国内信息安全行业常见法律法规介绍及个人理解
国内信息安全行业常见法律法规介绍及个人理解
- 前言
- 网络安全法
- 等保
- 分保
- 数据安全法
前言
法律法规,尤其是上位法(相对)是咬文嚼字、晦涩难懂的,常常阅读过后无法得到清晰、明确的理解。
但作为IT从业人员,无论是乙方争取项目机会、实施或设计过程中的合规程度评判,亦或是甲方请求上级领导的财政支持,往往都离不开强而有力的法律法规要求作为支点,这便必须要透彻理解法律法规。本文将介绍常见的信息安全法律法规,同时尽可能的将个人的理解精华部分附着而上,希望能对大家有所有帮助。
网络安全法
2017年6月1日,《中华人民共和国网络安全法》正式实施,标志着网络安全被提升至国家安全战略的新高度,网络安全保护成为必须遵守的法则和义务。
个人理解该法律关键核心有以下几点:
1、为等保赋予法律效益;
2、法律责任,制定惩罚措施标准;
3、规定或鼓励安全服务(活动)的进行;
4、提出关键基础设施相关概念;
1、赋予等保法律效益
| 第二十一条 |
|---|
| 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: |
| (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; |
| (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; |
| (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施; |
| (五)法律、行政法规规定的其他义务。 |
2、法律责任,制定惩罚措施标准
《中华人民共和国网络安全法》第六章“法律责任”五十九至七十五条均为相关惩罚措施描述;
五十九条作为二十一条的惩罚措施,换而言之,该条例可作为系统不做等保时单位遭受到处罚的依据,故常常被提及;
| 五十九条 |
|---|
| 网络运营者不履行本法第 二十一条 、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 |
3、规定或鼓励安全服务(活动)的进行
| 第二十六条 |
|---|
| 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。 |
| 第三十九条 |
|---|
| 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施: |
| (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估; |
| (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力; |
| (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、 网络安全服务机构等之间的网络安全信息共享; |
| (四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。 |
4、提出关键基础设施相关概念
《中华人民共和国网络安全法》第三章“网络运行安全”分为两个小节部分,其中第二小节为“关键信息基础设施的运行安全”;三十一条至三十九条均为关基相关要求,后续《关键信息基础设施安全保护条例》奠定了基础,其中三十一条提及关基行业及领域,为较为重要。
| 第三十一条 |
|---|
| 国家对公共通信和 信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 |
等保
等保全称网络安全等级保护(等保1.0时期为信息系统安全等级保护),其关键核心思想是根据信息系统的重要程度采取分等级的安全保护措施。尽管测评等保2.0由“信息系统安全”更名为更加广泛“网络安全”,不过根据核心思想,测评对象几乎仍然以信息系统为单位。1
1、等保的发展历程
纵观等保的发展历程,最重要的两个核心节点为2017年的网络安全法颁布、2019年的等保标准更正升级。
强制性国家标准的代号为“GB”,推荐性国家标准的代号为“GB/T”。等保作为GB/T系列的国家标准,仅仅作为推荐,而上述介绍到《网络安全法》21条赋予了等保法律效益。2
2019年的等保标准更正升级,在原有的安全通用要求之外,增加安全扩展要求,其中包括云物移工要求。另外修正了技术要求的框架,“一个中心,三重防护3”的安全体系便出至于等保2.0中的技术要求,一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安全通信网络。
2、等保流程
3、详细重要标准
以下标准跟按照上述等保流程排序
公开标准,前接国标库均可直接查询阅读: 国标库查询地址.
GB/T 22240-2019 信息安全技术 网络安全等级保护定级指南
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
分保
涉密信息系统分级保护制度。是指按照涉密信息系统所处理国家秘密信息的不同等级,将系统划分秘密、机密(细分为机密一般、机密加强)、绝密三个等级,分别采取不同强度的技术防护措施和管理模式实施保护。
与等保的核心思想相似,最大不同是分保标准是为涉密信息系统制定、等级保护由公安部门监管,分级保护由国家保密局监管。
常见的涉密信息系统场景:政府单位电子政务内网、军工单位国密网。
所有使用在涉密场景内的设备均需涉密资质,前往国家保密科技测评中心可查:链接: 国家保密科技测评中心查询地址。
具体内容以及保密标准均为涉密内容,未授权的情况下简单上述内容以及等保区别了解即可。
数据安全法
《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,现予公布,自2021年9月1日起施行。
《数安法》共7章51条,分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。
个人理解该法律关键核心有以下几点:
1、定义数据及相关概念;
2、监管办法;
3、数据分级分类管理办法;
4、推进建立数据安全标准体系;
5、法律责任,制定惩罚措施标准;
1、定义数据及相关概念
| 第三条 |
|---|
| 本法所称 数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力 |
2、监管办法
| 第五条 |
|---|
| 中央国家安全领导机构 负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。 |
| 第六条 |
|---|
| 各地区、各部门对本地区、本部门工作 中收集和产生的数据及数据安全负责。 |
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关 等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门 依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。 |
3、数据分级分类管理办法
国家:制定分级分类制度标准
各部门、各地区:根据国家制定标准对管控内数据进行分级分类
| 第二十一条 |
|---|
| 国家建立数据 分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 |
| 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 |
| 各地区、各部门应当按照 数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。 |
4、推进建立数据安全标准体系
| 第十七条 |
|---|
| 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。 |
5、法律责任,制定惩罚措施标准
《数据安全法》第六章“法律责任”四十四至五十二条均为相关惩罚措施描述;
| 第四十四条 |
|---|
| 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。 |
结论:《数据安全法》明确了数据以及相关名词的定义,奠定了国内“自上而下,分级分类分行业“”的数据安全体系,该法例推进数据安全体系标准、制定了各类相关触及数据安全的各类法律责任。同时,该法律对于数据交易、跨境数据交互标准、方式提出要求,上述未提及,可详见原文。
工作中与测评机构对接沟通过,如遇特殊情况以及需求,可以“网络”作为测评对象。如遇特殊情况可与测评机构沟通。 ↩︎
公安部第147号令《中华人民共和国计算机信息系统安全保护条例》其实也有相同效果。 ↩︎
详见GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 ↩︎
国内信息安全行业常见法律法规介绍及个人理解相关推荐
- 支付行业常见信息安全合规认证小记
概述 目前参与的工作涉及的支付行业的信息安全合规,对于支付行业参与过的合规工作做了一个简单的梳理,主要有以下部分: 认证及标准简介 银联入网检测 规定了第三方机构接入中国银联强制性安全要求和指导性安全 ...
- 密码学系列(一):密码行业、政策介绍
密码学系列(一):密码行业.政策介绍 管理部门 <密码法>(19年) <密码法>具体章节 第3章 商用密码 第4章 法律责任 相关零散知识 管理部门 国家密码管理局--商密办- ...
- 网络安全行业常见的权威职业证书有哪些?
伴随着网络安全行业的持续提温,对在网络安全行业持续发展的优秀人才而言,提高职业竞争力最有效的方法之一,便是考取权威证书. 该如何从繁杂的网络安全证书中挑选含金量高.发展前景较大的证书呢? 以下属于给 ...
- 信息安全行业入门与各类技术简介
目录 1. 简介 2. 安全业务 2.1 Web安全与攻击防御 2.1.1 Sql注入 2.1.2 命令执行 2.1.3 文件上传漏洞 2.1.4 其他 2.2 二进制安全 2.2.1 主要安全工具 ...
- 信息安全行业入门与各类技术简介(扫盲贴)
1.简介 作为第一篇介绍信息安全的扫盲贴,就说一些干货要实际一些,主要介绍一下信息安全行业里面的一些业务开展情况与常规的一些技术手段与工具,附带推荐了一些学习的网站与书籍,纯手码字部分描述有失偏颇,欢 ...
- UI培训分享:UI设计行业常见术语有哪些?
学会UI设计之后,大家后面就要进入到真正的UI设计行业了,那么关于UI设计行业的常见术语大家也要做一些了解,尤其是新人,这对后面的工作会很多有帮助,本期UI培训教程就给大家介绍一下UI设计行业常见术语 ...
- 5000多字深度分析:从电视剧《鱿鱼游戏》看国内SaaS行业
所示最近被安利了一部很火的韩国电视剧<鱿鱼游戏>,讲的是一群负债累累的人,参加一档6项游戏活动.最终赢的人,获得所有的456亿元奖金,输的人将死去.(SaaS行业,赢者通吃) 一共是456 ...
- 各行业常见的资质证书
各行业常见的资质证书 在招标采购或供应商引入过程中,常常需要对厂商的资质进行审核,其中也可以区分为企业获取的资质和针对员工个人所取得的证书,本文将主要讲讲企业资质的一般分类和常见的资质内容.在设置资质 ...
- 老文新读 | 大数据于国内影视行业的意义及应用
编者注:本文由作者4年前发表于知乎专栏,前两天编者偶然读到,觉得很有意思,于是转过来与大家分享.原文标题:评析:触不到的大数据 作者 | 王义之,凡影合伙人 最近这几年,我们可以听到很多关于大数据在影 ...
- 常见bootloader介绍
一.BootLoader简介 在专用的嵌入式板子运行操作系统已经变得越来越流行.一个嵌入式系统从软件的角度看通常可以分为三个层次: 1. 引导加载程序.包括固化在固件(firmware)中的Boote ...
最新文章
- 【博客话题】技术人生之三界修炼
- MongoDB数据库索引基础知识与实战技巧
- C#最小化到托盘+双击托盘恢复+禁止运行多个该程序
- ×××服务器是指什么?我怎样控制自己的电脑端口的开启和关闭?
- 索引存储模型-二分查找
- leetcode1025. 除数博弈(dp/数学)
- 二进制包 mysql_二进制包安装MySQL数据库
- SpringCloud微服务:Eureka组件之服务注册与发现
- 软件测试入门有哪些书籍可供推荐?
- php 倒计时插件下载,jQuery自适应倒计时插件
- 【驾驶】高速公路匝道定义
- linux下设置双系统选项,linux双系统【操作步骤】
- PHP遍历数组,分别将内容加入到table表格中
- spring boot+vue前后端分离项目问题总结
- 极客日报:阿里回应1000万成立“元境生生”;马斯克一年上了75次热搜;微软.NET中文官网正式上线
- 成功解决: Windows10没有蓝牙问题
- 如何设置计算机硬盘密码,计算机设置硬盘加密方法以启动密码
- 使用EasyExcel下载,文件名乱码问题处理
- 李政道:只有重视基础研究,才能保持创新能力
- Day 04-常用Composition API_ref reactive 函数