信息安全相关法律问题

,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,信息安全相关法律问题,2003.4,1,各国信息安全立法的特点,信息安全立法内容,我国信息安全法律体系,2,各国信息安全立法的特点,信息安全问题不仅是一个信息领域的问题，更是一个全社会的综合集成系统。,内容广泛,包括保护信息的保密性、完整性、可用性、可控性和防抵赖性的规范,有关信息主体的权利和义务的规范,保护国家利益和社会公共利益的规范,3,各国信息安全立法的特点,不仅制定了专门的信息安全立法，而且制定或修改了相关的法律，如通信自由法、个人隐私法等。,重视信息安全的保障和公民信息自由保护的平衡（1997年，美国联邦最高法院以正当通信法案抵触美宪法第一修正案所保障的言论自由为由裁定该法无效）。,4,各国信息安全立法的特点,各国在信息安全立法方面都有一种紧迫感，特别是9.11事件以后。,一方面加紧制定信息安全立法，一方面也努力使之与现有的法律相协调。,5,各国信息安全立法的特点,以国家信息安全的组织保障为原则,各国在其信息安全法律政策中，无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围，在各个层次上都力求做到分工负责、各司其责。如美国的计算机安全法明确规定，由商务部所属的国家标准和技术局(NIST)负责有关敏感信息的信息安全工作，具体负责主持制定和推广计算机安全标准和指导方针，为联邦政府解决各种信息安全问题，其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等；由国防部所属的国家安全局(NSA)负责例如“国家安全系统”，即由政府及其合同单位或代理机构管理的信息系统中保密信息的信息安全工作，其中包括国家保密信息、美国宪法2315款第102项(Warner修正案)规定的信息、涉及谍报(Intelligence)的信息、涉及与国家安全有关的秘密活动(Cryptlogic)的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。,6,各国信息安全立法的特点,以国家信息安全的全面保障为基础,信息安全是个巨大的系统工程，需要各方面力量的综合协调，更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此，信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有，制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法；出版了信息系统安全产品和服务自录；对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估；全力支持对安全措施的投入；协调各个机构的信息安全工作；监督政府信息安全管理原则、标准、指导方针的制定和推广工作；强化计算机信息系统人员的安全法律培训等等。,7,各国信息安全立法的特点,以国家信息安全的技术防范为核心,技术保护是基础和前提，法律保护只是技术保护的手段。，因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代，美国率先在计算机保密模型(Bell&La Padula模型)的基础上，制定了可估计算机系统安全评价准则(TCSEC)，随后又制定了关于网络系统、数据库等方面的系列安全解释，形成了安全信息系统体系结构的最早原则。20世纪90年代初，欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的信息技术安全评价准则(ITSFC)。近年来，美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了信息技术安全评价通用准则(CCforITSEC)，综合了国际上已有的评价准则和技术标准的精华，给出了信息安全保护的框架和原则要求。,8,各国信息安全立法的特点,以国家信息安全的技术标准为内容,将技术标准纳入国家信息安全保障的政策法律体系范畴，赋予技术标准以国家意志的属性，使其具有强制实施的法律效力，是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准，现在已经形成了由国家标准化协会制定的国家标准(ANSI)、由国家标准局制定的联邦信息处理安全标准(FIPS)以及由国防部(DOD)制定的信息安全指令和标准三位一体的国家信息安全标准体系，从不同的角度规范国家的信息安全。欧盟除了发布前已所述的信息技术安全性评测标准(ITSEC)之外，还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息安全标准。,9,信息安全立法内容,信息安全法律是调整信息安全领域内各,社会关系的法律法规的总称。从范围上看信,息安全法律涉及行政法、刑法、民法、诉讼,法等多个法律部类，共同构成信息安全的法,律保障体系。,10,信息安全立法内容,信息安全法,在信息安全法律体系中处于主导地位。,规定不同级别的信息系统所必须具备的最小安全保护要求。,规定某些重要的信息系统建成后，未经法定的信息安全评估机构检测合格不得运行。,规定信息安全测评认证的相关内容。,规定对信息系统安全维护管理必要的资源配置及责任义务等。,11,信息安全立法内容,电子签名法,签名的两个作用：表明签署者是谁；表明签署人承认、证明或核准所签署文件的内容。,规定对电子签名的法律效力。,电子签名技术方案（一般是以公开密钥加密为基础的数字签名）。,电子签名认证机构规范。,12,信息安全立法内容,电子信息犯罪法,刑法和全国人大颁布的关于维护互联网安全的决定虽然对信息犯罪及其刑事责任作出了规定，但难以适应愈演愈烈的信息犯罪。,13,信息安全立法内容,电子信息个人隐私法,对于公民个人隐私保护的需求，在电子信息系统广泛应用的环境下，将以新的形式提出、界定和保护。,14,信息安全立法内容,电子信息知识产权保护法,规定在网络环境下，以电子信息方式存在的，以多媒体等为介质表述的知识产权的归属，规定相应主体的权利、义务以及法律责任和惩罚措施。,15,信息安全立法内容,电子信息密码法,密码在信息社会中扮演了非常重要的角色,规定密码产品的科研、生产、销售管理。,规定密码产品的使用、安全、保密管理,核心密码和商用密码,16,我国信息安全法律体系,1994年2月18日，国务院颁布了中华人民共和国计算机信息系统安全保护条例，这是一个标志性、基础性法规。,我国信息安全法律体系可分为四个层面。,17,我国信息安全法律体系,一般性法律规定,没有专门对信息安全进行规定，但所规定的和约束的对象包括涉及信息安全的行为。如宪法、国家安全法、国家秘密法、治安管理处罚条例等。,18,我国信息安全法律体系,规范和和惩罚信息网络犯罪的法律,包括中华人民共和国刑法、全国人大常委会关于维护互连网安全的决定等。,19,我国信息安全法律体系,直接针对信息安全的特别规定,中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定、计算机信息系统网络国际互联网安全保护管理办法、中华人民共和国电信条例等。,20,我国信息安全法律体系,具体规范信息安全技术、信息安全管理等方面的规定,计算机信息系统安全专用产品检测和销售许可证管理办法 、商用密码管理条例、计算机病毒防治管理办法、计算机信息系统网络国际互联网保密管理规定、金融机构计算机信息系统安全保护工作暂行规定,21,