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并向有关主管部门报告;
- <span style="color:red;">安全协助义务:</span>为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
- *明确网络产品、服务提供者的安全义务*
- <span style="color:red;">强制标准义务:</span>网络产品、服务应当符合相关国家标准的强制性要求,不得设置恶意程序;==网络关键设备和网络安全专用产品应当按照国家相关标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供==<span style="color:red;">(例:军购)</span>
- <span style="color:red;">告知补救义务:</span>网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户,向有关主管部门报告;
- <span style="color:red;">安全维护义务:</span>网络产品、服务提供者应为产品、服务持续提供安全维护,在规定或者当事人约定的期限内不得终止;
- <span style="color:red;">个人信息保护:</span>网络产品、服务具有收集用户信息功能的,网络产品、服务提供者应向用户明示并取得同意;涉及用户个人信息的,还应遵守相关法律、行政法规中有关个人信息保护的规定。
- *明确一般性安全保护义务*
- <span style="color:red;">安全信息发布:</span>开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息、应当遵守国家有关规定;
- <span style="color:red;">禁止危害行为:</span>任何个人和组织不得从事非法侵入他人网络、干扰他人从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等;
- <span style="color:red;">信息使用规则:</span>网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
- *关键信息基础实施保护(关基)*
### 四、网络安全相关法规
1. 关键信息基础设施内涵
- 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务重要行业和领域的关键信息基础设施;
- 其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害<span style="color:red;">国家安全、国计民生、公共利益</span>的关键信息基础设施。
2. 关键信息基础设施外延
- 关键信息基础设施的具体范围由<span style="color:red;">国务院</span>制定
- 鼓励关键信息基础设施以外的网络运营者<span style="color:red;">自愿</span>参与关键信息基础设施保护体系。
3. 关键信息基础设施管理机制
- 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门具体负责实施<span style="color:red;">本行业、本领域</span>的关键信息基础设施保护工作;
- <span style="color:red;">国家网信部门</span>统筹协调有关部门对关键信息基础设施采取安全保护措施。
4. 关键信息基础设施建设要求
- 确保具有支持<span style="color:red;">业务稳定、持续运行</span>的性能
- 安全技术措施同步规划、同步建设、同步使用
5. 关键信息基础设施运营者安全保护义务
- <span style="color:red;">人员安全管理:</span>设置专门安全管理机构和安全管理负责人;对负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、培训和考核;
- <span style="color:red;">数据境内留存:</span>在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,需经国家安全评估;对重要系统和数据库进行容灾备份。
- 关键基础设施运营中产生的数据必须<span style="color:red;">境内存储</span>
- 2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法征求意见稿》公开征求意见的通知。==明确了:==
- 个人信息和重要数据<span style="color:red;">出境的范围</span>
1. 有50万人以上的个人信息
2. 数据量超过1000GB
3. 7大重要领域数据等
> 7大重要领域核设施、化学生物、国防军工、人口健康等领域的数据大型工程活动、海洋环境以及敏感地理信息数据等
- 数据出境评估原则
- 评估==7个方面==主要内容
1. 数据出境的必要性;
2. 涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
3. 涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
4. 数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
5. 数据出境及再转移后被泄露、损毁、篡改、滥用等风险;
6. 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
7. 其他需要评估的重要事项。
- <span style="color:red;">应急预案机制:</span>制定网络安全事件应急预案,并定期进行演练;
- <span style="color:red;">安全采购措施:</span>采购网络产品和服务可能影响国家安全的,应当通过国家安全审查。应与网络产品和服务提供者签订安全保密协议。
- <span style="color:red;">风险评估机制:</span>自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门。
- *明确我国实行<span style="color:red;">网络安全审查</span>制度*
<span style="color:red;">第三十五条</span> 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
- 2017年05月02日中央网信办正式发布<span style="color:red;">《网络产品和服务安全审查办法(试行)》</span>。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的机构(国家统一认定网络安全审查第三方机构)和对党政机关和重点行业的审查工作提出要求。<span style="color:red;">并于2017年6月1日同《网络安全法》一同实施</span>
- **第四章 网络信息安全**
- *重视对个人信息保护*
![image-20240911113609777](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240911113609777.png)
- *规范信息管理*
![image-20240911114324240](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240911114324240.png)
- *确定信息管理中相关职责*
![image-20240911114650093](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240911114650093.png)
- 2017年05月02日国家互联网信息办公室正式发布<span style="color:red;">《互联网新闻信息服务管理规定》国信办1号令</span>于6月1日同《网络安全法》一起实施。
==其规范了:==
- 互联网新闻信息服务的范围
- 互联网新闻信息服务的6项许可条件
- 互联网新闻信息服务提供者的责任义务
- 网信部门对互联网新闻信息服务的监督检查要求
- 相关法律责任
- **第五章 监测预警与应急处置**
- *工作制度化、法治化*
![image-20240911115339774](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240911115339774.png)
- **第六章 法律责任**
- 对违反《网络安全法》的行为,第六章规定了<span style="color:red;">民事责任、行政责任、刑事责任</span>
![image-20240911115910074](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240911115910074.png)
### 四、网络安全相关法规
#### 1、行政法相关法规
#### 2、民法相关法规
#### 3、刑法相关法规
- 出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等
#### 4、其他网络安全相关法规及条款
- 国家安全法
- 保密法
- 电子签名法
- 反恐怖主义法
- 密码法