1. 背景介绍
网络信息安全方面的法规在全球范围内都有相应的立法,我们主要的立法有《网络安全法》、《密码法》、《数据安全法》以及《个人信息保护法》。当前也有一些相关的条例和管理办法,接下来就为大家一一介绍。
2. 法规介绍
在中国,网络与信息安全方面的法规主要有以下九个。分别是《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》、《反恐怖主义法》、《电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《关键信息基础设施安全保护条例》。
若对以上法律法规具体条款感兴趣,可以打包下载法规高清文档:
- 中国网安九大法规文件汇总.zip (访问密码: 6277)
2.1. 网络安全法
为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
- 生效时间:2017年6月1日
- 主要内容:网络安全法是中国首部全面规范网络安全管理的法律,涵盖了网络安全的基本要求、关键信息基础设施的保护、网络运营者的安全义务、个人信息和数据保护、监督管理等方面。
2.2. 数据安全法
为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
- 生效时间:2021年9月1日
- 主要内容:数据安全法旨在规范数据处理活动,保障数据安全,促进数据的开发利用,保护个人信息权益,维护国家安全和公共利益。
2.3. 个人信息保护法
为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
- 生效时间:2021年11月1日
- 主要内容:个人信息保护法是中国专门针对个人信息保护制定的法律,旨在规范个人信息处理活动,保护个人信息权益,促进合理利用个人信息。
2.4. 密码法
为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
- 生效时间:2020年1月1日
- 主要内容:国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
2.5. 反恐怖主义法
为了防范和惩治恐怖活动,加强反恐怖主义工作,维护国家安全、公共安全和人民生命财产安全,根据宪法,制定本法。
- 生效时间:2016年1月1日
- 主要内容:反恐怖主义法规定了网络信息技术的支持和协助反恐怖工作的义务,包括网络信息内容的监控、审查和报告机制。
2.6. 电信条例
为了规范电信市场秩序,维护电信用户和电信业务经营者的合法权益,保
障电信网络和信息的安全,促进电信业的健康发展,制定本条例。
- 生效时间:2000年9月25日,后有修订( 2005年08月06日)。
- 主要内容:电信条例规定了电信业务经营和电信网络管理的基本规则,包括用户信息保护、网络安全和信息服务管理等。
2.7. 计算机信息网络国际联网安全保护管理办法
为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。
- 生效时间:1997年12月30日
- 主要内容:该办法规定了计算机信息网络国际联网的安全保护要求,包括信息发布、网络安全防护和监督管理等。
2.8. 互联网信息服务管理办法
- 生效时间:2000年9月25日
- 主要内容:互联网信息服务管理办法规定了互联网信息服务的许可、监督、管理等方面的要求。
2.9. 关键信息基础设施安全保护条例
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。此《关键信息基础设施安全保护条例》的出台,是对网络安全法中关于关键信息基础设施运行安全要求的进一步细化和补充。
- 生效时间:2021年9月1
- 主要内容:该条例草案旨在加强关键信息基础设施的安全保护,规定了关键信息基础设施的确定、安全保护义务、监督管理等,推进关键信息基础设施安全保护各项工作的落实,切实保障我国关键信息基础设施安全,维护网络安全。
3. 技术标准
技术标准是安全建设的尺子。我国目前已经建立了一个与《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等法律规范相协调的标准体系。这个体系在确保网络空间的安全和促进网络治理结构的转型中,起到了至关重要的基础性、规范性、指导性作用。
以下介绍 5 个应用最为广泛的现行技术标准,这些标准涵盖了从术语定义到技术要求、风险评估和行业实施指南等多个方面。 帮助各类组织和企业建立和维护安全的网络环境。
3.1. GB/T 25069-2022 信息安全技术 术语
- 标准描述:规定了信息安全领域的基本术语和定义。
- 下载链接:GB/T 25069-2022 信息安全技术 术语.pdf
3.2. GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
- 标准描述:规定了网络与信息系统安全风险评估的规范和方法。
- 下载链接:GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南.pdf
3.3. GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
- 标准描述:规定了网络安全等级保护的基本要求,包括管理、物理、网络、主机、应用和数据等方面。
- 下载链接:GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求.pdf
3.4. GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
- 标准描述:规定了网络安全等级保护测评的要求和方法。
- 下载链接:GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf
3.5. GB/T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南
- 标准描述:规定了网络安全等级保护的技术要求。
- 下载链接:GB/T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南.pdf
4. 小结
以上法规构成了中国网络信息安全的法律框架,旨在保护网络空间的安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。随着技术的发展和社会的变化,相关法律法规也会不断更新和完善。