|
一、《中华人民共和国网络安全法》摘要(中华人民共和国主席令 第五十三号) 第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款: (一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的; (二)拒绝、阻碍有关部门依法实施的监督检查的; (三)拒不向公安机关、国家安全机关提供技术支持和协助的。 二、《中华人民共和国刑法》修正案(九) 第二百八十六条【破坏计算机信息系统罪】 在刑法第二百八十六条后增加一条,作为第二百八十六条之一:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金: (一)致使违法信息大量传播的; (二)致使用户信息泄露,造成严重后果的; (三)致使刑事案件证据灭失,情节严重的; (四)有其他严重情节的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。 三、《中华人民共和国反恐怖主义法》 第八十四条 电信业务经营者、互联网服务提供者有下列情形之一的。由主管部门处二十万元以上五十万元以下罚款,并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款;情节严重的,处五十万元以上罚款,并对其直接负责的主管人员和其它直接责任人员,处十万元以上五十万元以下罚款,可以由公安机关对其直接负责的主管人员和其他直接责任人员,处五日以上十五日以下拘留: (一)未依照规定为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的; (二)外按照主管部门的要求,停止传输、删除含有恐怖主义、极端主义内容的信息,保存相关记录,关闭相关网站或者关停相关服务的; (三)未落实网络安全、信息内容监督制度和安全技术防范措施,造成含有恐怖主义、极端主义内容的信息传播,情节严重的。 四、《计算机信息网络国际联网安全保护管理办法》(公安部令第33号) 第二十一条 有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。 (一)未建立安全保护管理制度的; (二)未采取安全技术保护措施的; (三)未对网络用户进行安全教育和培训的; (四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的; (五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的。 五、《互联网安全保护技术措施规定》(公安部令第82号) 第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施: (一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施; (二)重要数据库和系统主要设备的冗灾备份措施; (三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施; (四)法律、法规和规章规定应当落实的其他安全保护技术措施。 第八条 提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施: (一)记录并留存用户注册信息; (二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系; (三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。 第十一条 提供互联网上网服务的单位,除落实本规定第七条规定的互联网安全保护技术措施外,还应当安装并运行互联网公共上网服务场所安全管理系统。 第十三条 互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。 第十五条 违反本规定第七条至第十四条规定的,由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。 六、《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号) 第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。 第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿: (一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的; (二)违反计算机信息系统国际联网备案制度的; (三)不按照规定时间报告计算机信息系统中发生的案件的; (四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的; (五)有危害计算机信息系统安全的其他行为的。 七、《全国人民代表大会常务委员会关于维护互联网安全的决定》 第七条 各级人民政府及有关部门要采取积极措施,在促进互联网的应用和网络技术的普及过程中,重视和支持对网络安全技术的研究和开发,增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育,依法实施有效的监督管理,防范和制止利用互联网进行的各种违法活动,为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告。任何单位和个人在利用互联网时,都要遵纪守法,抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职,密切配合,依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量,依靠全社会的共同努力,保障互联网的运行安全与信息安全,促进社会主义精神文明和物质文明建设。 八、《内蒙古自治区计算机信息系统安全保护办法》 第六条 计算机信息系统运营、使用单位应当遵守下列规定: (一)对计算机信息系统安全保护等级准确定级,并按照等级保护管理规范和技术标准实施保护; (二)新建计算机信息系统的,应当在规划、设计阶段确定安全保护等级,同步建设符合该安全保护等级要求的信息系统安全保护设施,落实安全保护措施; (三)计算机信息系统的结构、处理流程、服务内容等发生重大变化,或者公安机关要求重新确定等级的,应当重新定级; (四)按照计算机信息系统安全保护等级要求,使用符合国家及自治区规定并取得国家计算机信息系统安全专用产品销售许可证的信息安全产品; (五)定期对本单位计算机信息系统的安全状况、保护制度和措施进行自查和整改; (六)建立安全保护组织,确定安全管理责任人,指定专职人员负责本单位计算机信息系统的安全管理。 第七条 第二级以上计算机信息系统运营、使用单位,应当自确定安全保护等级之日起30日内,到所在地盟行政公署、设区的市人民政府公安机关或者其指定的受理机构备案;属于自治区统一联网、跨盟市或者中央驻自治区、自治区直属单位的计算机信息系统,应当到自治区人民政府公安机关或者其指定的受理机构备案。 第八条 公安机关应当在收到备案材料之日起10个工作日内对报送备案的材料进行审查,对符合等级保护要求的,出具备案证明。对定级不准确或者保护措施不符合技术规范的,应当书面通知报送单位予以纠正。 第十八条基础电信运营企业等提供互联网接入服务的单位应当执行下列规定: (一)配合公安机关做好接入本网络联网单位和用户的备案工作,真实、准确、完整登记联网单位和用户的名称、性质、有效证件、互联网地址、装机地址、上网电话、联系人等公安机关要求备案的信息,报送同级公安机关,并及时报告本网络中联网单位和用户的变更情况; (二)记录并留存接入本网络的联网单位和用户登录、退出互联网时间及主叫号码、账号、互联网地址等上网日志信息,留存时间不少于1年; (三)落实相关安全保护技术措施,通过互联网地址和相关网络应用信息能够对应联网单位和用户信息; (四)协助公安机关查处涉及互联网的违法犯罪行为,并采取人工值守、远程联网查询等方式提供24小时快速查询支持; (五)协助公安机关对接入本网络的联网单位和用户进行安全宣传教育,落实安全保护措施; (六)互联网络拓扑结构、通信协议等拟进行重大调整的,应当报自治区人民政府公安机关备案后实施。 第二十条联网单位和用户应当采取设置安全性较高的密码等安全保护措施,定期更改密码,保障所使用上网账号的安全。 基础电信运营企业可以采取动态密码认证等技术措施为联网单位和用户提供互联网接入服务。 第二十二条提供互联网上网服务的单位和通过局域网接入互联网用户终端在10台以上的联网单位应当安装、运行符合国家及自治区规定的安全管理系统。 第二十三条宾馆、酒店、餐厅、机场、车站、阅览室等提供互联网上网服务的场所和通过无线方式接入互联网的地点管理者,应当采取用户登录认证安全技术措施,并对上网用户的身份证等有效证件进行核对、登记。 第二十四条 使用内部网络地址与互联网网络地址转换方式接入互联网的联网单位,应当记录并留存用户上网终端硬件地址等信息与内部网络地址和互联网网络地址的对应关系。留存时间不少于1年。 第二十七条计算机信息系统的运营、使用单位应当采取下列安全保护技术措施: (一)系统重要部分的冗余或者备份措施; (二)计算机病毒防治措施; (三)网络攻击防范和追踪措施; (四)安全审计和预警措施; (五)系统运行和用户使用日志记录留存1年以上措施; (六)记录用户账号、主叫电话号码和网络地址措施; (七)身份登记和识别确认措施; (八)垃圾信息、有害信息的防治、清理措施; (九)信息群发限制措施; (十)其他保护计算机信息系统安全的技术措施。 第三十条违反本办法第六条、第九条、第十条、第十七条、第十八条第一至四项、第十九条、第二十六条、第二十七条规定的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员处以5000元以下的罚款,对单位处以15000元以下的罚款,可以建议主管部门对相关单位的主要领导给予处分;情节严重的,并可以给予6个月以内停止联网、停机整顿的处罚。 第三十二条违反本办法第二十条第一款规定的,由公安机关责令限期改正,给予警告;在规定的限期内未改正的,可以给予6个月以内停止联网、停机整顿的处罚。 第三十三条 违反本办法第二十二条、第二十三条、第二十四条规定的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员处以5000元以下的罚款,对单位处以15000元以下的罚款;情节严重的,并可以给予6个月以内停止联网、停机整顿的处罚。 第三十八条本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施、网络构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 本办法所称的信息安全等级测评,是指对计算机信息系统的安全状况进行测试、评价、判断。 本办法所称的安全服务机构,是指从事计算机信息系统安全设计、建设、检测、维护、监理、咨询、培训等业务的单位。 本办法所称联网单位和用户包括通过计算机或者手机等通讯终端以有线、无线等方式接入互联网的单位和用户。 |
|
|
