5053 网络、信息安全管理不当风险(新)_信息安全与网络管理

5053 网络、信息安全管理不当风险(新)由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“信息安全与网络管理”。

5500553

3网网络络、、信信息息安安全全管管理理不不当当风风险险

涉涉及及到到的的法法律律法法规规

1、《电信条例》

2、《互联网信息服务管理办法》

4、《计算机信息系统安全保护条例》

5、《电信服务规范》

6、《公安部关于执行〈计算机信息网络国际联网安全保护管理办法〉中有关问题的通知》

7、《中华人民共和国保守国家秘密法》

8、《通信网络安全防护管理办法》

涉涉及及到到的的法法条条

1、《电信条例》

第六十条

电信业务经营者应当按照国家有关电信安全的规定，建立健全内部安全保障制度，实行安全保障责任制

2、《互联网信息服务管理办法》

第六条

从事经营性互联网信息服务，除应当符合《中华人民共和国电信条例》规定的要求外，还应当具备下列条件：

（一）有业务发展计划及相关技术方案；

（二）有健全的网络与信息安全保障措施，包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度；

（三）服务项目属于本办法第五条规定范围的，已取得有关主管部门同意的文件。

4、《计算机信息系统安全保护条例》

第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

第十条 计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工，不得危害计算机信息系统的安全。

第十三条 计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机 1 信息系统的安全保护工作。

6、《计算机信息网络国际联网安全保护管理办法》

第七条

用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。

第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：

(一)负责本网络的安全保护管理工作，建立健全安全保护管理制度;(二)落实安全保护技术措施，保障本网络的运行安全和信息安全;(三)负责对本网络用户的安全教育和培训;(四)对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核;(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告;(七)按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。

7、《公安部关于执行〈计算机信息网络国际联网安全保护管理办法〉中有关问题的通知》

一、关于“安全保护管理制度”问题

《办法》第十条第一项和第二十一条第一项中的“安全保护管理制度”主要包括：（１）信息发布审核、登记制度；（２）信息监视、保存、清除和备份制度；（３）病毒检测和网络安全漏洞检测制度；（４）违法案件报告和协助查处制度；（５）账号使用登记和操作权限管理制度；（６）安全管理人员岗位工作职责；（７）安全教育和培训制度；

（８）其他与安全保护相关的管理制度。

二、关于“安全保护技术措施”问题

《办法》第十条第二项中的“安全保护技术措施”和第二十一条第二项中的“安全技术保护措施”主要包括：

（１）具有保存３个月以上系统网络运行日志和用户使用日志记录功能，内容包括ＩＰ地址分配及使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应ＩＰ地址，交互式栏目的信息等；（２）具有安全审计或预警功能；

（３）开设邮件服务的，具有垃圾邮件清理功能；

（４）开设交互式信息栏目的，具有身份登记和识别确认功能；（５）计算机病毒防护功能；

（６）其他保护信息和系统网络安全的技术措施。

三、关于“安全保护管理所需信息、资料及数据文件”问题

《办法》第八条中的“有关安全保护的信息、资料及数据文件”和第二十一条第四项中的“安全保护管理所需信息、资料及数据文件”主要包括：

（１）用户注册登记、使用与变更情况（含用户账号、ＩＰ与Ｅ－ＭＡＩＬ地址等）；（２）ＩＰ地址分配、使用及变更情况；（３）网页栏目设置与变更及栏目负责人情况；（４）网络服务功能设置情况；（５）与安全保护相关的其他信息。

四、关于“保留有关原始记录”问题

《办法》第十条第六项中的“有关原始记录”是指有关信息或行为在网上出现或发生时，计算机记录、存贮的所有相关数据，包括时间、内容（如图像、文字、声音等）、来源（如源ＩＰ地址、Ｅ－ＭＡＩＬ地址等）及系统网络运行日志、用户使用日志等。

五、关于“停机整顿”处罚的执行问题

按照《办法》规定作出“停机整顿”的处罚决定，可采取的执行措施包括：（１）停止计算机信息系统运行；（２）停止部分计算机信息系统功能；（３）冻结用户联网账号；（４）其他有效执行措施。

各地接到本通知后，要以适当的形式将其内容向社会公布，并结合实际贯彻落实。工作中遇到的重要问题，请及时报部。

8、《中华人民共和国保守国家秘密法》

第二十四条机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得有下列行为：

(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;

(二)在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;

(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;

(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;

(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。

第二十五条机关、单位应当加强对国家秘密载体的管理，任何组织和个人不得有下列行为：

(一)非法获取、持有国家秘密载体;

(二)买卖、转送或者私自销毁国家秘密载体;

(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;

(四)邮寄、托运国家秘密载体出境;

(五)未经有关主管部门批准，携带、传递国家秘密载体出境。

第二十六条禁止非法复制、记录、存储国家秘密。

禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。

禁止在私人交往和通信中涉及国家秘密。

第二十八条互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的，应当立即停止传输，保存有关记录，向公安机关、国家安全机关或者保密行政管理部门报告;应当根据公安机关、国家安全机关或者保密行政管理部门的要求，删除涉及泄露国家秘密的信息。

8、《通信网络安全防护管理办法》

第二条 中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作，适用本办法。

本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。

本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。

引引发发的的法法律律责责任任和和后后果果

行政及刑事责任：

1、《保守国家秘密法》

第四十八条违反本法规定，有下列行为之一的，依法给予处分;构成犯罪的，依法追究刑事责任：

(一)非法获取、持有国家秘密载体的;

(二)买卖、转送或者私自销毁国家秘密载体的;

(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;

(四)邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的;

(五)非法复制、记录、存储国家秘密的;

(六)在私人交往和通信中涉及国家秘密的;

(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;

(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;

(九)在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;

(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;

(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;

(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。

有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。

2、《中央企业商业秘密保护暂行规定》

第三十二条 中央企业员工泄露或者非法使用商业秘密，情节较重或者给企业造成较大损失的，应当依法追究相关法律责任。涉嫌犯罪的，依法移送司法机关处理。

3、《计算机信息网络国际联网安全保护管理办法》

第二十一条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得;在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款;情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。

(一)未建立安全保护管理制度的;

(二)未采取安全技术保护措施的;

(三)未对网络用户进行安全教育和培训的;

(四)未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的;

(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;

(六)未建立电子公告系统的用户登记和信息管理制度的;

(七)未按照国家有关规定，删除网络地址、目录或者关闭服务器的;

(八)未建立公用帐号使用登记制度的;

(九)转借、转让用户帐号的。

4、《计算机病毒防治管理办法》

第十九条 计算机信息系统的使用单位有下列行为之一的，由公安机关处以警告，并根据情况责令其限期改正;逾期不改正的，对单位处以一千元以下罚款，对单位直接负责的主管人员和直接责任人员处以五百元以下罚款：

(一)未建立本单位计算机病毒防治管理制度的;

(二)未采取计算机病毒安全技术防治措施的;

(三)未对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训的;

(四)未及时检测、清除计算机信息系统中的计算机病毒，对计算机信息系统造成危害的;

(五)未使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品，对计算机信息系统造成危害的。

5、《计算机信息系统安全保护条例》

第二十条 违反本条例的规定，有下列行为之一的，由公安机关处以警告或者停机整顿：

(一)违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的;

(二)违反计算机信息系统国际联网备案制度的;

(三)不按照规定时间报告计算机信息系统中发生的案件的;

(四)接到公安机关要求改进安全状况的通知后，在限期内拒不改进的;

(五)有危害计算机信息系统安全的其他行为的。

第二十一条 计算机机房不符合国家标准和国家其他有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公安机关会同有关单位进行处理。

6、《互联网信息服务管理办法》

第二十三条 违反本办法第十六条规定的义务的，由省、自治区、直辖市电信管理机构责令改正；情节严重的，对经营性互联网信息服务提供者，并由发证机关吊销经营许可证，对非经营性互联网信息服务提供者，并由备案机关责令关闭网站。