Existe una necesidad urgente de leyes y regulaciones de seguridad de la información
Consejo de Estado 18 de febrero de 1994
Capítulo 1 Disposiciones generales
Artículo 1 Para proteger la seguridad de los sistemas de información informática Para promover la aplicación y el desarrollo de las computadoras y garantizar el buen progreso de la modernización socialista, se formulan estas normas.
Artículo 2 El sistema de información informática a que se refiere este Reglamento se refiere a una computadora y sus equipos e instalaciones relacionados y de soporte (incluidas las redes) que recopilan, procesan y sistemas hombre-máquina que almacenan, transmiten y recuperar información.
Artículo 3 La protección de la seguridad de los sistemas informáticos de información protegerá los ordenadores y equipos relacionados.
Garantizar la seguridad de los equipos e instalaciones (incluidas las redes), la seguridad del entorno operativo, la seguridad de la información y las funciones normales de los ordenadores, y mantener el funcionamiento seguro de los sistemas informáticos de información.
Artículo 4 La protección de la seguridad de los sistemas informáticos de información se centra en salvaguardar los asuntos nacionales y la construcción económica.
Seguridad de sistemas de información informática en campos importantes como diseño, construcción de defensa nacional y tecnología de punta.
Artículo 5 Este artículo se aplica a la protección de la seguridad de los sistemas de información informática dentro del territorio de la República Popular China.
Ejemplo.
Las medidas de protección de seguridad para microcomputadores que no estén conectados a Internet se formularán por separado.
Artículo 6 El Ministerio de Seguridad Pública es responsable de la protección de la seguridad de los sistemas informáticos de información a nivel nacional.
El Ministerio de Seguridad Nacional, la Administración Nacional del Secreto y otros departamentos relevantes del Consejo de Estado harán un buen trabajo en la protección de la seguridad de los sistemas de información informática dentro del alcance de las responsabilidades especificadas por el Consejo de Estado.
Artículo 7 Ninguna organización o individuo podrá utilizar sistemas de información informática para realizar actividades que pongan en peligro los intereses nacionales.
Las actividades que sean beneficiosas para los intereses colectivos y los intereses legítimos de los ciudadanos no deben poner en peligro la seguridad de los sistemas de información informáticos.
Capítulo 2 Sistema de Protección de Seguridad
Artículo 8 La construcción y aplicación de sistemas informáticos de información deberá cumplir con las leyes, reglamentos administrativos y demás reglamentaciones nacionales pertinentes.
Artículo 9 Los sistemas de información informática deberán implementar un nivel de protección de seguridad. Las normas para la clasificación de los niveles de seguridad y las medidas específicas para la protección de los niveles de seguridad serán formuladas por el Ministerio de Seguridad Pública en colaboración con los departamentos pertinentes.
Artículo 10 La sala de informática deberá cumplir con las normas nacionales y las regulaciones nacionales pertinentes.
La construcción cerca de la sala de ordenadores no deberá poner en peligro la seguridad del sistema de información informático.
Artículo 11 Los sistemas de información informática para redes internacionales se informarán a los órganos de seguridad pública de los gobiernos populares a nivel provincial o superior para su archivo por parte de los usuarios del sistema de información informática.
Artículo 12 Quien transporte, porte o envíe por correo hacia o fuera del país soportes de información informática, deberá declarar verazmente ante la aduana.
Artículo 13 Los usuarios de sistemas de información informáticos establecerán y mejorarán sistemas de gestión de seguridad y serán responsables de la protección de la seguridad de sus propios sistemas de información informáticos.
Artículo 14 Si ocurre un caso en el sistema de información informática, el usuario correspondiente deberá informarlo al órgano de seguridad pública del gobierno popular local a nivel del condado o superior dentro de las 24 horas.
Artículo 15 El Ministerio de Seguridad Pública es responsable de la prevención y control de virus informáticos y otros datos nocivos que pongan en peligro la seguridad pública.
Artículo 16 El Estado implementará un sistema de licencias para la venta de productos especiales para la seguridad de los sistemas de información informática.
El Ministerio de Seguridad Pública formulará medidas específicas en colaboración con los departamentos pertinentes.
Capítulo 3 Supervisión de la seguridad
Artículo 17 Los órganos de seguridad pública ejercerán las siguientes facultades de supervisión sobre la protección de la seguridad de los sistemas de información informática:
(1) Supervisión, inspeccionar y guiar la protección de la seguridad de los sistemas de información informática;
(2) Investigar y abordar casos ilegales y penales que pongan en peligro la seguridad de los sistemas de información informática;
(3) Realizar otras Deberes de supervisión para la protección de la seguridad de los sistemas de información informática.
Artículo 18: Cuando los órganos de seguridad pública descubran peligros ocultos que afecten la seguridad de los sistemas informáticos de información, deberán notificar oportunamente a los usuarios para que adopten medidas de protección de seguridad.
Artículo 19: En situaciones de emergencia, el Ministerio de Seguridad Pública podrá dictar órdenes especiales sobre materias específicas relativas a la seguridad de los sistemas de información informática.
Capítulo 4 Responsabilidades Legales
Artículo 20 Quien viole las disposiciones de este Reglamento y cometa cualquiera de los siguientes actos será amonestado o suspendido para su rectificación por el órgano de seguridad pública:
Violar el sistema de protección del nivel de seguridad de los sistemas de información informática y poner en peligro la seguridad de los sistemas de información informática;
(2) Violar el sistema de archivo de la red internacional de sistemas de información informática;
(3) Incumplimiento de la normativa Informar los casos ocurridos en el sistema de información informática dentro del plazo;
(4) No mejorar la situación de seguridad pública dentro del plazo después de haber sido notificado por el órgano de seguridad pública;
(5) Otros peligros para la seguridad del comportamiento del sistema informático de información.
Artículo 21 Si la sala de computadoras no cumple con las normas nacionales y otras regulaciones nacionales relevantes, o si la construcción cerca de la sala de computadoras pone en peligro la seguridad del sistema de información informática, los órganos de seguridad pública trabajarán junto con las autoridades pertinentes. unidades para atender el asunto.
Artículo 22 Si se transporta, lleva o envía por correo un soporte de información informática dentro o fuera del país sin una declaración veraz a la aduana, la aduana lo manejará de acuerdo con la Ley de Aduanas de la República Popular China. este Reglamento y otras leyes y reglamentos pertinentes.
Artículo 23: Quien intencionalmente importe virus informáticos y otros datos nocivos que pongan en peligro la seguridad de los sistemas de información informáticos, o venda productos especiales para la seguridad de los sistemas de información informáticos sin autorización, deberá recibir una advertencia por parte de la seguridad pública. órgano, o el individuo puede ser Se impondrá una multa de no más de 5.000 yuanes, y la unidad recibirá una multa de 15.000 yuanes si hay ganancias ilegales, además de la confiscación, una multa de 0 a 3 veces las ganancias ilegales; ser impuesto.
Artículo 24 Cualquier persona que viole las disposiciones de este Reglamento y constituya una violación de la gestión de la seguridad pública será sancionada de conformidad con las disposiciones pertinentes del "Reglamento de Sanciones para la Gestión de la Seguridad Pública de la República Popular China"; si constituye delito, la responsabilidad penal se perseguirá conforme a la ley.
Artículo 25 Cualquier organización o individuo que viole las disposiciones de este Reglamento y cause pérdidas al país, a las colectividades o a los bienes ajenos, incurrirá en responsabilidad civil de conformidad con la ley.
Artículo 26: Los interesados se encuentran disconformes con las actuaciones administrativas concretas adoptadas por los órganos de seguridad pública de conformidad con el presente reglamento.
Puede solicitar reconsideración administrativa o iniciar un litigio administrativo de conformidad con la ley.
Artículo 27 Si un servidor público estatal que aplique este Reglamento se aproveche de su facultad para solicitar o aceptar sobornos o cometa otra conducta ilegal o incumplimiento del deber, que constituya delito, será investigado por responsabilidad penal conforme a la ley; si no constituye delito, se le impondrán sanciones administrativas.
Capítulo 5 Disposiciones Complementarias
Capítulo 6
Artículo 28 El significado de los siguientes términos en este Reglamento:
Se refiere a los virus informáticos a un conjunto de instrucciones de computadora o códigos de programa compilados o insertados en un programa de computadora que destruyen funciones o datos de la computadora, afectan el uso de la computadora y pueden reproducirse.
Los productos de seguridad de sistemas de información informáticos especializados se refieren a productos especiales de hardware y software utilizados para proteger la seguridad de los sistemas de información informáticos.
Artículo 29 La protección de seguridad de los sistemas de información informática militares se implementará de acuerdo con las leyes y reglamentos militares pertinentes.
Artículo 30 El Ministerio de Seguridad Pública podrá formular medidas de implementación de conformidad con el presente reglamento.
Artículo 31 El presente Reglamento entrará en vigor a partir de la fecha de su promulgación.
La decisión de mantener la seguridad en Internet
Adoptada en la 19ª reunión del Comité Permanente de la APN del Noveno Congreso Popular el 28 de febrero de 2000.
La Internet de China, vigorosamente defendida y promovida activamente por el Estado, se utiliza cada vez más en la construcción económica y en diversos emprendimientos, provocando cambios profundos en la producción, el trabajo, el estudio y el estilo de vida de las personas, y está acelerando el desarrollo de los chinos. Las personas han desempeñado un papel importante el desarrollo económico, científico y tecnológico y el proceso de informatización de los servicios sociales. Al mismo tiempo, la forma de garantizar la seguridad operativa y de la información de Internet ha atraído una amplia atención por parte de toda la sociedad. Con el fin de promover las ventajas y eliminar desventajas, promover el desarrollo saludable de Internet de mi país, salvaguardar la seguridad nacional y los intereses sociales y proteger los derechos e intereses legítimos de las personas, personas jurídicas y otras organizaciones, se toma la siguiente decisión:
1. Para garantizar el funcionamiento seguro de Internet, cualquiera de los siguientes. Si uno de los actos constituye un delito, se investigará la responsabilidad penal de conformidad con las disposiciones pertinentes de la Ley Penal:
(1) Intrusión en sistemas de información informática en los campos de asuntos nacionales, construcción de defensa nacional y ciencia y tecnología de vanguardia;
( 2) Crear y difundir deliberadamente virus informáticos y otros programas destructivos para atacar sistemas informáticos y redes de comunicación, causando daños a sistemas informáticos y redes de comunicación.
(3) Violar las regulaciones nacionales e interrumpir redes informáticas o servicios de comunicación sin autorización, provocando que la red informática o el sistema de comunicación no funcionen; normalmente.
2. Con el fin de salvaguardar la seguridad nacional y la estabilidad social, toda persona que cometa cualquiera de los siguientes actos, que constituyan un delito, será investigada por responsabilidad penal de conformidad con las disposiciones pertinentes de la Ley Penal. :
(1) Usar Internet para difundir rumores y difamación o publicar o difundir otra información dañina, incitando a subvertir el poder estatal, derrocar el sistema socialista o incitar a dividir el país y socavar la unidad nacional;
(2) Robar o filtrar secretos de estado, de inteligencia o militares a través de Internet
(3) Usar Internet para incitar al odio étnico y la discriminación y destruir la unidad nacional
(4) Usar Internet para organizar organizaciones de culto, contactar a miembros de organizaciones de culto y socavar las leyes y regulaciones nacionales implementadas por regulaciones administrativas.
3. Para mantener el orden económico de mercado socialista y el orden de gestión social, se investigará con responsabilidad penal cualquiera de los siguientes actos que constituyan delito:
(1) Usar la venta de productos falsificados y de mala calidad o promocionar falsamente bienes y servicios en Internet;
(2) Usar Internet para dañar la reputación comercial y la reputación del producto de otras personas;
(3) Usar Internet para infringir el conocimiento de otras personas. Derechos de propiedad;
(4) Usar Internet para fabricar y difundir información falsa que afecte el comercio de valores y futuros o altere el orden financiero;
(5) Establecer sitios web y páginas web obscenos en Internet, proporcionar enlaces a sitios web obscenos o difundir libros, vídeos, audio y vídeo e imágenes obscenos.
4. Con el fin de proteger los derechos legítimos de las personas físicas, jurídicas y otras organizaciones, si se comete cualquiera de los siguientes actos que constituyan un delito, se investigará la responsabilidad penal de conformidad con las disposiciones pertinentes. de la ley penal:
(1) Insultar a otros o inventar hechos para difamar a otros en Internet
(2) Interceptar, manipular o eliminar ilegalmente correos electrónicos o correos electrónicos de otras personas; otros datos, infringiendo la libertad de comunicación de los ciudadanos y la confidencialidad de las comunicaciones;
( 3) Usar Internet para cometer robo, fraude y extorsión.
5. Si se utiliza Internet para cometer actos distintos de los enumerados en los artículos 1, 2, 3 y 4 de la presente decisión, que constituyan un delito, la responsabilidad penal se perseguirá conforme a lo que corresponda. disposiciones de la Ley Penal.
6. Si se utiliza Internet para cometer actos ilícitos y violar la gestión de la seguridad social, que no constituyan delito, los órganos de seguridad pública los sancionarán de conformidad con el "Reglamento Sancionador de la Gestión de la Seguridad Pública"; las violaciones de otras leyes y reglamentos administrativos no constituyen un delito. Si se produce la infracción, los departamentos administrativos pertinentes impondrán sanciones administrativas de conformidad con la ley al responsable directo y al resto del personal directamente responsable se les impondrán sanciones administrativas o disciplinarias. sanciones conforme a la ley. Quien utilice Internet para vulnerar los derechos e intereses legítimos de otros, constituyendo una infracción civil, incurrirá en responsabilidad civil de conformidad con la ley.
7. Los gobiernos populares en todos los niveles y los departamentos relevantes deben tomar medidas activas para promover la aplicación de Internet y la popularización de la tecnología de redes, otorgar importancia y apoyar la investigación y el desarrollo de la tecnología de seguridad de redes, y mejorar las capacidades de protección de seguridad de la red. Las autoridades competentes pertinentes deben fortalecer la publicidad y la educación sobre la seguridad de las operaciones en Internet y la seguridad de la información, implementar una supervisión y gestión efectivas de acuerdo con la ley, prevenir y detener diversas actividades ilegales en Internet y crear un buen entorno social para el desarrollo saludable de Internet. . Las unidades dedicadas al negocio de Internet deberán desarrollar sus actividades de conformidad con la ley. Cuando aparecen actos ilegales y criminales e información dañina en Internet, se deben tomar medidas para detener la difusión de información dañina e informar a los departamentos pertinentes de manera oportuna. Cualquier organización o individuo debe cumplir con la ley al utilizar Internet y resistir diversas actividades ilegales y delictivas e información dañina. Los tribunales populares, las fiscalías populares, los organismos de seguridad pública y los organismos de seguridad nacional deben desempeñar sus respectivas funciones y cooperar estrechamente para reprimir diversas actividades delictivas cometidas utilizando Internet de conformidad con la ley. Es necesario movilizar el poder de toda la sociedad y confiar en los esfuerzos conjuntos de toda la sociedad para garantizar la seguridad operativa y de la información de Internet y promover la construcción de la civilización espiritual y material socialista.
Estándares de la industria de seguridad de la República Popular China y principios de clasificación de productos especiales para la seguridad de sistemas de información informática
Ministerio de Seguridad Pública, 21 de abril de 1997
1 Alcance
Esta norma especifica los principios de clasificación de productos específicos de seguridad de sistemas de información informática.
Esta norma se aplica a productos especiales que protegen la seguridad de los sistemas de información informática, involucrando seguridad física,
seguridad operativa y seguridad de la información.
La seguridad física incluye la seguridad ambiental, la seguridad de los equipos y la seguridad de los medios.
La seguridad operativa incluye análisis de riesgos, pistas de auditoría, copias de seguridad y recuperación, y respuesta a emergencias.
La seguridad de la información incluye la seguridad del sistema operativo, la seguridad de la base de datos, la seguridad de la red, la protección antivirus y el acceso.
Pregunta sobre siete aspectos: control, cifrado y autenticación.
2 Principios de clasificación
Para garantizar la naturaleza científica del sistema de clasificación, se deben seguir los siguientes principios:
1.
2. Operatividad de las normas;
3. Integridad del sistema de clasificación;
4. Compatibilidad con la tradición. por función del producto.
3 Definición de términos
3.1 Sistema de información informática Sistema de información informática
se refiere a las computadoras y sus equipos e instalaciones relacionados y de soporte (incluidas las redes), según
Persona que recopila, procesa, almacena, transmite y recupera información aplicando ciertos objetivos y reglas.
Sistema de máquina.
3.2 Los productos de seguridad del sistema de información informática se utilizan en los sistemas de información informáticos.
Se refiere a productos especiales de hardware y software utilizados para proteger la seguridad de los sistemas de información informáticos.
3.3 Seguridad Física
Proteger los equipos informáticos, las instalaciones (incluidas las redes) y otros medios de terremotos, inundaciones, incendios,
gases peligrosos y otros accidentes ambientales ( como la contaminación electromagnética) medidas y procesos de destrucción.
3.4 Garantía de operación de seguridad
Para garantizar la implementación segura de las funciones del sistema, se proporciona un conjunto de medidas de seguridad (como análisis de riesgos y seguimiento de auditorías).
, copia de seguridad y recuperación, emergencia, etc. ) para proteger la seguridad del procesamiento de la información.
3.5 Seguridad de la información Seguridad de la información
Evitar que la propiedad de la información sea divulgada, manipulada, destruida o ilegalizada de forma intencionada o accidental.
Identificación y control del sistema. Esto es para garantizar la integridad, confidencialidad, disponibilidad y controlabilidad de la información.
3.6 Hacker
Persona que ingresa a un sistema de información informático sin autorización.
3.7 Plan de Emergencia
En caso de emergencia, el sistema puede intentar completar el plan de misión original.
3.8 Autoridad certificadora Autoridad certificadora
Demuestra la autenticidad de la entidad (como la identidad del usuario, la clave pública del usuario, etc.) en forma de certificado.
3.9 Sistema operativo de seguridad Sistema operativo de seguridad
Proporciona la protección de seguridad correspondiente para los datos y recursos administrados y controla eficazmente las funciones de hardware y software.
Sistema operativo.
3.10 Control de acceso El control de acceso
se refiere a las restricciones a la autoridad o capacidad del sujeto para acceder a objetos, así como a las restricciones de entrada a áreas físicas (acceso
control) y restricciones en las computadoras Uso del sistema y del almacenamiento de la computadora.