急求信息安全法律法规

中华人民***和国计算机信息系统安全保护条例

国务院 1994年2月18日

第一章 总则

第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。

第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和套

的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计 算机功能的正常发挥,以维护计算机信息系统的安全运行。

第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建

设、 国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

第五条 中华人民***和国境内的计算机信息系统的安全保护,适用本条

例。

未联网的微型计算机的安全保护办法,另行制定。

第六条 公安部主管全国计算机信息系统安全保护工作。

国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。

第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利

益、 集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。

第二章 安全保护制度

第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。

第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

第十条 计算机机房应当符合国家标准和国家有关规定。

在计算机机房附近施工,不得危害计算机信息系统的安全。

第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。

第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。

第十三条 计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。

第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。

第十五条 对计算机病毒和危害社会公***安全的其他有害数据的防治研究工作,由公安部归口管理。

第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。

具体办法由公安部会同有关部门制定。

第三章 安全监督

第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权:

(一)监督、检查、指导计算机信息系统安全保护工作;

(二)查处危害计算机信息系统安全的违法犯罪案件;

(三)履行计算机信息系统安全保护工作的其他监督职责。

第十八条 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。

第十九条 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。

第四章 法律责任

第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:

(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;

(二)违反计算机信息系统国际联网备案制度的;

(三)不按照规定时间报告计算机信息系统中发生的案件的;

(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;

(五)有危害计算机信息系统安全的其他行为的。

第二十一条 计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理。

第二十二条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民***和国海关法》和本条例以及其他有关法律、法规的规定处理。

第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。

第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民***和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。

第二十五条 任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。

第二十六条 当事人对公安机关依照本条例所作出的具体行政行为不服

的,可以依法申请行政复议或者提起行政诉讼。

第二十七条 执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。

第五章 附则

第六章

第二十八条 本条例下列用语的含义:

计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。

第二十九条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。

第三十条 公安部可以根据本条例制定实施办法。

第三十一条 本条例自发布之日起施行。

维护互联网安全的决定

2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过

我国的互联网,在国家大力倡导和积极推动下,在经济建设和各项事业中得到日益广泛的应用,使人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。同时,如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。为了兴利除弊,促进我国互联网的健康发展,维护国家安全和社会公***利益,保护个人、法人和其他组织的合法权益,特作如下决定:

一、为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;

(二)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;

(三)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。

二、为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;

(二)通过互联网窃取、泄露国家秘密、情报或者军事秘密;

(三)利用互联网煽动民族仇恨、民族歧视,破坏民族团结;

(四)利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。

三、为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传;

(二)利用互联网损害他人商业信誉和商品声誉;

(三)利用互联网侵犯他人知识产权;

(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;

(五)在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。

四、为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网侮辱他人或者捏造事实诽谤他人;

(二)非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;

(三)利用互联网进行盗窃、诈骗、敲诈勒索。

五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。

六、利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分。 利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。

七、各级人民政府及有关部门要采取积极措施,在促进互联网的应用和网络技术的普及过程中,重视和支持对网络安全技术的研究和开发,增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育,依法实施有效的监督管理,防范和制止利用互联网进行的各种违法活动,为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告。任何单位和个人在利用互联网时,都要遵纪守法,抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职,密切配合,依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量,依靠全社会的***同努力,保障互联网的运行安全与信息安全,促进社会主义精神文明和物质文明建设。

中华人民***和国公***安全行业标准

计算机信息系统安全专用产品分类原则

公安部 1997年4月21日

1 范围

本标准规定了计算机信息系统安全专用产品分类原则。

本标准适用于保护计算机信息系统安全专用产品,涉及实体安全、

运行安全和信息安全三个方面。

实体安全包括环境安全,设备安全和媒体安全三个方面。

运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。

信息安全包括操作系统安全,数据库安全,网络安全,病毒防护,访

问控制,加密与鉴别七个方面。

2 分类原则

为了保证分类体系的科学性,遵循如下原则:

1. 适度的前瞻性;

2. 标准的可操作性;

3. 分类体系的完整性;

4. 与传统的兼容性;

5. 按产品功能分类。

3 术语定义

3.1 计算机信息系统 Computer Information System

是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照

一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人

机系统。

3.2 计算机信息系统安全专用产品 Security Products for Computer Information Systems

是指用于保护计算机信息系统安全的专用硬件和软件产品。

3.3 实体安全 Physical Security

保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、

有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。

3.4 运行安全 Operation Security

为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪

,备份与恢复,应急等)来保护信息处理过程的安全。

3.5 信息安全 Information Security

防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法

的系统辨识,控制。即确保信息的完整性、保密性,可用性和可控性。

3.6 黑客 Hacker

对计算机信息系统进行非授权访问的人员。

3.7 应急计划 Contingency Plan

在紧急状态下,使系统能够尽量完成原定任务的计划。

3.8 证书授权 Certificate Authority

通过证书的形式证明实体(如用户身份,用户的公开密钥等)的真实性。

3.9 安全操作系统 Secure Operation System

为所管理的数据和资源提供相应的安全保护,而有效控制硬件和软件功能

的操作系统。

3.10 访问控制 Access Control

指对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入

控制)和限制使用计算机系统和计算机存储数