⑴ 谁负责国家数据安全工作的决策和意识协调
中央国家安全领导机构
中华人民共和国数据安全法
第一章总则
第一条为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
第二条在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第四条维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
第七条国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
第八条开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第九条国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
第十条相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
第十二条任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
第二章数据安全与发展
第十三条国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
第十四条国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
第十五条国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
第十六条国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十八条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第十九条国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第二十条国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
第三章数据安全制度
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第二十六条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章数据安全保护义务
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十八条开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十二条任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
第三十三条从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第三十四条法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
第三十五条公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第五章政务数据安全与开放
第三十七条国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
第三十八条国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第三十九条国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第四十条国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
第四十一条国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第四十二条国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
第四十三条法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
第六章法律责任
第四十四条有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
第四十五条开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
第四十六条违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第四十七条从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第四十九条国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第五十条履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
第五十一条窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
第五十二条违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章附则
第五十三条开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第五十四条军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
第五十五条本法自2021年9月1日起施行。
⑵ 公安机关互联网安全监督检查规定
第一章总则第一条为规范公安机关互联网安全监督检查工作,预防网络违法犯罪,维护网络安全,保护公民、法人和其他组织合法权益,根据《中华人民共和国人民警察法》、《中华人民共和国网络安全法》等有关法律、行政法规,制定本规定。第二条本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。第三条互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。
上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。第四条公安机关开展互联网安全监督检查,应当遵循依法科学管理、保障和促进发展的方针,严格遵守法定权限和程序,不断改进执法方式,全面落实执法责任。第五条公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。
公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。第六条公安机关对互联网安全监督检查工作中发现的可能危害国家安全、公共安全、社会秩序的网络安全风险,应当及时通报有关主管部门和单位。第七条公安机关应当建立并落实互联网安全监督检查工作制度,自觉接受检查对象和人民群众的监督。第二章监督检查对象和内容第八条互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的,可以由其经常居住地公安机关实施。第九条公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对下列互联网服务提供者和联网使用单位开展监督检查:
(一)提供互联网接入、互联网数据中心、内容分发、域名服务的;
(二)提供互联网信息服务的;
(三)提供公共上网服务的;
(四)提供其他互联网服务的;
对开展前款规定的服务未满一年的,两年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的,应当开展重点监督检查。第十条公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;
(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;
(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;
(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;
(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;
(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。第十一条除本规定第十条所列内容外,公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:
(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;
(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;
(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;
(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;
(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;
(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。第十二条在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:
(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;
(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;
(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;
(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;
(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。
对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。
⑶ 建立国家数据安全工作什么机制
数字经济时代,“数据”已经成为一种重要的生产要素,被视为21世纪的“石油”。但在重要性不断提升的同时,数据保护问题也愈发突出,成为各国网络治理的热点和难点。另一方面,由于数据已经成为国家基础性战略资源,全球围绕数据资源及新兴数字市场也正展开一场激烈博弈。在此背景下,数据治理不仅关乎数据本身的开发利用和安全问题,而且与国家主权、社会秩序和公共利益休戚相关。坚持总体国家安全观,明确我国数据安全治理采取最高决策、协同治理的顶层设计,应对数据这一非传统领域的国家安全风险。
数据安全事关国家安全,该法第5条从国家战略的高度,明确由中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制,实现最高决策。数据安全与网络安全具有相关性,该法延续网络安全法的职责授权,明确由国家网信部门负责统筹协调网络数据安全和相关监管工作,同时公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。
拓展资料:明确国家建立数据安全风险评估、报告、信息共享、监测预警机制,实现事前风险评估、报告和信息共享,以及事中监测预警;第23条明确国家建立数据安全应急处置机制,通过事后应急处置,防止数据安全事件的危害扩大,消除安全隐患。同时,要求数据处理者履行相应的风险监测、数据安全事件报告、数据安全风险评估等义务。
法律依据:《数据安全法》第二十一条规定,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护,并明确加强对重要数据的保护,对关系国家安全、国民经济命脉、重要民生、重大公共利益等内容的国家核心数据,实行更加严格的管理制度。
⑷ 公安网络和信息安全管理有哪些制度
网络安全管理机构和制度
网络安全管理机构和规章制度是网络安全的组织与制度保障。网络安全管理的制度包括人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。建立健全网络安全管理机构和各项规章制度,需要做好以下几个方面。
1.完善管理机构和岗位责任制
计算机网络系统的安全涉及整个系统和机构的安全、效益及声誉。系统安全保密工作最好由单位主要领导负责,必要时设置专门机构,如安全管理中心SOC等,协助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、保密、保卫和技术部门分工负责。所有领导机构、重要计算机系统的安全组织机构,包括安全审查机构、安全决策机构、安全管理机构,都要建立和健全各项规章制度。
完善专门的安全防范组织和人员。各单位须建立相应的计算机信息系统安全委员会、安全小组、安全员。安全组织成员应由主管领导、公安保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家组成。安全组织也可成立专门的独立、认证机构。对安全组织的成立、成员的变动等应定期向公安计算机安全监察部门报告。对计算机信息系统中发生的案件,应当在规定时间内向当地区(县)级及以上公安机关报告,并受公安机关对计算机有害数据防治工作的监督、检查和指导。
制定各类人员的岗位责任制,严格纪律、管理和分工的原则,不准串岗、兼岗,严禁程序设计师同时兼任系统操作员,严格禁止系统管理员、终端操作员和系统设计人员混岗。
专职安全管理人员具体负责本系统区域内安全策略的实施,保证安全策略的长期有效:负责软硬件的安装维护、日常操作监视,应急条件下安全措施的恢复和风险分析等;负责整个系统的安全,对整个系统的授权、修改、特权、口令、违章报告、报警记录处理、控制台日志审阅负责,遇到重大问题不能解决时要及时向主管领导报告。
安全审计人员监视系统运行情况,收集对系统资源的各种非法访问事件,并对非法事件进行记录、分析和处理。必要时将审计事件及时上报主管部门。
保安人员负责非技术性常规安全工作,如系统周边的警卫、办公安全、出入门验证等。
2.健全安全管理规章制度
建立健全完善的安全管理规章制度,并认真贯彻落实非常重要。常用的网络安全管理规章制度包括以下7个方面:
1)系统运行维护管理制度。包括设备管理维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门卫管理值班制度、各种操作规程及守则、各种行政领导部门的定期检查或监督制度。机要重地的机房应规定双人进出及不准单人在机房操作计算机的制度。机房门加双锁,保证两把钥匙同时使用才能打开机房。信息处理机要专机专用,不允许兼作其他用途。终端操作员因故离开终端必须退出登录画面,避免其他人员非法使用。
2)计算机处理控制管理制度。包括编制及控制数据处理流程、程序软件和数据的管理、拷贝移植和存储介质的管理,文件档案日志的标准化和通信网络系统的管理。
3)文档资料管理。各种凭证、单据、账簿、报表和文字资科,必须妥善保管和严格控制;交叉复核记账;各类人员所掌握的资料要与其职责一致,如终端操作员只能阅读终端操作规程、手册,只有系统管理员才能使用系统手册。
4)操作及管理人员的管理制度。建立健全各种相关人员的管理制度,主要包括:
① 指定具体使用和操作的计算机或服务器,明确工作职责、权限和范围;
② 程序员、系统管理员、操作员岗位分离且不混岗;
③ 禁止在系统运行的机器上做与工作无关的操作;
④ 不越权运行程序,不查阅无关参数;
⑤ 当系统出现操作异常时应立即报告;
⑥ 建立和完善工程技术人员的管理制度;
⑦ 当相关人员调离时,应采取相应的安全管理措施。如人员调离的时马上收回钥匙、移交工作、更换口令、取消账号,并向被调离的工作人员申明其保密义务。
5) 机房安全管理规章制度。建立健全的机房管理规章制度,经常对有关人员进行安全教育与培训,定期或随机地进行安全检查。机房管理规章制度主要包括:机房门卫管理、机房安全工作、机房卫生工作、机房操作管理等。
6)其他的重要管理制度。主要包括:系统软件与应用软件管理制度、数据管理制度、密码口令管理制度、网络通信安全管理制度、病毒的防治管理制度、实行安全等级保护制度、实行网络电子公告系统的用户登记和信息管理制度、对外交流维护管理制度等。
7)风险分析及安全培训
① 定期进行风险分析,制定意外灾难应急恢复计划和方案。如关键技术人员的多种联络方法、备份数据的取得、系统重建的组织。
② 建立安全考核培训制度。除了应当对关键岗位的人员和新员工进行考核之外,还要定期进行计算机安全方面的法律教育、职业道德教育和计算机安全技术更新等方面的教育培训。
对于从事涉及国家安全、军事机密、财政金融或人事档案等重要信息的工作人员更要重视安全教育,并应挑选可靠素质好的人员担任。
3.坚持合作交流制度
计算机网络在快速发展中,面临严峻的安全问题。维护互联网安全是全球的共识和责任,网络运营商更负有重要责任,应对此高度关注,发挥互联网积极、正面的作用,包括对青少年在内的广大用户负责。各级政府也有责任为企业和消费者创造一个共享、安全的网络环境,同时也需要行业组织、企业和各利益相关方的共同努力。因此,应当大力加强与相关业务往来单位和安全机构的合作与交流,密切配合共同维护网络安全,及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作,拓宽网络安全国际合作渠道,建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。
拓展阅读:网络安全技术及应用(第2版)机械工业出版社 贾铁军主编 上海优秀教材奖
⑸ 公安局网络安全管理职位是干吗的
公安局网络安全管理是负责管理网络,负责国家的网络安全,保护国家和人民的利益不受侵害。
1、协调、监督、检查、指导对本地区党政机关和金融机构等重要部门公共信息网络和互联网的安全保护管理工作。
2、监督计算机信息系统的使用单位和国际互联网的互联单位、接入单位及有关用户建立健全安全管理制度的落实情况;检查网络安全管理及技术措施的落实情况。
3、监督、检查和指导计算机信息系统使用单位安全组织和安全员的工作。
4、监督、检查、指导要害部门计算机信息系统安全等级保护制度的落实。
5、依据国家有关计算机机房的标准和规定,对计算机机房的建设和在计算机机房附近的施工进行监督管理。
6、依据国家有关对计算机信息系统(场所)防雷防静电的标准和规定,对计算机信息系统(场所)防雷防静电安全检测工作实行备案登记和安全审核制度。
7、对计算机信息系统安全专用产品销售许可证进行监督检查。
8、对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作进行管理。
9、查处违反计算机信息网络国际联网国际出入口信道、互联网络、接入网络管理规定的行为。
10、依据有关法律法规的规定,对"网吧"、"酒店电子商务中心"等互联网上网服务营业场所实行备案登记和安全审核制度。
11、掌握计算机信息网络国际联网的互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按国家有关规定逐级上报。
12、对单位和个人利用国际联网制作、复制、查阅、传播有害信息的情况给予查处,对上述地址、目录、服务器,应通知有关单位关闭或删除。
13、负责接受有关单位和用户计算机信息系统中发生的案件报告,查处公共信息网络安全事故和非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、破坏计算机信息系统数据和应用程序、传播计算机破坏性程序等违法犯罪案件,查处利用计算机实施的金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等违法犯罪案件。
14、掌握公共信息网络违法犯罪的发展动态,研究违法犯罪的特点和规律,提出防范和打击公共信息网络违法犯罪的对策。
15、研究计算机违法犯罪案件的取证、破译、解密等侦破技术,并负责对计算机违法犯罪案件中的电子数据证据进行取证和技术鉴定。
16、对计算机信息网络和计算机系统辐射、泄露等安全状况进行检查、安全评估。
17、对有关公共信息网络安全的法律法规的执法情况实施监督。
18、组织开展计算机信息系统安全的宣传、教育、培训。
《通信短信息服务管理规定》
第二条 在中华人民共和国境内提供、使用短信息服务,适用本规定。
第三条 工业和信息化部负责对全国的短信息服务实施监督管理。省、自治区、直辖市通信管理局负责对本行政区域内的短信息服务实施监督管理。工业和信息化部和省、自治区、直辖市通信管理局统称电信管理机构。
第四条 提供、使用短信息服务的,应当遵守法律、行政法规和电信管理机构的相关规定,不得利用短信息服务从事违法活动。
第五条 鼓励有关行业协会依法制定短信息服务的自律性管理制度,引导会员加强自律管理。
⑹ 根据网络安全法的规定什么应当为公安机关国家安全机关依法维护国家安全和侦查
根据网络安全法规定,网络运营商应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
《中华人民共和国网络安全法》第二十八条规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
⑺ 中华人民共和国数据安全法
第一章总则第一条为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。第二条在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。第四条维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。第七条国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。第八条开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。第九条国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。第十条相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。第十二条任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。第二章数据安全与发展第十三条国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。第十四条国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。第十五条国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。第十六条国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。第十八条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
⑻ 十九大将塑料公安机关在网络安全方面的哪些工作实践
摘要 一是加强数据安全管理和个人信息保护。加快出台数据安全管理办法、个人信息出境安全评估办法等相关法规制度和标准规范。深入开展APP违法违规收集使用个人信息专项治理,依法严厉打击针对和利用国家大数据资源和个人信息的违法犯罪活动。
⑼ 新疆公安机关信息网络安全管理规定
新疆公安机关信息网络安全管理规定如下:
1、公安部负责制定统一的公安信息网安全管理要求、规划和技术规范;地方公安机关负责制定本区域内公安信息网具体的安全管理要求和规划;
2、公安机关应当按照公安信息网安全保密策略和技术规范,建设本级公安信息网的边界接入、物理安全、网络安全、应用安全、数据安全、保密监督管理等技术防护手段。
公安信息网上的应用系统应当具备用户管理、权限管理、日志审计等安全功能,不得留有后门程序或者绕过安全机制。重要应用系统应采用公安信息网数字证书进行身份认证和授权访问。重要应用系统应将软件源代码留存备案。
未经公安部批准,任何单位和个人不得建立公安信息网与其它网络的联接,不得将公安信息网延伸到公安机关以外单位。
经公安部批准,按照国家保密规定和标准,通过符合标准规范的边界接入平台实现公安信息网与互联网或者其它网络信息的安全交换。
公安信息网用户不得越权访问公安信息网,不得越权使用公安信息资源,不得泄露公安信息网上警务工作秘密、公民个人信息等不宜对外公开的信息。
公安信息网用户应当配合相关部门进行安全检查或者安全案事件调查,不得蓄意干扰、屏蔽、卸载、拆除安全保密监控程序或者监测设备。
法律依据
《公安信息网安全管理规定(试行)》
第二十九条 公安部按年度组织开展全国公安信息网安全检查工作。地方公安机关应当定期开展本区域内公安信息网安全检查,并按照上级主管部门要求报告安全检查结果、落实安全整改要求。
⑽ 相对于中华人民共和国网络安全法中华人民共和国数据安全法在什么管辖上实现了
相对于中华人民共和国网络安全法中华人民共和国数据安全法在境外管辖上实现了突破
1、《数据安全法》对“数据”概念进行补充和延伸。
已生效的《网络安全法》并没有对“数据”进行定义,而采用“网络数据”(通过网络收集、存储、传输、处理和产生的各种电子数据)和“个人信息”(以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息)两个概念,两个概念事实上已涵盖了公民参与网络活动中使用各类电子数据和涉及个人信息的部分线下数据。
由于立法角度差异,《数据安全法》直接简明扼要地将“数据”定义为“任何以电子或非电子形式对信息的记录”,其保护范围较《网络安全法》大大扩展,这一改变将电子化记录与其他方式记录的信息统一纳入数据范畴,既符合数字化时代的信息安全要求,又适应了数字经济时代整体信息保护和整体信息安全的新要求。
2、《数据安全法》已具备一定“域外效力”,为反制国外相关法律的“长臂管辖”提供了法理依据。
与《网络安全法》“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法”相比,《数据安全法》更进一步,规定“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”当今,伴随着互联网的高速发展,数据的收集和存储早已突破了国界的限制,如欧盟的GDPR已极大扩展了其域外数据安全管辖权范围。GDPR更注重效果原则,只要在客观效果上构成对本国或本地区自然人个人数据的处理,就受GDPR管辖。《数据安全法》引入“域外效力”对保护我国国家主权和公民个人权利意义十分重大。
3、两部法律均提到了“重要数据”这一概念,但受限于实践中掌握尺度问题,均未明确界定其范围。
《网络安全法》对重要数据的分类保护以及出境做了规定。该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。《数据安全法》第二十五条对重要数据的处理者应当设立数据安全负责人和管理机构也做出了规定。虽然两部法律均未对重要数据范围进行界定,但可通过相关其他法律及规则定义进行识别和借鉴,比如:2019年5月28日,国家互联网信息化办公室公布了《数据安全管理办法(征求意见稿)》。其对“重要数据”明确界定为:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。
4、《数据安全法》确立了全新的“数据安全评估制度”,评估范围更广。
在《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》中,均规定了数据出境的安全评估制度,但上述制度仅限于数据或重要数据出境过程中的评估。如《网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。而《数据安全法》所规定的数据安全评估,范围更广,针对重要数据处理者的全部数据活动。《数据安全法》第二十八条规定:“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等”。
从执法案例分析
纵观《网络安全法》2018年1年的执法案例,机关、事业单位、企业的合规风险主要集中在网络安全等级保护、个人信息保护、网络信息内容审核、网络产品和服务等五个方面。由于《数据安全法》尚未正式执行,我们也可以参考网络安全法执法重点和处罚措施,对于企业合规具有借鉴意义,对于网络安全从业者,有助于避开企业网络、信息安全雷区,完善企业自身网络安全防御体系。
1、《网络安全法》主要责任主体为网络运营者。
对于企业而言,根据《网络安全法》第76条第3款的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。结合执法案例具体而言,责任主体主要集中在以下三类:具有信息发布功能的网站及平台(比如新浪微博、微信公众平台、网络、今日头条)的运营者;网络科技/技术公司;学校、学院及其他事业单位。
《数据安全法》的主要责任主体是重要数据的处理者。在“第四章 数据安全保护义务,第二十七条 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”有说明。
2、《网络安全法》主要执法机构:国家网信办,工信部,公安部。
尽管目前尚未有明确的规定或指引告知各个执法部门的主要执法范围,但根据2018网络执法案例来看,各部门大致执法点如下图所示。
《数据安全法》第一章 总则 第六条 规定了主管部门和行业监管,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担数据安全监管职责;公安机关、国家安全机关承担数据安全监管职责;国家网信部门负责统筹协调网络数据安全和相关监管工作,具体各部门的执法关注点要等一年后的执法案例分析。