Posts 安全法规知识扩展
Post
Cancel

安全法规知识扩展

法律声明

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

《数据出境安全评估办法》

近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发,对数据跨境安全管理作了制度探索。

数据出境安全风险:

1、出境数据包含敏感信息

2、第三方SDK采集数据传输境外

3、API接口被境外拉取数据

发展历程:

2017.6.1《中华人民共和国网络安全法》

2019.6.13 《个人信息出境安全评估办法》(征求意见稿)

2021.9.1 《中华人民共和国数据安全法》

2021.10.29 《数据出境安全评估办法》(征求意见稿)

2021.11.1 《中华人民共和国个人信息保护法》

2022.9.1《数据出境安全评估办法》

数据出境管理总体框架:

一、关于数据出境安全评估办法,我们主要关注三个 “受监管”数据类型:

1、个人信息

2、敏感信息

3、重要数据

二、受影响”的应用类型主要可能涉及以下四种场景:

场景1 A将从中国境内收集或产生的个人信息或重要数据传输至中国境外的应用系统B

场景2 A将从中国境内收集或产生的个人信息或重要数据手动输入或上传至中国境外的应用系统B

场景3 B从境外访问或处理从中国境内收集或产生的且存储在中国境内应用系统中的个人信息或重要数据A

场景4 将从中国境内收集或产生的个人信息或重要数据进一步传输至中国境外的其他应用系统

三、这些应用系统比较典型的主要是以下三个

业务系统: 处理个人信息和(或)重要数据的业务系统

IT服务和工具: 可能“包含”个人信息和(或)重要数据(如:日志、备份等)的IT 服务和工具

第三方服务: 嵌入在业务系统中的第三方服务(如:SDK、PaaS等)

四、数据出境安全评估的情形

1、数据处理者向境外提供重要数据

2、关键信息基础设施运营者和处理100 万人以上个人信息的数据处理者向境外提供个人信息

3、自上年1 月1 日起累计向境外提供10 万人个人信息或者1 万人敏感个人信息的数据处理者

4、国家网信部门规定的其他需要申报数据出境安全评估的情形。

Q&A:

Q: 什么是“数据出境活动”? 数据出境活动主要包括: 一 是数据处理者将在境内运营中收集和产生的数据传输、存储到境外。 二 是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以访问或者调用。

Q: 境外主体通过公开网页访问境内数据算数据出境吗? 不算! 数据出境中的“境外访问”情形,一般是指对境内服务器或者系统内数据的访问、调用。对公开网页信息的访问,一般不会被认定数据数据出境。

Q: 数据传输至港澳台是否属于数据出境? 属于! 根据《出境入境管理法》第八十条第一款的规定: 出境,是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区。

Q: 那么出境安全评估触发情形中的100万、10万、1万指的单位是? 在《出境评估办法》中明确规定100万、10万、1万的单位是指人,因此是指对应个人信息主体的人数,而不是个人信息的条数。

《网络安全等级保护制度》

等级保护2.0是什么?

全称:网络安全等级保护制度2.0

是依据《中华人民共和国网络安全法》要求制定的行政法规。 网络安全法是中国首部在网络安全领域的基础性法律, 完善了国家、网络运营者、公民个人等角色的网络安全义务和责任,将原来散见于各种法规、规章中的网络安全规定上升到人大法律层面,并对网络运营者等主体的法律义务和责任进行全面规范

在第二十一条中规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。而且在五十九条中也规定了未履行网络安全保护义务的,将受到责令处罚,所以对企业来说必须按照网络安全法开展等级保护工作。

发展历程:

1994年:《中华人民共和国计算机信息系统安全保护条例》颁布实施。

1999年:《计算机信息系统安全保护等级划分准则(GB17859)发布》

2008年等级保护1.0元年:《信息安全技术 信息系统安全等级保护基本要求》相关标准发布实施。

2016年:《中华人民共和国网络安全法》发布

2019年等级保护2.0元年: 5月13日正式发布等级保护2.0版本《信息安全技术网络安全等级保护基础要求》,12月1日正式实施。

三大要点:

1、分等级实行安全保护 对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护和监管

2、实行按等级管理 对信息系统中使用的信息安全产品实行分等级管理

3、分等级进行响应、处置 对信息系统中发生的信息安全事件实行分等级响应、处置

定义:对网络和信息系统按照重要性等级分级别保护的一种工作. 根据网络与信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级.

等级保护建设的目的:

1、满足国家相关法律和制度的要求

2、履行和落实网络信息安全责任义务

3、合理规避或降低风险

4、降低信息安全风险、提高定级对象的、安全防护能力

等级保护是国家信息安全保障工作的基本制度;是督促合规性要求,开展网络安全工作的基本方法;是促进信息化、维护网络安全的根本保障。企业必须在系统建设、改造完成后,选择具备资质的测评机构,依据网络安全等级保护合规性要求,开展等级保护建设工作,以有效规避企业所面临的网络安全风险。

等级保护相关标准:

《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)

《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)

《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T25070-2019)

《信息安全技术 网络安全等级保护测评要求》(GB/T28488-2019)

《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2019)

备案三大法:

《互联网信息服务管理办法》

《非经营性互联网信息服务备案管理办法》

《计算机信息网络国际联网安全保护管理办法》

为什么要做备案?:

根据工信部《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》规定,国家对经营性互联网信息服务实行许可制度,对非经营性互联网信息服务实行备案制度。

未取得许可或未履行备案手续的,不得从事互联网信息服务,即网站在未完成备案之前,不能指向中国内地服务器开通访问。

《互联网信息服务管理办法》中第三条定义:

互联网信息服务分为经营性和非经营性两类。

经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。

非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

经营内容主要是网上广告、代制作网页、服务器出租、有偿提供特定信息内容、电子商务等网上应用服务。

《非经营性互联网信息服务备案管理办法》中第五条定义:

在中华人民共和国境内提供非经营性互联网信息服务,应当依法履行备案手续。未经备案,不得在中华人民共和国境内从事非经营性互联网信息服务。

本办法所称在中华人民共和国境内提供非经营性互联网信息服务,是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站,提供非经营性互联网信息服务。

《非经营性互联网信息服务备案管理办法》中第十三条定义:

非经营性互联网信息服务提供者应当在其网站开通时在主页底部的中央位置标明其备案编号,并在备案编号下方按要求链接信息产业部备案管理系统网址,供公众查询核对。非经营性互联网信息服务提供者应当在其网站开通时,按照信息产业部备案管理系统的要求,将备案电子验证标识放置在其网站的指定目录下。

依据《计算机信息网络国际联网安全保护管理办法》相关规定,各位网站在工信部进行ICP备案成功后,如网站为中国内地提供服务(在中国内地可访问该网站),需在网站开通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

注:无论网站部署在中国内地或非中国内地的服务器上,只要在中国内地可访问该网站服务,均需进行公安联网备案,如果不履行,公安机关会给予警告或者停机整顿不超过六个月的处罚。

参考来源

中华人民共和国国家互联网信息办公室

This post is licensed under CC BY 4.0 by the author.

Contents

代码审计-codeQL

信息安全知识扩展

Comments powered by Disqus.