信息安全基本概念介绍

查评估可以由信息化主管部门依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行。

六. 什么是信息安全应急响应？

信息安全应急响应是应对信息安全事件而做出的及时、准确的响应处理，为有效应对信息安全突发事件，在应急响应过程中，主要有四方面工作：

一是控制事态防止蔓延。尽快协调安排信息安全应急技术支援队伍，采取必要技术措施，尽快控制信息安全事态；同时，组织和协调有关单位对该突发事件进行有针对性的预防，防止事态蔓延至其他信息系统。

二是做好处置消除隐患，恢复系统运行。在控制事态基础上，对事件起因进行认真分析，有针对性地采取措施对信息系统可能的安全隐患进行修复和整改；同时，协调通信运营商以及系统软硬件设备厂商等，制定技术方案并积极、稳妥地组织实施，在确保安全可靠的前提下尽快恢复受损坏信息系统的正常运行。

三是及时开展调查取证。在应急响应过程中，工作人员及相关技术操作保留相关证据。对于涉嫌认为破坏活动的，协调公安机关、国家安全机关介入并开展侦查调查工作。

四是信息对外发布。信息公开是应急响应工作的一项重要内容，特别是当信息系统涉及社会公众利益的，组织做好信息对外发布工作将更为迫切、紧要。各级指挥协调机构会首先统一信息发布渠道，未经许可不得发布相关信息；其次，做到及时公布信息安全事件进展情况，并对受影响的公众进行提醒、解释和疏导，以避免社会负面情绪的进一步扩大。

《信息安全法律法规常识》

一、我国已发布的涉及到信息安全的法律主要有哪些？

我国信息安全立法工作始于20世纪90年代，起步相对较晚。经过20多年的发展，法律法规数量已经形成一定规模，国家法律法规、司法解释、部门规章与地方性条例，共同构成了我国信息安全法律法规体系。

目前，我国涉及网络信息安全的法律主要有3部： 1．中华人民共和国刑法

在1979年的刑法中并没有相关的计算机犯罪的罪名。为预防和惩治计算机违法犯罪行为，1997年修订的《中华人民共和国刑法》在第285条、第286条、第287条增加了涉及计算机犯罪的4项条款：非法侵入计算机信息系统罪，破坏计算机信息系统功能罪，破坏计算机信息系统数据、应用程序罪和制作、传播计算机病毒等破坏性程序罪，为预防和打击计算机犯罪活动提供了法律依据。2009年，在《刑法修正案七》中对计算机犯罪相关条款进行了必要调整。

2．关于维护互联网安全的决定

2000年12月，为进一步保障网络环境下信息的安全，全国人民代表大会常务委员会颁布实施了《关于维护互联网安全的决定》。这是我国针对互联网应用过程出现的运行安全和信息安全专门制定的法律，该单行法律的出台对于促进我国互联网的健康发展，保障互联网络的安全具有重要意义。该法规定了损害互联网运行安全、破坏国家安全和社会稳定、扰乱社会主义市场经济秩序和社会管理秩序、侵犯个人、法人和其他组织的人身、财产等合法权利等4项犯罪行为，将依照刑法有关规定追究刑事责任。

《关于维护互联网安全的决定》是我国目前为止直接规范网络信息安全的效力最高的法律文件，在更深入地扩充了保护对象的内涵和外延的同时，还明确了

5

利用互联网实施的尚不构成犯罪的违法行为，将按照有关规章、条例承担行政和民事责任，这也是对信息安全违法行为及其惩处措施的有力补充。

3．中华人民共和国电子签名法

2004年8月28日，第十届全国人大常委会第十一次会议通过《中华人民共和国电子签名法》并于2005年4月1日起实施。该法是我国首部真正意义上的信息网络环境下的单行法律，围绕我国网络信任体系建设的关键内容，从确定电子签名的法律效力、规范电子签名的行为、明确认证机构的法律地位以及电子签名的安全保障措施等多个方面做出了具体规定。该法在我国首次赋予电子签名与文本签名具有同等的法律效力，同时明确了电子认证服务市场准入制度，维护和保障电子交易安全，进一步促进国内电子商务和电子政务的健康发展。

二、我国已发布的涉及到信息安全的行政法规主要有哪些？ 1．计算机信息系统安全保护条例

1994年2月28日，国务院颁布了《中华人民共和国计算机信息系统安全保护条例》，这是我国第一部保护计算机信息系统安全的专门法规，第一次对计算机信息系统等相关计算机术语做出明确定义，还规定了对计算机系统实行安全等级保护等管理制度。

2．计算机信息网络国际联网管理暂行规定及其实施办法

国务院1997年5月颁布了《计算机信息网络国际联网管理暂行规定》从法律层面规定了国际联网、互联网络、接入网络等信息技术术语。该规定指出，国家将对国际联网统筹规划、统一标准、分级管理，由国务院信息化工作领导小组负责协调、解决有关国际联网工作中的重大问题。为落实暂行规定相关事项，国务院信息化工作领导小组于1998年3月6日发布了《计算机信息网络国际联网管理暂行规定实施办法》，增加了如用户、国际出入口信道等专业术语的解释，对《暂行规定》做出进一步的细化，例如规定对于未领取国际联网经营许可证从事国际联网经营活动的，由公安机关给予警告并限期办理经营许可证，限期内不办理的才责令停止联网等。

3．中华人民共和国电信条例

国务院2000年9月25日出台《中华人民共和国电信条例》，在信息安全方面主要是强调对通信网络功能、数据和应用程序的法律保护，对禁止以计算机病毒或者其他方式攻击通信设施，危害网络安全和信息安全等行为进行了详细规定。

4．互联网信息服务管理办法

该办法于2000年9月由国务院发布实施，主要对利用互联网提供信息服务的单位或个人的相关行为进行了规范。对经营性互联网信息服务的行为加以资质限制和经营许可认证，对非经营性互联网信息服务的行为加强备案管理。其目的是为了更好地规范互联网信息服务活动，促进互联网信息服务健康、有序发展。

5．互联网上网服务营业场所管理条例

2002年8月14日，国务院第62次常务会议通过了《互联网上网服务营业场所管理条例》，以加强对互联网上网服务营业场所的管理，规范经营者的经营行为，维护公众和经营者的合法权益，保障互联网上网服务经营活动健康发展。

6．信息网络传播权保护条例 2006年5月10日，国务院135次常务会议通过了《信息网络传播保护条例》，全面地保护了著作权人、表演者以及录音录像制作者的信息网络传播权。

6

7．相关司法解释

除上述法规外，我国还出台了一些相关的司法解释，如下表所示。

三、我国公开发布涉及信息安全的部门规章主要有哪些？

我国信息安全保护的相关规章相对较多，主要涉及域名管理、信息服务、证券委托、保密管理等方面。比较有代表性的部门规章如下表所示

7

四、我国个人信息保护立法情况是怎样的？

个人信息保护一直是信息安全保障工作的重要内容。近年来, 由于商业利益的驱使，个别违规单位及不法个人，在用户完全不知情的情况下，过度采集、擅自披露、交换共享甚至非法买卖用户信息，对用户的合法权益造成了巨大侵犯。2011年年底，我国互联网遭遇了史上最大规模的用户信息泄露事件，多家大型网站的用户数据被泄露，几千万用户账号和密码信息被公开，严重影响了社会秩序和公众利益,个人信息保护立法也越来越受到社会的广泛关注。

2009年，我国通过刑法修正案（七），其中第253条规定，出售或者非法提供公民个人信息，窃取或以其他方法非法获取公民个人信息，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金。这是我国首次将公民个人信息纳入刑法保护范畴，明确“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名。刑法修正案（七）被认为是我国个人信息立法的标志性事件之一。

2012年4月份，我国评审通过了《信息安全技术 公共及商用服务信息系统个人信息保护指南》国家标准，作为技术指导文件，为企业处理个人信息指定了行为准则,为开展行业自律提供了很好的工作参考。该指南对个人信息的处理包

8