网络相关法律介绍
“没有网络安全就没有国家安全”。近几年,我国相继出台《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》,为我国网络信息系统的安全提供了法律依据。
一、中华人民共和国国家安全法
中华人民共和国国家安全法,是为了维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴,根据《中华人民共和国宪法》制定。
2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。法律对政治安全、国土安全、军事安全、文化安全、科技安全等11个领域的国家安全任务进行了明确,共7章84条,自2015年7月1日起施行。
二、中华人民共和国网络安全法(等保)
《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自2017年6月1日起施行。其中,第二十一条有如下的规定。
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
注:就是中华人民共和国网络安全法提出了网络实行等级保护的概念。
2.1 等级保护制度的发展过程
它经过了等保1.0至等保2.0的发展历程。
2007年6月,公安部发布《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动。
等级保护1.0的主要标准是:
《信息系统安全等级保护基本要求 GB/T22239-2008》
《信息系统等级保护安全设计要求 GB/T25070-2010》
《信息系统安全等级保护测评要求 GB/T28448-2012》
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准(2019年12月1日起实施),熟称等级保护2.0标准:
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
2.2 等级保护的级别
根据信息系统受到破坏后,对公民、法人和其他组织的合法权益,以及对公共利益、社会秩序和国家安全的损害程度,等级保护分为五级:
第一级:自主保护级
第二级:指导保护级
第三级:监督保护级
第四级:*制保护级
第五级:专控保护级
2.3 等保2.0与等保1.0的差异
三、中华人民共和国网络安全法(分保)
《中华人民共和国保守国家秘密法》(2010年4月29日修订,2010年10月1日起实施)第二十三条规定:存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
注:就是中华人民共和国保守国家秘密法提出了按涉密程度实行分级保护。
3.1 分保的发展
涉密信息系统的分级保护依据《中华人民共和国保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)等法律法规开展。
3.1分保的级别
涉密信息系统的等级分为秘密级、机密级、绝密级三个级别。
《中华人民共和国保守国家秘密法》第九条规定:下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
(一) 国家事务重大决策中的秘密事项;
(二)国防建设和武装力量活动中的秘密事项;
(三) 外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
(四) 国民经济和社会发展中的秘密事项;
(五)科学技术中的秘密事项;
(六) 维护国家安全活动和追查刑事犯罪中的秘密事项;
(七) 经国家保密行政管理部门确定的其他秘密事项。
政党的秘密事项中符合前款规定的,属于国家秘密。
《中华人民共和国保守国家秘密法》第十三条规定:中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家秘密;设区的市、自治州一级的机关及其授权的机关、单位可以确定机密级和秘密级国家秘密。
四、中华人民共和国网络安全法(关保)
第三十一条:国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
注:就是中华人民共和国网络安全法提出了关键信息基础设施的概念。
《关键信息基础设施安全保护条例》(2021年7月30日国务院令第745号公布,2021年9月1日起施行)第二条规定:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
4.1 关保的发展过程
2017年7月10日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》;
2019至2021年,《关键信息基础设施安全保护条例》连续三年纳入国家立法计划;
2021年4月27日,经国务院第133次常务会议通过;
2021年7月30日,国务院总理***签署中华人民共和国国务院令第745号公布,自2021年9月1日起施行。
4.2 关保的内容
《关键信息基础设施安全保护条例》第五条规定:国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
“关保”由国家网信部门统筹协调;国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
五、中华人民共和国密码法
《中华人民共和国密码法》(2020年1月1日起实施)所述的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
商用密码用于保护不属于国家秘密的信息。
《中华人民共和国密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
5.1 密评的发展
《商用密码应用安全性评估管理办法(试行)》(2017年4月22日起施行)
《信息系统密码应用基本要求》(GM/T 0054-2018 )
5.2 密评的对象
商用密码应用安全性评估的对象包括:
(1)基础信息网络:电信网、广播电视网、互联网;
(2) 涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;
(3) 重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
(4) 面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
(5)关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。
5.3 密评的内容
对采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性、有效性进行评估。
5.3.1 密码应用合规性:
使用的密码算法、密码技术符合法律法规和国家标准、行业标准的有关要求;
使用的密码产品、密码模块通过国家密码管理部门核准;
使用的密码服务符合国家密码管理要求;
5.3.2 密码应用正确性:
密码算法、密码协议、密钥管理、密码产品和服务使用正确;
系统中采用标准的密码算法、协议、密钥管理,按照国家和行业标准进行正确的设计和实现;
自定义密码协议、密钥管理机制的设计和实现正确,符合标准要求;
密码保障系统建设改造过程中密码产品和服务的部署和应用正确;
5.3.3 密码应用有效性:
系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制设计合理,在系统运行过程中能够发挥密码作用,保障信息的机密性、完整性、真实性、不可否认性。
商用密码应用安全性评估主要从:总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。
六、中华人民共和国数据安全法
《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,现予公布,自2021年9月1日起施行。
