⑴ 誰負責國家數據安全工作的決策和意識協調
中央國家安全領導機構
中華人民共和國數據安全法
第一章總則
第一條為了規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法。
第二條在中華人民共和國境內開展數據處理活動及其安全監管,適用本法。
在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
第三條本法所稱數據,是指任何以電子或者其他方式對信息的記錄。
數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。
數據安全,是指通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
第四條維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。
第五條中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。
第六條各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網路數據安全和相關監管工作。
第七條國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。
第八條開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。
第九條國家支持開展數據安全知識宣傳普及,提高全社會的數據安全保護意識和水平,推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作,形成全社會共同維護數據安全和促進發展的良好環境。
第十條相關行業組織按照章程,依法制定數據安全行為規范和團體標准,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。
第十一條國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全、自由流動。
第十二條任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。
有關主管部門應當對投訴、舉報人的相關信息予以保密,保護投訴、舉報人的合法權益。
第二章數據安全與發展
第十三條國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展。
第十四條國家實施大數據戰略,推進數據基礎設施建設,鼓勵和支持數據在各行業、各領域的創新應用。
省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃,並根據需要制定數字經濟發展規劃。
第十五條國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
第十六條國家支持數據開發利用和數據安全技術研究,鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新,培育、發展數據開發利用和數據安全產品、產業體系。
第十七條國家推進數據開發利用技術和數據安全標准體系建設。國務院標准化行政主管部門和國務院有關部門根據各自的職責,組織制定並適時修訂有關數據開發利用技術、產品和數據安全相關標准。國家支持企業、社會團體和教育、科研機構等參與標准制定。
第十八條國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防範、處置等方面開展協作。
第十九條國家建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。
第二十條國家支持教育、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓,採取多種方式培養數據開發利用技術和數據安全專業人才,促進人才交流。
第三章數據安全制度
第二十一條國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
第二十二條國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。
第二十三條國家建立數據安全應急處置機制。發生數據安全事件,有關主管部門應當依法啟動應急預案,採取相應的應急處置措施,防止危害擴大,消除安全隱患,並及時向社會發布與公眾有關的警示信息。
第二十四條國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
依法作出的安全審查決定為最終決定。
第二十五條國家對與維護國家安全和利益、履行國際義務相關的屬於管制物項的數據依法實施出口管制。
第二十六條任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。
第四章數據安全保護義務
第二十七條開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網路開展數據處理活動,應當在網路安全等級保護制度的基礎上,履行上述數據安全保護義務。
重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
第二十八條開展數據處理活動以及研究開發數據新技術,應當有利於促進經濟社會發展,增進人民福祉,符合社會公德和倫理。
第二十九條開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即採取補救措施;發生數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。
第三十條重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。
風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。
第三十一條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
第三十二條任何組織、個人收集數據,應當採取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。
法律、行政法規對收集、使用數據的目的、范圍有規定的,應當在法律、行政法規規定的目的和范圍內收集、使用數據。
第三十三條從事數據交易中介服務的機構提供服務,應當要求數據提供方說明數據來源,審核交易雙方的身份,並留存審核、交易記錄。
第三十四條法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。
第三十五條公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批准手續,依法進行,有關組織、個人應當予以配合。
第三十六條中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供數據的請求。非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。
第五章政務數據安全與開放
第三十七條國家大力推進電子政務建設,提高政務數據的科學性、准確性、時效性,提升運用數據服務經濟社會發展的能力。
第三十八條國家機關為履行法定職責的需要收集、使用數據,應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供。
第三十九條國家機關應當依照法律、行政法規的規定,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。
第四十條國家機關委託他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批准程序,並應當監督受託方履行相應的數據安全保護義務。受託方應當依照法律、法規的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。
第四十一條國家機關應當遵循公正、公平、便民的原則,按照規定及時、准確地公開政務數據。依法不予公開的除外。
第四十二條國家制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平台,推動政務數據開放利用。
第四十三條法律、法規授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動,適用本章規定。
第六章法律責任
第四十四條有關主管部門在履行數據安全監管職責中,發現數據處理活動存在較大安全風險的,可以按照規定的許可權和程序對有關組織、個人進行約談,並要求有關組織、個人採取措施進行整改,消除隱患。
第四十五條開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重後果的,處五十萬元以上二百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
第四十六條違反本法第三十一條規定,向境外提供重要數據的,由有關主管部門責令改正,給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
第四十七條從事數據交易中介服務的機構未履行本法第三十三條規定的義務的,由有關主管部門責令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得或者違法所得不足十萬元的,處十萬元以上一百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十八條違反本法第三十五條規定,拒不配合數據調取的,由有關主管部門責令改正,給予警告,並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
違反本法第三十六條規定,未經主管機關批准向外國司法或者執法機構提供數據的,由有關主管部門給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重後果的,處一百萬元以上五百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
第四十九條國家機關不履行本法規定的數據安全保護義務的,對直接負責的主管人員和其他直接責任人員依法給予處分。
第五十條履行數據安全監管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的,依法給予處分。
第五十一條竊取或者以其他非法方式獲取數據,開展數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照有關法律、行政法規的規定處罰。
第五十二條違反本法規定,給他人造成損害的,依法承擔民事責任。
違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七章附則
第五十三條開展涉及國家秘密的數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。
在統計、檔案工作中開展數據處理活動,開展涉及個人信息的數據處理活動,還應當遵守有關法律、行政法規的規定。
第五十四條軍事數據安全保護的辦法,由中央軍事委員會依據本法另行制定。
第五十五條本法自2021年9月1日起施行。
⑵ 公安機關互聯網安全監督檢查規定
第一章總則第一條為規范公安機關互聯網安全監督檢查工作,預防網路違法犯罪,維護網路安全,保護公民、法人和其他組織合法權益,根據《中華人民共和國人民警察法》、《中華人民共和國網路安全法》等有關法律、行政法規,制定本規定。第二條本規定適用於公安機關依法對互聯網服務提供者和聯網使用單位履行法律、行政法規規定的網路安全義務情況進行的安全監督檢查。第三條互聯網安全監督檢查工作由縣級以上地方人民政府公安機關網路安全保衛部門組織實施。
上級公安機關應當對下級公安機關開展互聯網安全監督檢查工作情況進行指導和監督。第四條公安機關開展互聯網安全監督檢查,應當遵循依法科學管理、保障和促進發展的方針,嚴格遵守法定許可權和程序,不斷改進執法方式,全面落實執法責任。第五條公安機關及其工作人員對履行互聯網安全監督檢查職責中知悉的個人信息、隱私、商業秘密和國家秘密,應當嚴格保密,不得泄露、出售或者非法向他人提供。
公安機關及其工作人員在履行互聯網安全監督檢查職責中獲取的信息,只能用於維護網路安全的需要,不得用於其他用途。第六條公安機關對互聯網安全監督檢查工作中發現的可能危害國家安全、公共安全、社會秩序的網路安全風險,應當及時通報有關主管部門和單位。第七條公安機關應當建立並落實互聯網安全監督檢查工作制度,自覺接受檢查對象和人民群眾的監督。第二章監督檢查對象和內容第八條互聯網安全監督檢查由互聯網服務提供者的網路服務運營機構和聯網使用單位的網路管理機構所在地公安機關實施。互聯網服務提供者為個人的,可以由其經常居住地公安機關實施。第九條公安機關應當根據網路安全防範需要和網路安全風險隱患的具體情況,對下列互聯網服務提供者和聯網使用單位開展監督檢查:
(一)提供互聯網接入、互聯網數據中心、內容分發、域名服務的;
(二)提供互聯網信息服務的;
(三)提供公共上網服務的;
(四)提供其他互聯網服務的;
對開展前款規定的服務未滿一年的,兩年內曾發生過網路安全事件、違法犯罪案件的,或者因未履行法定網路安全義務被公安機關予以行政處罰的,應當開展重點監督檢查。第十條公安機關應當根據互聯網服務提供者和聯網使用單位履行法定網路安全義務的實際情況,依照國家有關規定和標准,對下列內容進行監督檢查:
(一)是否辦理聯網單位備案手續,並報送接入單位和用戶基本信息及其變更情況;
(二)是否制定並落實網路安全管理制度和操作規程,確定網路安全負責人;
(三)是否依法採取記錄並留存用戶注冊信息和上網日誌信息的技術措施;
(四)是否採取防範計算機病毒和網路攻擊、網路侵入等技術措施;
(五)是否在公共信息服務中對法律、行政法規禁止發布或者傳輸的信息依法採取相關防範措施;
(六)是否按照法律規定的要求為公安機關依法維護國家安全、防範調查恐怖活動、偵查犯罪提供技術支持和協助;
(七)是否履行法律、行政法規規定的網路安全等級保護等義務。第十一條除本規定第十條所列內容外,公安機關還應當根據提供互聯網服務的類型,對下列內容進行監督檢查:
(一)對提供互聯網接入服務的,監督檢查是否記錄並留存網路地址及分配使用情況;
(二)對提供互聯網數據中心服務的,監督檢查是否記錄所提供的主機託管、主機租用和虛擬空間租用的用戶信息;
(三)對提供互聯網域名服務的,監督檢查是否記錄網路域名申請、變動信息,是否對違法域名依法採取處置措施;
(四)對提供互聯網信息服務的,監督檢查是否依法採取用戶發布信息管理措施,是否對已發布或者傳輸的法律、行政法規禁止發布或者傳輸的信息依法採取處置措施,並保存相關記錄;
(五)對提供互聯網內容分發服務的,監督檢查是否記錄內容分發網路與內容源網路鏈接對應情況;
(六)對提供互聯網公共上網服務的,監督檢查是否採取符合國家標準的網路與信息安全保護技術措施。第十二條在國家重大網路安全保衛任務期間,對與國家重大網路安全保衛任務相關的互聯網服務提供者和聯網使用單位,公安機關可以對下列內容開展專項安全監督檢查:
(一)是否制定重大網路安全保衛任務所要求的工作方案、明確網路安全責任分工並確定網路安全管理人員;
(二)是否組織開展網路安全風險評估,並採取相應風險管控措施堵塞網路安全漏洞隱患;
(三)是否制定網路安全應急處置預案並組織開展應急演練,應急處置相關設施是否完備有效;
(四)是否依法採取重大網路安全保衛任務所需要的其他網路安全防範措施;
(五)是否按照要求向公安機關報告網路安全防範措施及落實情況。
對防範恐怖襲擊的重點目標的互聯網安全監督檢查,按照前款規定的內容執行。
⑶ 建立國家數據安全工作什麼機制
數字經濟時代,「數據」已經成為一種重要的生產要素,被視為21世紀的「石油」。但在重要性不斷提升的同時,數據保護問題也愈發突出,成為各國網路治理的熱點和難點。另一方面,由於數據已經成為國家基礎性戰略資源,全球圍繞數據資源及新興數字市場也正展開一場激烈博弈。在此背景下,數據治理不僅關乎數據本身的開發利用和安全問題,而且與國家主權、社會秩序和公共利益休戚相關。堅持總體國家安全觀,明確我國數據安全治理採取最高決策、協同治理的頂層設計,應對數據這一非傳統領域的國家安全風險。
數據安全事關國家安全,該法第5條從國家戰略的高度,明確由中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制,實現最高決策。數據安全與網路安全具有相關性,該法延續網路安全法的職責授權,明確由國家網信部門負責統籌協調網路數據安全和相關監管工作,同時公安機關、國家安全機關在各自職責范圍內承擔數據安全監管職責。
拓展資料:明確國家建立數據安全風險評估、報告、信息共享、監測預警機制,實現事前風險評估、報告和信息共享,以及事中監測預警;第23條明確國家建立數據安全應急處置機制,通過事後應急處置,防止數據安全事件的危害擴大,消除安全隱患。同時,要求數據處理者履行相應的風險監測、數據安全事件報告、數據安全風險評估等義務。
法律依據:《數據安全法》第二十一條規定,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護,並明確加強對重要數據的保護,對關系國家安全、國民經濟命脈、重要民生、重大公共利益等內容的國家核心數據,實行更加嚴格的管理制度。
⑷ 公安網路和信息安全管理有哪些制度
網路安全管理機構和制度
網路安全管理機構和規章制度是網路安全的組織與制度保障。網路安全管理的制度包括人事資源管理、資產物業管理、教育培訓、資格認證、人事考核鑒定製度、動態運行機制、日常工作規范、崗位責任制度等。建立健全網路安全管理機構和各項規章制度,需要做好以下幾個方面。
1.完善管理機構和崗位責任制
計算機網路系統的安全涉及整個系統和機構的安全、效益及聲譽。系統安全保密工作最好由單位主要領導負責,必要時設置專門機構,如安全管理中心SOC等,協助主要領導管理。重要單位、要害部門的安全保密工作分別由安全、保密、保衛和技術部門分工負責。所有領導機構、重要計算機系統的安全組織機構,包括安全審查機構、安全決策機構、安全管理機構,都要建立和健全各項規章制度。
完善專門的安全防範組織和人員。各單位須建立相應的計算機信息系統安全委員會、安全小組、安全員。安全組織成員應由主管領導、公安保衛、信息中心、人事、審計等部門的工作人員組成,必要時可聘請相關部門的專家組成。安全組織也可成立專門的獨立、認證機構。對安全組織的成立、成員的變動等應定期向公安計算機安全監察部門報告。對計算機信息系統中發生的案件,應當在規定時間內向當地區(縣)級及以上公安機關報告,並受公安機關對計算機有害數據防治工作的監督、檢查和指導。
制定各類人員的崗位責任制,嚴格紀律、管理和分工的原則,不準串崗、兼崗,嚴禁程序設計師同時兼任系統操作員,嚴格禁止系統管理員、終端操作員和系統設計人員混崗。
專職安全管理人員具體負責本系統區域內安全策略的實施,保證安全策略的長期有效:負責軟硬體的安裝維護、日常操作監視,應急條件下安全措施的恢復和風險分析等;負責整個系統的安全,對整個系統的授權、修改、特權、口令、違章報告、報警記錄處理、控制台日誌審閱負責,遇到重大問題不能解決時要及時向主管領導報告。
安全審計人員監視系統運行情況,收集對系統資源的各種非法訪問事件,並對非法事件進行記錄、分析和處理。必要時將審計事件及時上報主管部門。
保安人員負責非技術性常規安全工作,如系統周邊的警衛、辦公安全、出入門驗證等。
2.健全安全管理規章制度
建立健全完善的安全管理規章制度,並認真貫徹落實非常重要。常用的網路安全管理規章制度包括以下7個方面:
1)系統運行維護管理制度。包括設備管理維護制度、軟體維護制度、用戶管理制度、密鑰管理制度、出入門衛管理值班制度、各種操作規程及守則、各種行政領導部門的定期檢查或監督制度。機要重地的機房應規定雙人進出及不準單人在機房操作計算機的制度。機房門加雙鎖,保證兩把鑰匙同時使用才能打開機房。信息處理機要專機專用,不允許兼作其他用途。終端操作員因故離開終端必須退出登錄畫面,避免其他人員非法使用。
2)計算機處理控制管理制度。包括編制及控制數據處理流程、程序軟體和數據的管理、拷貝移植和存儲介質的管理,文件檔案日誌的標准化和通信網路系統的管理。
3)文檔資料管理。各種憑證、單據、賬簿、報表和文字資科,必須妥善保管和嚴格控制;交叉復核記賬;各類人員所掌握的資料要與其職責一致,如終端操作員只能閱讀終端操作規程、手冊,只有系統管理員才能使用系統手冊。
4)操作及管理人員的管理制度。建立健全各種相關人員的管理制度,主要包括:
① 指定具體使用和操作的計算機或伺服器,明確工作職責、許可權和范圍;
② 程序員、系統管理員、操作員崗位分離且不混崗;
③ 禁止在系統運行的機器上做與工作無關的操作;
④ 不越權運行程序,不查閱無關參數;
⑤ 當系統出現操作異常時應立即報告;
⑥ 建立和完善工程技術人員的管理制度;
⑦ 當相關人員調離時,應採取相應的安全管理措施。如人員調離的時馬上收回鑰匙、移交工作、更換口令、取消賬號,並向被調離的工作人員申明其保密義務。
5) 機房安全管理規章制度。建立健全的機房管理規章制度,經常對有關人員進行安全教育與培訓,定期或隨機地進行安全檢查。機房管理規章制度主要包括:機房門衛管理、機房安全工作、機房衛生工作、機房操作管理等。
6)其他的重要管理制度。主要包括:系統軟體與應用軟體管理制度、數據管理制度、密碼口令管理制度、網路通信安全管理制度、病毒的防治管理制度、實行安全等級保護制度、實行網路電子公告系統的用戶登記和信息管理制度、對外交流維護管理制度等。
7)風險分析及安全培訓
① 定期進行風險分析,制定意外災難應急恢復計劃和方案。如關鍵技術人員的多種聯絡方法、備份數據的取得、系統重建的組織。
② 建立安全考核培訓制度。除了應當對關鍵崗位的人員和新員工進行考核之外,還要定期進行計算機安全方面的法律教育、職業道德教育和計算機安全技術更新等方面的教育培訓。
對於從事涉及國家安全、軍事機密、財政金融或人事檔案等重要信息的工作人員更要重視安全教育,並應挑選可靠素質好的人員擔任。
3.堅持合作交流制度
計算機網路在快速發展中,面臨嚴峻的安全問題。維護互聯網安全是全球的共識和責任,網路運營商更負有重要責任,應對此高度關注,發揮互聯網積極、正面的作用,包括對青少年在內的廣大用戶負責。各級政府也有責任為企業和消費者創造一個共享、安全的網路環境,同時也需要行業組織、企業和各利益相關方的共同努力。因此,應當大力加強與相關業務往來單位和安全機構的合作與交流,密切配合共同維護網路安全,及時獲得必要的安全管理信息和專業技術支持與更新。國內外也應當進一步加強交流與合作,拓寬網路安全國際合作渠道,建立政府、網路安全機構、行業組織及企業之間多層次、多渠道、齊抓共管的合作機制。
拓展閱讀:網路安全技術及應用(第2版)機械工業出版社 賈鐵軍主編 上海優秀教材獎
⑸ 公安局網路安全管理職位是干嗎的
公安局網路安全管理是負責管理網路,負責國家的網路安全,保護國家和人民的利益不受侵害。
1、協調、監督、檢查、指導對本地區黨政機關和金融機構等重要部門公共信息網路和互聯網的安全保護管理工作。
2、監督計算機信息系統的使用單位和國際互聯網的互聯單位、接入單位及有關用戶建立健全安全管理制度的落實情況;檢查網路安全管理及技術措施的落實情況。
3、監督、檢查和指導計算機信息系統使用單位安全組織和安全員的工作。
4、監督、檢查、指導要害部門計算機信息系統安全等級保護制度的落實。
5、依據國家有關計算機機房的標准和規定,對計算機機房的建設和在計算機機房附近的施工進行監督管理。
6、依據國家有關對計算機信息系統(場所)防雷防靜電的標准和規定,對計算機信息系統(場所)防雷防靜電安全檢測工作實行備案登記和安全審核制度。
7、對計算機信息系統安全專用產品銷售許可證進行監督檢查。
8、對計算機病毒和危害社會公共安全的其他有害數據的防治研究工作進行管理。
9、查處違反計算機信息網路國際聯網國際出入口信道、互聯網路、接入網路管理規定的行為。
10、依據有關法律法規的規定,對"網吧"、"酒店電子商務中心"等互聯網上網服務營業場所實行備案登記和安全審核制度。
11、掌握計算機信息網路國際聯網的互聯單位、接入單位和用戶的備案情況,建立備案檔案,進行備案統計,並按國家有關規定逐級上報。
12、對單位和個人利用國際聯網製作、復制、查閱、傳播有害信息的情況給予查處,對上述地址、目錄、伺服器,應通知有關單位關閉或刪除。
13、負責接受有關單位和用戶計算機信息系統中發生的案件報告,查處公共信息網路安全事故和非法侵入國家重要計算機信息系統、破壞計算機信息系統功能、破壞計算機信息系統數據和應用程序、傳播計算機破壞性程序等違法犯罪案件,查處利用計算機實施的金融詐騙、盜竊、貪污、挪用公款、竊取國家機密等違法犯罪案件。
14、掌握公共信息網路違法犯罪的發展動態,研究違法犯罪的特點和規律,提出防範和打擊公共信息網路違法犯罪的對策。
15、研究計算機違法犯罪案件的取證、破譯、解密等偵破技術,並負責對計算機違法犯罪案件中的電子數據證據進行取證和技術鑒定。
16、對計算機信息網路和計算機系統輻射、泄露等安全狀況進行檢查、安全評估。
17、對有關公共信息網路安全的法律法規的執法情況實施監督。
18、組織開展計算機信息系統安全的宣傳、教育、培訓。
《通信簡訊息服務管理規定》
第二條 在中華人民共和國境內提供、使用簡訊息服務,適用本規定。
第三條 工業和信息化部負責對全國的簡訊息服務實施監督管理。省、自治區、直轄市通信管理局負責對本行政區域內的簡訊息服務實施監督管理。工業和信息化部和省、自治區、直轄市通信管理局統稱電信管理機構。
第四條 提供、使用簡訊息服務的,應當遵守法律、行政法規和電信管理機構的相關規定,不得利用簡訊息服務從事違法活動。
第五條 鼓勵有關行業協會依法制定簡訊息服務的自律性管理制度,引導會員加強自律管理。
⑹ 根據網路安全法的規定什麼應當為公安機關國家安全機關依法維護國家安全和偵查
根據網路安全法規定,網路運營商應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。
建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。
《中華人民共和國網路安全法》第二十八條規定,網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
⑺ 中華人民共和國數據安全法
第一章總則第一條為了規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法。第二條在中華人民共和國境內開展數據處理活動及其安全監管,適用本法。
在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。第三條本法所稱數據,是指任何以電子或者其他方式對信息的記錄。
數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。
數據安全,是指通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。第四條維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。第五條中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。第六條各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網路數據安全和相關監管工作。第七條國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。第八條開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。第九條國家支持開展數據安全知識宣傳普及,提高全社會的數據安全保護意識和水平,推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作,形成全社會共同維護數據安全和促進發展的良好環境。第十條相關行業組織按照章程,依法制定數據安全行為規范和團體標准,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。第十一條國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全、自由流動。第十二條任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。
有關主管部門應當對投訴、舉報人的相關信息予以保密,保護投訴、舉報人的合法權益。第二章數據安全與發展第十三條國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展。第十四條國家實施大數據戰略,推進數據基礎設施建設,鼓勵和支持數據在各行業、各領域的創新應用。
省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃,並根據需要制定數字經濟發展規劃。第十五條國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。第十六條國家支持數據開發利用和數據安全技術研究,鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新,培育、發展數據開發利用和數據安全產品、產業體系。第十七條國家推進數據開發利用技術和數據安全標准體系建設。國務院標准化行政主管部門和國務院有關部門根據各自的職責,組織制定並適時修訂有關數據開發利用技術、產品和數據安全相關標准。國家支持企業、社會團體和教育、科研機構等參與標准制定。第十八條國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防範、處置等方面開展協作。
⑻ 十九大將塑料公安機關在網路安全方面的哪些工作實踐
摘要 一是加強數據安全管理和個人信息保護。加快出台數據安全管理辦法、個人信息出境安全評估辦法等相關法規制度和標准規范。深入開展APP違法違規收集使用個人信息專項治理,依法嚴厲打擊針對和利用國家大數據資源和個人信息的違法犯罪活動。
⑼ 新疆公安機關信息網路安全管理規定
新疆公安機關信息網路安全管理規定如下:
1、公安部負責制定統一的公安信息網安全管理要求、規劃和技術規范;地方公安機關負責制定本區域內公安信息網具體的安全管理要求和規劃;
2、公安機關應當按照公安信息網安全保密策略和技術規范,建設本級公安信息網的邊界接入、物理安全、網路安全、應用安全、數據安全、保密監督管理等技術防護手段。
公安信息網上的應用系統應當具備用戶管理、許可權管理、日誌審計等安全功能,不得留有後門程序或者繞過安全機制。重要應用系統應採用公安信息網數字證書進行身份認證和授權訪問。重要應用系統應將軟體源代碼留存備案。
未經公安部批准,任何單位和個人不得建立公安信息網與其它網路的聯接,不得將公安信息網延伸到公安機關以外單位。
經公安部批准,按照國家保密規定和標准,通過符合標准規范的邊界接入平台實現公安信息網與互聯網或者其它網路信息的安全交換。
公安信息網用戶不得越權訪問公安信息網,不得越權使用公安信息資源,不得泄露公安信息網上警務工作秘密、公民個人信息等不宜對外公開的信息。
公安信息網用戶應當配合相關部門進行安全檢查或者安全案事件調查,不得蓄意干擾、屏蔽、卸載、拆除安全保密監控程序或者監測設備。
法律依據
《公安信息網安全管理規定(試行)》
第二十九條 公安部按年度組織開展全國公安信息網安全檢查工作。地方公安機關應當定期開展本區域內公安信息網安全檢查,並按照上級主管部門要求報告安全檢查結果、落實安全整改要求。
⑽ 相對於中華人民共和國網路安全法中華人民共和國數據安全法在什麼管轄上實現了
相對於中華人民共和國網路安全法中華人民共和國數據安全法在境外管轄上實現了突破
1、《數據安全法》對「數據」概念進行補充和延伸。
已生效的《網路安全法》並沒有對「數據」進行定義,而採用「網路數據」(通過網路收集、存儲、傳輸、處理和產生的各種電子數據)和「個人信息」(以電子或其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息)兩個概念,兩個概念事實上已涵蓋了公民參與網路活動中使用各類電子數據和涉及個人信息的部分線下數據。
由於立法角度差異,《數據安全法》直接簡明扼要地將「數據」定義為「任何以電子或非電子形式對信息的記錄」,其保護范圍較《網路安全法》大大擴展,這一改變將電子化記錄與其他方式記錄的信息統一納入數據范疇,既符合數字化時代的信息安全要求,又適應了數字經濟時代整體信息保護和整體信息安全的新要求。
2、《數據安全法》已具備一定「域外效力」,為反制國外相關法律的「長臂管轄」提供了法理依據。
與《網路安全法》「在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法」相比,《數據安全法》更進一步,規定「中華人民共和國境外的組織、個人開展數據活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。」當今,伴隨著互聯網的高速發展,數據的收集和存儲早已突破了國界的限制,如歐盟的GDPR已極大擴展了其域外數據安全管轄權范圍。GDPR更注重效果原則,只要在客觀效果上構成對本國或本地區自然人個人數據的處理,就受GDPR管轄。《數據安全法》引入「域外效力」對保護我國國家主權和公民個人權利意義十分重大。
3、兩部法律均提到了「重要數據」這一概念,但受限於實踐中掌握尺度問題,均未明確界定其范圍。
《網路安全法》對重要數據的分類保護以及出境做了規定。該法第二十一條規定了網路運營者應「採取數據分類、重要數據備份和加密等措施」。《數據安全法》第二十五條對重要數據的處理者應當設立數據安全負責人和管理機構也做出了規定。雖然兩部法律均未對重要數據范圍進行界定,但可通過相關其他法律及規則定義進行識別和借鑒,比如:2019年5月28日,國家互聯網信息化辦公室公布了《數據安全管理辦法(徵求意見稿)》。其對「重要數據」明確界定為:「重要數據,是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等」。
4、《數據安全法》確立了全新的「數據安全評估制度」,評估范圍更廣。
在《網路安全法》及《個人信息和重要數據出境安全評估辦法(徵求意見稿)》、《數據安全管理辦法(徵求意見稿)》中,均規定了數據出境的安全評估制度,但上述制度僅限於數據或重要數據出境過程中的評估。如《網路安全法》第三十七條規定:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。而《數據安全法》所規定的數據安全評估,范圍更廣,針對重要數據處理者的全部數據活動。《數據安全法》第二十八條規定:「重要數據的處理者應當按照規定對其數據活動定期開展風險評估,並向有關主管部門報送風險評估報告。風險評估報告應當包括本組織掌握的重要數據的種類、數量,收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等」。
從執法案例分析
縱觀《網路安全法》2018年1年的執法案例,機關、事業單位、企業的合規風險主要集中在網路安全等級保護、個人信息保護、網路信息內容審核、網路產品和服務等五個方面。由於《數據安全法》尚未正式執行,我們也可以參考網路安全法執法重點和處罰措施,對於企業合規具有借鑒意義,對於網路安全從業者,有助於避開企業網路、信息安全雷區,完善企業自身網路安全防禦體系。
1、《網路安全法》主要責任主體為網路運營者。
對於企業而言,根據《網路安全法》第76條第3款的規定,網路運營者是指網路的所有者、管理者和網路服務提供者。結合執法案例具體而言,責任主體主要集中在以下三類:具有信息發布功能的網站及平台(比如新浪微博、微信公眾平台、網路、今日頭條)的運營者;網路科技/技術公司;學校、學院及其他事業單位。
《數據安全法》的主要責任主體是重要數據的處理者。在「第四章 數據安全保護義務,第二十七條 重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。」有說明。
2、《網路安全法》主要執法機構:國家網信辦,工信部,公安部。
盡管目前尚未有明確的規定或指引告知各個執法部門的主要執法范圍,但根據2018網路執法案例來看,各部門大致執法點如下圖所示。
《數據安全法》第一章 總則 第六條 規定了主管部門和行業監管,工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔數據安全監管職責;公安機關、國家安全機關承擔數據安全監管職責;國家網信部門負責統籌協調網路數據安全和相關監管工作,具體各部門的執法關注點要等一年後的執法案例分析。